Bonjour,
Par honnêteté envers vous, j'ai déjà posté sur un autre forum plus dédié hardware mais je n'ai pas eu de réponses. Peut être pourrez vous m'aider :-)
( http://forum.hardware.fr/hfr/reseauxpersosoho/Reseaux/derriere-isoler-safes-sujet_32023_1.htm )
Je dois depuis quelque temps brancher sur mon réseau local à la maison un PC que je considère comme hautement nocif : la machine, sous un windows 7 non à jours, lance automatiquement au boot un VPN qui m'est inconnu, et active une pelleté de services surs lesquels je n'ai pas de contrôle car je n'ai pas les droits d'admin. Je suis contraint de lancer ce machine de chez moi de temps en temps et cela me gène grandement car certaines de mes machines locales ont des ports d'ouverts et des services écoutant.
J'ai donc récupéré un switch manageable type netgear GS108T-200GES supportant les VLAN.
Ma box est un routeur OVH type tg788vn qui relie actuellement le wifi et l'ethernet (les deux réseaux communiques), et je ne peux désactiver cette option (ou du moins je n'ai pas trouvé comment).
Je pensais donc isoler mes machines dans un VLAN 1 particulier (ethernet) avec le GS108, et laisser les machines "guest" se connecter dans un autre par défaut VLAN 0 (natif) (wifi/ethernet).
Problème, je souhaites que mes machines dans le VLAN 1 puisse tout de même accéder au net par la box/routeur. Ce n'est pas un souci si je perds le DHCP sur ce vlan et que je doive mettre les ip/dns/gateway manuellement.
Mais comment faire le lien entre ce VLAN 1 et le net ?
Je résume schématiquement :
Net
|
Box
|
+-------- GS108 ---- + ------- PC1 (safe, vlan 1)
| + ------- PC2 (safe, vlan 1)
|
+------ PC3 (unsafe, vlan 0)
+------ PC4 (unsafe, vlan 0)
+------ Wifi (unsafe, vlan 0)
A noter qu'il y à la dessus un peu de tout : du windows, du linux, de l'android, etc. Les machines safe sont toutes sous linux.
Pour le moment, la box est en dhcp, en 192.168.1.x et /24.
Merci d'avance pour votre aide !
Zaft
# Routeur et NAT
Posté par 2x2 . Évalué à 2.
Bonjour,
Ton switch ne fait que du niveau 2 il ne peut donc pas faire passer ton trafic des pc "safe" vers ta box si tu a deux vlans. Il te faut une machine pour faire du niveau 3 (niveau ip) pour 1/ router ton trafic vers ta box et 2/ translater (NAT) tes adresses ip des pc "safe" vers le reste du réseau.
Donc il te faut soit un switch/routeur niveau 3 soit utiliser une de tes machines linux avec deux cartes réseaux configurée en mode routeur avec du nat et protégée du reste de ton réseau par des règles de sécurité.
A creuser: sur certaine box il y a un port dédié pour faire une zone DMZ. Cela permet parfois de séparer ton réseau en deux.
A priori ta box a des option de configuration avancées accessibles en telnet et il y a peut être des solution de ce coté là.
# Vlan/Routage/Firewall
Posté par visualstation . Évalué à 1.
Il n'y a pas de Vlan 0.
Un Vlan peut être numéroté de 1 à 4096.
Le vlan 1 est le vlan par défaut, et si rien n'est configuré, c'est le vlan qui est automatiquement assigné à tous tes ports.
Au sein de ton switch, il faut créé 2 VLANs:
VLAN:2 NOM:Sécurisé
VLAN:3 NOM:Non Sécurisé
Ensuite tu devras faire un "trunk", c'est à dire un port (le port connecté à la box) ou les 2 vlans seront permis et de préférence tous les 2 "taggués". ET configurer sur ta box, 2 interfaces réseaux qui serviront de "default gateway" pour chaque réseau respectif.
Prenons un exemple:
VLAN 2: 172.31.253.0/24 => Passerelle: 172.31.253.1
VLAN 3: 172.31.252.0/24 => Passerelle: 172.31.252.1
Ensuite si ta box possède un vrai firewall (Iptables, PF, ou autres) tu adapteras les règles pour permettre au VLAN 2 et le VLAN 3 d'aller sur internet (NAT/PAT) et tu limiteras l'interaction entre le VLAN 2 ET 3.
Dans ton cas, il faudra mettre un intermédiaire entre ta box (Free, Bouygue, SFR ou …) et ton switch car il est plus que probable que la notion de VLAN/Interface réseau lui soit inconnue.
# et sans vlan/tag tu peux obtenir un resultat similaire
Posté par NeoX . Évalué à 2.
faire des vlans en untagged sur les ports du switchs (equivaut à decouper le vrai switch en 3 switchs independants)
- untagged vlan internet pour les ports vers internet la box, et la carte du PC/routeur
- untagged vlan safe pour les ports qui seront connectés aux PCs safe
- untagded vlan unsafe pour les machines unsafe.
puis un PC qui aurait trois cartes reseaux, une sur chaque vlan (donc 3 ports du switch)
ce PC est donc SAFE (un linux/BSD de preference) et sera chargé du routage entre les LAN et internet)
il fera aussi parefeu si tu veux quand meme autoriser une machine du vlan safe à communiquer avec l'imprimante du reseau unsafe par exemple
# Donc besoin d'une passerelle quelque part
Posté par zaft . Évalué à 1.
Merci pour vos réponses.
Je comprend donc que sans rajouter une passerelle, la box est trop limitée pour faire des VLAN comme je le souhaite (quoi que à vérifier, je ne savais pas pour les commandes telnet, merci pour l'info, je vais explorer la chose, surtout si il est possible d'isoler le wifi de l'ethernet).
Étant donné le débit ridicule que j'ai sur mon ADSL, un Raspberry avec 1-2 cartes réseau USB à 4€ suffira pour faire le lien. Je n'ai besoin du Gb qu'entre les PC safes.
Concernant le Vlan 1 (que j'appelais Vlan 0), ce n'est pas ce qu'on appel le Vlan natif ? J'avoue, je débute dans les VLAN.
[^] # Re: Donc besoin d'une passerelle quelque part
Posté par zaft . Évalué à 1.
La doc telnet du tg788vn fait 1561 pages. Ca promet. Mais apparemment il y a ce que je cherche.
https://lafibre.info/images/materiel/201302_thomson_tg788_guide_reference_telnet.pdf
eth vlan
Following commands are available :
add : Add a new virtual LAN.
delete : Delete a virtual LAN.
list : Display all virtual LAN's.
flush : Flush all virtual LAN's.
Je reviens vers vous dés que j'ai réussi à configurer quelque chose.
[^] # Re: Donc besoin d'une passerelle quelque part
Posté par nono14 (site web personnel) . Évalué à 2.
Le vlan natif ( 0 ou 1 selon le constructeur ) c'est l'interface physique où circulent les trames taguées ( vlan ).
Le (v)lan natif n'est jamais tagué car c'est lui qui transporte les vlans.
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.