Aller au contenu

VLAN vs subnets

brice.wernet
 Partager

Messages recommandés

brice.wernet Vétéran

brice.wernet

Posté(e)
Posté(e)

Bonjour,

J'ai des problèmes avec mon Wifi. De plus en plus de cartes posent problèmes (déconnexions après un burst, difficultés d'accrocher les SSID en double canal 2.4/5, roaming totalement aléatoire...)

Bon, mes bornes sont des HP MSM560 de 2013... Autant elles me permettent de faire autant de SSID que je veux, autant elles gèrents les VLANs, autant elles ne posent aucun problème avec 50 clients simultanés, autant en Wifi-n elles sont excellentes, autant en Wifi-ac, elles sont à mi-chemin visiblement sur les fonctionnalités.

J'envisage de les remplacer par des bornes achetées à la FNAC sur un coup de tête (25€ les 2 bornes netgear Wifi 5). Les tests effectués avec montrent que j'ai à peu près le smêmes débits, mais moins de problème avec les ordis récents + le WPA3.

Problème: les bornes Netgear ne gèrent pas les VLANs.

Actuellement, j'ai 5 VLANs:

  • Maison (pour les ordis, filtré via proxy + DNS  mais peu de règles firewall)
  • Media (TV+Android, filtrage DNS mais firewall plus restrictif)
  • Domotique (firewall restrictif, filtrage DNS)
  • Secours (infra + mon ordi en cas de problème)
  • Invités (proxy filtrant, DNS, firewall, portail captif)

Les passerelles entre VLAN:

  • maison -> maison
  • maison -> media
  • media -> media
  • domotique -> domotique

Les VMs qui sont consultables depuis plusieurs points on une patte sur chaque VLAN nécessaire (exemple: homeassistant a une patte sur domotique, maison et media)

Tout est géré sur un opnsense.

Si je passe tout le toutim en subnets, quels types d'attaque intrinsèquement bloqué par les VLAN pourraient passer? Quels règles dois-je ajouter au firewall pour m'approcher d'un VLAN? Comment vont se comporter les adresses IPv4 multicast?

Merci de m'éclairer si vous savez, je n'ai pas trop le temps de creuser par moi-même en ce moment..

Lien vers le commentaire
Partager sur d’autres sites
ashlol Mentor

ashlol

Posté(e)
Posté(e)

autre solution: il te faut un routeur ou un équipement qui gère les vlan et tu affectes les bornes netgear sur le vlan maison tout en gardant tes bornes HP qui gèrent les 4 autres vlan comme ça tu restes en vlan et tu profites des netgear pour les pc de la maison.

Lien vers le commentaire
Partager sur d’autres sites
brice.wernet Vétéran

brice.wernet

Posté(e)
  • Auteur
Posté(e)
Il y a 3 heures, ashlol a dit :

autre solution: il te faut un routeur ou un équipement qui gère les vlan et tu affectes les bornes netgear sur le vlan maison tout en gardant tes bornes HP qui gèrent les 4 autres vlan comme ça tu restes en vlan et tu profites des netgear pour les pc de la maison.

Non waf. Je peux à la rigueur garder UNE borne pour la domotique. Par ailleurs, j'ai un tel qui pose problème.

Sans compter la conso: je ne vais pas mettre 5-10w en trop.

Une autre solution serait de mettre tous les ordis et tel sur un vpn local ... Mais là c'est le serveur qui va faire la tronche.

il y a une heure, MeowMeow a dit :

Avec Ubiquiti, j'ai pas de souci entre les vlans et les routages réseaux.

Niveau vlan actuellement je suis plutôt propre (manque le 802.1x). Mais c'est parce que en bout de chaîne, mes bornes permettent d'affecter un vlan sur un ssid (et sans limite)

Mais si je change mes bornes... Adios les vlan, sauf à investir un max sur des bornes.

Lien vers le commentaire
Partager sur d’autres sites
ashlol Mentor

ashlol

Posté(e)
Posté(e)
il y a 25 minutes, brice.wernet a dit :

Non waf. Je peux à la rigueur garder UNE borne pour la domotique. Par ailleurs, j'ai un tel qui pose problème.

erf le fameux waf 🙂

donc pour répondre à ta question initial perso je ne sais pas non plus utilisant aussi des vlan

Lien vers le commentaire
Partager sur d’autres sites
brice.wernet Vétéran

brice.wernet

Posté(e)
  • Auteur
Posté(e)

Actuellement, chaque SSID arrive avec un tag VLAN (sauf le secours). Tout cela arrive dans un unique port ethernet (USB en plus) en bridge sous Linux avec des cartes virtuelles du opnsense.

du coup, ça ne marchera même pas le coup de subnets: je pense que la nouvelle borne fait routeur et surtout passerelle UNIQUE. Or, il me faudrait une passerelle par subnet, à moins qu'un de ses modes ne me fasse passer sans filtre tout le flux réseau par la prise.

Ou me tromperais-je?

Lien vers le commentaire
Partager sur d’autres sites
ashlol Mentor

ashlol

Posté(e)
Posté(e)

oui effectivement pour en avoir une aussi (de borne grand public) c'est une passerelle unique. Certaines ont en plus un mode séparé pour le 2.4G et le 5G avec ssid séparé et mais gère les 2 par contre sur le même subnet ip de toute façon.

c'est pour ça que je te proposait l'autre soluce avec ce genre de borne c'est une borne = 1 network/vlan

pour ton usage il faut passer sur du pro genre ubiquiti etc.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets
×
×
  • Créer...