Bien configurer les VLANs

[Intra1910]

Bonjour,

Actuellement, 3 interfaces / 3 cartes réseaux. WAN, LAN et DMZ.
Je souhaite remplacer l'interface LAN par plusieurs VLANs.

De ce fait :
- Je supprime l'interface LAN, et je crée mes VLANs que j'assigne à la carte réseau où était avant le LAN ?
- Concernant toutes les règles par défaut qui étaient sur l'interface LAN, que faut-il que je fasse afin que tout fonctionne comme avant s'il vous plaît ?
- Quelque chose de spécial à faire ou à savoir ?

(Sachant que le réseau du LAN (192.168.1.0/24) sera celui d'un VLAN maintenant)


Merci énormément par avance de l'aide que vous pourrez m'apportez !

[milou]

Bonjour

Je ne comprends pas exactement votre configuration
Votre OpnSense tourne sur quel matériel?
Une seule sortie LAN?
Si oui, une seule sortie LAN, c'est sur cette connectique LAN que vous devez créer les différents VLAn et donc taguer en fonction des VLANS créés.

Vue que ce sera le même port, pour le moment les règles ne doivent pas chanegr.

Dans l'attente de votre retour d'explication
Bon courage
Cdt

[Intra1910]

Bonjour et merci beaucoup de votre réponse !

Mon OPNsense tourne sur un serveur racké HP qui dispose de trois sorties réseaux.

Actuellement :
3 sorties réseaux physiques branchés : Le WAN, la DMZ et le LAN.

La DMZ et le LAN sont branchés (chacun, donc deux câbles) sur un port untagued (untagued vlan DMZ, untagued vlan LAN).

Mon but est de remplacer l'interface LAN, par plusieurs interfaces de VLAN.

De ce fait, il y aurait un lien entre le firewall (sur la sortie où était précedemment le LAN) et un port du switch qui serait en trunk tagued pour tous les VLANs.
De ce fait, le vlan LAN (et non le LAN donc), le vlan LAN2, le vlan TEST1 etc serait géré par le firewall.

Du coup, pour configurer ceci, je dois supprimer l'interface LAN actuellement faite, et créer X interfaces VLAN qui pointent sur la carte réseau où il y avait l'interface LAN avant ? Mais du coup, les règles devront être refaite sur chaque interface de VLAN car, si je ne me trompe pas, l'interface sera "vide" donc fera du "deny" de base, non ?

Du coup, je suis un peu perdu pour configurer tout ça

En espérant m'avoir mieux fait comprendre, et je te remercie encore par avance en tout cas pour ton aide!

[Intra1910]

Ah, et est-ce que je dois laisser l'interface "normale" ou je dois la supprimer pour la remplacer par les interfaces vlans que je ferais ?

Pour éviter une incompatibilité entre une interface physique et des interfaces logiques.
C'est soit une interface physique, soit plusieurs interfaces logiques, mais pas les deux, si ?

Merci.

[jbdu12]

Salut,
Les 2 solutions fonctionnent:

soit tu gardes ton interface LAN, et tu rajoutes tes vlans.
Sur ton switch, tu peux créer un autre VLAN en UNTAGGED, et tu auras alors accès à ton interface LAN.

soit tu supprimes ton LAN, et tu rajoutes tes VLAN, qui seront en TAGGED sur le switch.

a+

[Intra1910]

On va prendre ces exemples de cartes réseaux : bce0, bce1

Si je comprends bien, cela donnerait ça :

WAN sur bce0
VLAN10 sur bce1
VLAN20 sur bce1
VLANX sur bce1

Et le port du switch où est relié bce1 doit être en mode trunk ; en mode tagued.

Et donc, uniquement 4 interfaces (WAN, VLAN10, VLAN20, VLANX).

Dites moi si je me trompe.

Merci beaucoup!

 

[Intra1910]

Bonjour,

Je viens d'essayer ce qui est ci-dessus sur un serveur de test.

Un PC sur le VLAN20 (IP fixe (192.168.2.50/24) + l'IP du VLAN20 du FW en passerelle (192.168.2.1)) :
J'arrive à ping la passerelle (192.168.2.1) et l'IP du VLAN10 du FW (192.168.1.69).
J'arrive à accéder à l'interface du FW via l'IP du VLAN10 ou du VLAN20.

Par contre, je n'arrive pas à ping le réseau 192.168.1.0/24, par exemple l'AD, ou le DHCP, je n'arrive pas à le ping.

Voici les règles faites :





Merci 

[Intra1910]

Le ping est en vert, mais le PC n'arrive pas à joindre 192.168.1.2 par exemple.

Ou alors, je ne comprends pas "let out anything from firewall host itself" 



Merci 

[jbdu12]

Un PC sur le VLAN20 (IP fixe (192.168.1.50/24) + l'IP du VLAN20 du FW en passerelle (192.168.2.1)) :

le VLAN20 ne peut être en 192.168.1.0/24 et avoir comme passerelle 192.168.2.1

[Intra1910]

Euh oui, pardon faute de frappe sur le forum ^^

192.168.2.50.

Après, j'ai aussi tester avec l'outil diagnostic de OPNsense qui ping à partir de l'interface qu'on choisit, et effectivement, le routage interVLAN ne se fait pas.

[Intra1910]

Ou l'interVLAN doit se faire sur le switch (L3) en plus du routage fait automatiquement via OPNsense ?
-
Edit:
Avec une règle any any de partout, même problème, donc la conclusion serait que le routage ne se fait pas... Mais cela serait tout de même bizarre...

[jbdu12]

Soit tu fais du routage avec l'OPENSENSE, soit avec le switch.
Dans Opnsense, il suffit de faire 1 règle dans chaque interface  :
PASS - PROTOCOL=ANY SRC= VLAN_X  DEST=VLAN_Y PORT = ANY
PASS - PROTOCOL=ANY SRC= VLAN_Y  DEST=VLAN_C PORT= ANY

[Intra1910]

D'accord merci.

Pour éliminer un problème de règle, j'ai tout ouvert, tout en "any any", et cela ne passe pas encore.
Les deux VLANs sur la même interface/sous-interface ne communique pas encore.

Sur un autre forum, on me dit qu'il y aurait une option à cocher ou à décocher pour autoriser la communication interne, mais je n'ai pas encore trouvée celle-ci.

[Intra1910]

Résolu ici : https://forum.hardware.fr/hfr/systemereseauxpro/Reseaux/firewall-opnsense-reglage-sujet_19625_1.htm

C'était un problème de passerelle mal renseignée sur le poste du VLAN10 qu'on essayait de ping