PhenIXUS

[totoche]

bonjour

j'ai un switch L2 et je voudrais paramètre mes vlans de façon à faire si possible cette configuration
sur mon reseau 192.168.10.0/24 j'ai le switch + 2 divx + 4 pc + 1 nas et un serveur qui fait routeur & firewall
et la passerelle 9box (192.168.1.1)

1er les deux divx ne doivent voir que le nas
le serveur et le nas doivent êtres vu par les 4 pc

dans un 1er temps j'ai installé vlan et bridges-utils et le module 8021.q
j'ai crée mes VLAN

VLAN.100 pour mes divx
VLAN 200 pour le NAS
VLAN 300 pour le serveur et le 4 pc (il y a peut être une erreur )

après j'ai créer un pont BR0 entre VLAN 100 et VLAN 200
sur mon switch j'ai untaggue le port 11 sur le VLAN 100
et sur le VLAN 200 j'ai untaggue le port 2
et taggué le port 1 du switch sur le VLAN par defaut (erreur ici ??)
après verif les divx voient bien que le nas mais les pc ont plus de net

le serveur est il bon de le mettre dans le VLAN 300 ?? ou faut il créer un VLAN 400 rien qu'a lui ??

un petit coup de pouce svp j'ai mis un shema pour mieux comprendre

merci

[jdh]

(Pour un premier fil, c'est un bon début : il y a un schéma. Mais il manque juste l'essentiel : pourquoi ? quel est l'objectif ?)

Les VLAN ne constituent pas une ligne de défense !
Les VLAN permettent de limiter les broadcast en créant un "réseau virtuel".

Or il y a des machines qui doivent être dans plusieurs VLAN : le routeur d'accès à Internet, ...

Au lieu de faire des VLAN, il serait peut-être judicieux de jouer sur des réseaux distincts au sens ip : n° de réseau différents.
Le serveur permettant d'avoir accès à Internet pourrait avoir un firewall et 2 adresses sur la carte LAN (voire 2 cartes LAN).
C'est plus simple que jouer sur tag/untag ...

[totoche]

bonjour jdh

Mais il manque juste l'essentiel : pourquoi ? quel est l'objectif ?

pourquoi
déjà pour ma connaissance personnel (les réseaux me passionnent)
la famille peuvent accéder à leur compte samba et aux film sur le nas et à internet

objectif
1er les deux divx ne doivent voir que le nas
le serveur et le nas doivent êtres vu par les 4 pc

Or il y a des machines qui doivent être dans plusieurs VLAN : le routeur d'accès à Internet, ...

c'est là que je pêche

le serveur à 3 cartes reseaux
eth0 = 192.168.1.2 qui relie la box en 192.168.1.1
eth1 = 192.168.10.1 qui est le lan
eth2 = 92.168.20.1 qui est le wifi

le firewall est actif sur le serveur et fait son boulot

si une règle firewall peut faire de sorte que les deux divx voient que le nas (à tester). Avoir un swicht L2 et pas l'utiliser c'est bête sniff..

[sibsib]

Bonjour,

Très schématiquement, si tu fais une isolation de niveau 2, il va te falloir router tout le trafic inter VLAN

A la louche, si les deux DIVX veulent voir le NAS, on peut suspecter que le nas héberge des fichiers vidéos (que tu as bien sur acquis en toute légalité, ceci dit, peu d'impact sur le trafic réseau ) Si d'aventure les 4 PC souhaitent voir également les vidéos, le routeur se prend tout dans les dents. Si ton switch L2 est à 100 Mb/s ( rappel ~= à 11 Mo/s), la contention est proche.

Donc, vite pensé, tu as besoin de 3 VLANS : un pour les PCs, un pour le NAS, un pour les DIVX, et la patte du serveur se prendra les trames des trois VLANs, et assurera le routage (filtrant) entre les pistes.

Il faut oublier le terme VLAN quand on conçoit une architecture de ce type, et faire un schéma -même vite fait- où on représente chaque VLAN comme étant un switch indépendant.
Une fois représenté ainsi, on voit bien dans ton cas qu'un équipement doit être relié aux trois switches pour que les paquets puissent s'échanger.

Donc, ton routeur va porter sur une de ses interfaces trois sous interfaces associées chacune à un des VLAN. Et donc, en toute bonne logique (quoique pas indispensable), chacune de ces interfaces virtuelles sera doté d'une IP dans un réseau différents, Il ne restera plus qu'à activer le routage inter VLAN (ce qui doit être le cas chez toi), et ... patatras, tout le monde voit tout le monde, c'est le principe de base du routage !

Donc, en plus, filtrage IPtables.

A la fin, çà marche, mais attention au trafic sur l'interface du routeur.

La solution de jdh mesemble bien plus efficace, pour peu que tu puisse mettre deux adresses IP à ton NAS et bien plus simple (et plus robuste : en cas de panne du serveur, tes DIVX continuent de voir le NAS sur un réseau IP et tes PC continuent de voir le NAS sur une autre IP).

A+,
Pascal (qui a un switch L2 chez lui, mais ne l'utilise surtout pas pour ça )

[jdh]

En entreprise, la première utilisation des VLAN est très souvent la séparation PC-Serveurs des téléphones IP.
Parce qu'en limitant les broadcasts, on limite le trafic, et dans le cas, les téléphones IP+iPBX se voient entre eux sans autres interférences.
Le routage interVLAN est une sinecure ... (comme indiqué par sibsib).

Sur un si petit environnement, mettre des VLAN (+routage interVLAN) me parait démesuré.
On voit plutôt des séparations LAN/WIFI avec isolation/filtrage au niveau d'un firewall (qui aura donc 3 pattes WAN+LAN+WIFI).

Sans compter que (presque) chaque switch (ou marque de switch) a sa façon de voir les VLAN ...

Si la machine "centrale" (le serveur) est un vrai firewall, il est aisé de régler par des règles basées sur l'ip quel trafic traversera quelle interface.
Mais je peux supposer qu'il s'agit un serveur Linux hébergeant un LAMP ou un Samba, ce qui risque de ne pas faciliter la mise en place d'un firewall ...


NB : j'avais compris l'objectif mais je ne vois pas vraiment le but réel : pourquoi isoler un NAS et 2 lecteurs Dvd/ix.

[jibe]

Salut,

Curieux que jdh n'ait pas sorti son KISS

C'est vrai que la tentation est grande de vouloir profiter de son matos pour faire une usine à gaz, surtout avec une telle motivation au départ :

pour ma connaissance personnel (les réseaux me passionnent)

Mais il faut bien se dire que la première des connaissances à acquérir est bien de savoir choisir la meilleure technique (qui n'est pas toujours la plus sophistiquée, loin de là !) pour répondre à un besoin précis

Et là, on s'aperçoit qu'il faut déjà bien définir le besoin. Or dans ton cas, et malgré le rappel de jdh, la définition du besoin est très insuffisante. Peut-être est-ce bien clair dans ta tête, mais pour nous qui n'en savons que ce que tu nous dis, on ne peut vraiment pas savoir s'il y a quelque chose à garder dans tes choix ou pas !

En effet, tu nous définis bien qui doit communiquer avec qui, mais pas pour quelle raison. Selon les vraies raisons (l'envie de mettre des VLANS est une envie, pas un besoin ) qui font que tel équipement ne doit pas communiquer avec tel autre, on peut mettre en place des groupes et des droits, ou séparer les réseaux, ou d'autres solutions - y compris des solutions "non informatiques" - voire plusieurs de ces solutions.

Ne serait-ce que la présentation de ton poste, tout nous porte à croire que tu as mis la charrue avant les boeufs (rassure-toi : tu n'es pas le seul !) et que tu as d'abord choisi la solution VLAN et qu'ensuite tu essaies de justifier ton choix. Or, la bonne démarche est exactement l'inverse

Et moi, je suis comme jdh : je me demande bien pourquoi isoler le NAS et les Divx. C'est de la réponse à cette question que dépendra la solution, qui pourrait bien être extrêmement simple.

[totoche]

merci à tous pour vos réflexions

j'ai imprimer les réponses pour une meilleur compréhension

pour jibe
pourquoi isoler le NAS et DIVX ??
je laisse dés fois ma case à des amis qui utilise les divx dans les chambres
et le salon + ma fille qui se connecte + ses amis qui viennent et regarde des films
je ne veux pas que le réseau s'affiche sur les écrans des DIVX ou des portables (pc ou tel)
et si il veulent prendre un film il n'y a que le NAS d'accessible

il est vrai que je n'avais du tout pensé à mettre une 2eme carte sur le NAS
se qui me parais plus logique et plus facile à mettre en place qu'un VLAN
ceci m'obligerais à mettre une autre CPL et de modifier les adresses des DIVX

pour jhd
comme tu le dis le PC central possède 3 cartes (WAN+LAN+WIFI) et fait office de firewall
sur lequel est aussi installé un serveur samba

pour sibsib
pour le switch c'est un L2 à 1Go. Ta réflexion à été la même pour moi
pour les PC utilisateurs ceux ci sont gères par le serveur samba.
donc en gardant le principe de 2eme carte réseau le VLAN deviens inutile

reste plus qu'à trouver les bonnes règles ip tables qui vont bien pour gérer le trafic

[jdh]

Un bon outil de "firewall" pour serveur Linux : Shorewall (voir http://shorewall.net/ )

Il est assez aisé d'ajouter 2 adresses ip à une interfaces soit 2 LAN.
Et avec Shorewall, il sera possible de définir ce qui est autorisé entre ces 2 LAN.

Tout cela, en effet, n'est pas très "Keep It Simple and Stupid" mais c'est fonction de ces "besoins".
Néanmoins, mettre un firewall tel Shorewall et bien le configurer est un bon exercice d'apprentissage ...

[totoche]

salut

j'ai déjà tester une pléthore d'interface pour IP tables donc shorewall et j'ai trouvé ça plus complique
qu'un script iptable (peut être que je mis suis mal pris)

quand tu dis

Il est assez aisé d'ajouter 2 adresses ip à une interfaces soit 2 LAN.

tu pense à un truc du genre

Code : Tout sélectionner

eth0      Link encap:Ethernet  HWaddr 00:XX:XX:XX:XX:XX 
          inet addr:192.168.10.3  Bcast:192.255.255.255  Mask:255.255.255.0
         .......
 
eth0:0    Link encap:Ethernet  HWaddr 00:XX:XX:XX:XX:XX 
          inet addr:192.168.30.2  Bcast:192.255.255.255 Mask:255.255.255.0
          ...


une carte réseau supplémentaire ne serais pas plus simple ??

[jdh]

Shorewall est bien plus simple qu'un script iptables parce qu'avec 3 à 5 fichiers tout est défini !
De plus, les "à côté" d'un script iptables sont très bien traités (filtrage des martiens, ip forward, ....)

Une ligne comme

Code : Tout sélectionner

accept lan wan icmp 8

me parait très aisé à lire ou à écrire.
L'équivalent serait sans doute du genre

Code : Tout sélectionner

iptables -A FORWARD --proto icmp -s 192.168.x ...

moins simple (et je ne sais même plus l'exacte syntaxe !).