configuration vlans et accès à internet - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 08-08-2007 à 16:32:32
tu utilises des plages d'adresses publiques pour configurer des adresses réseaux d'un lan interne ? tu te complique la vie!
et la RFC1918 alors ...
Marsh Posté le 08-08-2007 à 17:00:46
merci pour la réponse rapide.
oui tu as raison, merci. du coup j'ai modifier les adresses réseau et ça devient
vlan1: 192.168.0.0/24
vlan2: 192.168.1.0/24
en fait, petite rectification: toutes les autres machines qui ne sont pas dans les vlans mais dans le réseau normal ont pour passerelle 129.200.2.10 et je souhaiterai que la passerelle debian utilise aussi cette adresse pour accéder internet
je suis encore débutante, si quelqu'un pourrait m'aider m'aider, merci
Marsh Posté le 08-08-2007 à 17:37:44
tu dis que ta passerelle est 129.200.2.10 ,c'est une ip publique alors nan ?
tu peux nous faire un petit schéma pour mieux voir tout le bazar ? ( pc, hub, switch, passerelle debian connexion internet ..)
Marsh Posté le 09-08-2007 à 01:24:51
Cette adresse est publique. Au départ, il n'ya qu'un seul réseau et on m'a demandé de construire des vlans comme montre le schéma ci-dessous:
Merci encore
Marsh Posté le 09-08-2007 à 08:15:31
comment ta passerelle debian peux contacter le réseau 192.168.1 avec une seule interface ?
un vlan définit un domaine de broadcast et pas grand chose d'autre ...
les 2 réseaux doivent communiquer entre eux ?
Marsh Posté le 09-08-2007 à 08:29:16
Salut,
Alors le mieux serait déjà de virer tes 2 HUBS et de mettre des petits switchs à la place. Si tu veux que tes VLANs communiquent il faut soit que tu configures ton switch pour faire le routage inter-vlan soit rajouter un routeur et configurer les routes qui vont bien. Après, si tu veux uniquement que la passerelle communique il faudra mettre en place des ACLs qui interdisent tout le trafic sauf celui de la passerelle vers les machines que tu souhaites.
Regarde si ton dlink sait faire du filtrage.
Ce que je ne comprends pas dans ton archi c'est que tu parles de routeur pour le net et je ne le vois nulle part sur le schéma ? Ton modem a deux pattes ethernet ?
Marsh Posté le 09-08-2007 à 08:31:51
C'est vrai elle a deux interfaces, mais j'ai oublié! sincèrement désolé eth0 en 192.168.0.1 et 192.168.1.1.
Et est-ce qu'elle ne devrait pas être hors du vlan pour qu'elle puisse contacter le 129.200.2.0
de plus elle ne possède que 2 cartes réseaux est-ce possible de créer un alias eth0:0 en 129.200.2.33
Marsh Posté le 09-08-2007 à 09:36:45
à quoi sert cette passerelle ?
[ réseau 1 ] [ PC] [ réseau 2]
{switch]
{acces internet]
il faut rajouter une troisième interface pour etre propre et pas besoin de vlan
Marsh Posté le 09-08-2007 à 09:54:06
Pandinus2k4 a écrit : Alors le mieux serait déjà de virer tes 2 HUBS et de mettre des petits switchs à la place. Si tu veux que tes VLANs communiquent il faut soit que tu configures ton switch pour faire le routage inter-vlan soit rajouter un routeur et configurer les routes qui vont bien. Après, si tu veux uniquement que la passerelle communique il faudra mettre en place des ACLs qui interdisent tout le trafic sauf celui de la passerelle vers les machines que tu souhaites. |
En fait, je pourrais pas avoir à ma disposition d'autres switchs supplémentaires et je pensais faire le routage au niveau du switch qui est déjà là
Pandinus2k4 a écrit : Regarde si ton dlink sait faire du filtrage. |
oui il peut faire du ACL
Pandinus2k4 a écrit : Ce que je ne comprends pas dans ton archi c'est que tu parles de routeur pour le net et je ne le vois nulle part sur le schéma ? Ton modem a deux pattes ethernet ? |
c'est un modem mais pas un routeur.
Marsh Posté le 09-08-2007 à 10:06:58
Attention danger : un switch ne ROUTE PAS !!! un switch c'est couche 2/3 du modèle OSI ...
Marsh Posté le 09-08-2007 à 10:45:01
Je ne comprend pas bien ton architecture moi non plus.
Le but des vlan est regrouper un ensemble de machines de façon logique et non physique.
ors sur ton schéma on dirait plutot que tu veux simplement 3 réseaux diférents qui communiquent grace à ta passerelle debian.
Pour ma part je vois plutot ton archi comme cela.
Dis moi si je me trompe.
Marsh Posté le 09-08-2007 à 10:47:11
gizmo31 a écrit : Attention danger : un switch ne ROUTE PAS !!! un switch c'est couche 2/3 du modèle OSI ... |
Et la couche 3 c'est quoi ? faut se mettre à la page ...
Marsh Posté le 09-08-2007 à 10:57:33
L'architecture de bartounet est aussi possible, en revanche tu n'as peut être pas besoin de mettre toutes les interfaces sur ta passerelle. Chaque interface VLAN du switch aura une adresse dans le réseau adéquat, et tu crées un VLAN en plus pour l'interco du switch et du serveur. Tu passes donc le port où est branché le serveur dans ce VLAN, et tu lmets comme route par défaut du switch l'adresse de ta passerelle.
Marsh Posté le 09-08-2007 à 11:07:16
si tu prends un switch routeur genre c4K , mais par défaut, un switch ne route pas de paquets.
Marsh Posté le 09-08-2007 à 11:23:06
Ouai enfin bon, faut pas jouer sur les mots hein, si mon switch est de niveau 3, il route. Après que t'appeles ça un switch routeur ou simplement un switch de niveau 3 c'est pareil.
Marsh Posté le 09-08-2007 à 11:39:50
Merci à tous pour vos réponses
bartounet16 a écrit : Pour ma part je vois plutot ton archi comme cela. |
Peut-être que c'est ce qu'on m'a demandé de faire qui n'est pas faisable.
L'archi que tu a fait est évident mais pour l'entreprise, le but est que
- je mets en place 2 vlans en plus
- je mets en place une passerelle sur laquelle j'ajoute des règles de routage (iptables) pour la communication entre ces 2 vlans, sans toucher à la configuration de la passerelle reliée au modem et que les 2 vlans ont accès à internet
- je configure le switch pour que ça soit possible
(ces 2 vlans vont en fait après servir à des séries de test de nouvelles applications)
Est-ce possible?
Marsh Posté le 09-08-2007 à 11:57:37
ha ok je n'avais pas toutes les infos, il faut que tu greffe deux vlan supplémentaire sur une archi qui est deja figée...
Marsh Posté le 09-08-2007 à 12:14:48
tu peux toujours mettre en place des vlan sur ton switch.
pour que tes postes aient accès à internet, la passerelle doit avoir accès à internet ( en gros, route par défaut vers internet, sauf pour les sous réseau 192.168.X.X)
Marsh Posté le 09-08-2007 à 16:05:54
gizmo31 a écrit : la passerelle doit avoir accès à internet |
tu parles de la passerelle dans le vlan1?
Bon, voilà comment j'ai fait sur la passerelle debian que j'avais sur le vlan1:
- eth0: 192.168.0.1 pour vlan1
- eth1: 129.200.2.33 pour internet
eth1:1 : 192.168.1.1 pour vlan2
- route: 129.200.2.10 comme passerelle par défaut (pour accéder à internet)
Et après, j'arrive à avoir internet sur la passerelle debian ... mais pas pour les autres postes du 192.168.0.0.
Je suis encore dans le vlan1 et j'ai pas encore touché au 2ème vlan.
Au secours please
Marsh Posté le 09-08-2007 à 16:11:33
ReplyMarsh Posté le 09-08-2007 à 16:15:15
gizmo31 a écrit : quelle est la passerelle par défaut des postes sur le réseau 192.168.0.x ? |
192.168.0.1
Marsh Posté le 09-08-2007 à 16:21:30
t'as vraiment aucune possibilité de mettre une interface supplémentaire sur ton linux ? car là c'est un peu chaud tes interfaces virtuelles sur la meme interface + routage...
Marsh Posté le 09-08-2007 à 16:34:26
gizmo31 a écrit : t'as vraiment aucune possibilité de mettre une interface supplémentaire sur ton linux ? car là c'est un peu chaud tes interfaces virtuelles sur la meme interface + routage... |
ok je vais leur en parler ... mais le responsable il s'est absenté
merci bcp.
En attendant, je vais quand même essayer de faire de mon mieux
ou si quelqu'un a des idées aussi
Marsh Posté le 09-08-2007 à 16:43:25
ton problème ne vient peux etre pas de ta passerelle linux mais plus loin
as tu sniffé un peu pour voir si le traffic revenait ?
il faut que tu sépare le routage du filtrage.
si on suit le cheminement d'un paquet
le paquet sort du pc :
paquet 1 :
source : pcA : ipA 192.168.0.10 ( par exemple)
destination : ip_publiique ( 30.30.30.30 au hasard ip internet)
le pc a une route par défaut vers l'interface de ta debian.
le debian prends le paquet.
source : ipA
dest : ip_publique
le debian a une route par defaut 129.200.2.10 MAIS as tu bien spécifié quelle est l'interface de sortie ?
si l'interface de sortie est ok,
le paquet sort et arrive sur ta passerelle internet.
source :
source : ipA
dest : ip_publique
et là, c'est le drame
ton pc as t'il une route pour le RETOUR ( réseau 192.168.0x ?) hein ? j'en suis pas sur ..
Marsh Posté le 09-08-2007 à 17:14:58
J'ai relu le topic ... à quoi sert ta passerelle debian en plus du routage et de l'accès internet ? est-ce qu'elle filtre ce dernier ? le cas échéant, pourquoi ne pas déporter tout le routage sur le switch ?
Marsh Posté le 09-08-2007 à 17:17:31
Oui mais bon, son archi est super crados là, et si la passerelle sert juste à faire du routage je vois pas pourquoi continuer à l'exploiter alors qu'il y a un switch L3.
Marsh Posté le 09-08-2007 à 17:21:59
tu crois qu'il est L3 ? j'en suis pas sur ! elle parle de routage de switch , mais je suis pas sur que cela soit possible en vrai .. il faudrait q'uelle donne le modèle .. d'ou mon warning sur le routage dans un switch.
archi crados, mais visiblement figée d'après ses dires ( et encore ,ip publiques dans un lan privé, bonjour le routage si c'est pas une classe C complète a sortir ..)
Marsh Posté le 09-08-2007 à 17:25:13
Citation : Pour infos, j'utilise un switch dlink 3326s |
En regardant, oui il est L3.
Marsh Posté le 09-08-2007 à 17:26:48
ah ben si switch, il route, ya plus besoin de sa debian .. faudra juste se taper des ACL si tu veux faire du filtrage particuleir..
Marsh Posté le 09-08-2007 à 23:22:53
gizmo31 a écrit : ah ben si switch, il route, ya plus besoin de sa debian .. faudra juste se taper des ACL si tu veux faire du filtrage particuleir.. |
Je suis d'accord que ce n'est pas du tout propre mais c'est ce qu'ils veulent. En fait, ils ne veulent pas trop qu'on joue sur le switch pour les séries de test qu'on va passer après. Ces tests consistent à tester le fonctionnement d'une application selon la configuration du firewall et du nat. Du coup, on créé ces deux vlans, ils ont leur propre routeur et les gens qui travaillent ne risquent pas d'avoir de temps en temps des problèmes de réseau.
Je sais que ce serait plus facile si c'est le switch qui tout mais bon... j'ai pas trop le choix
Voili voilou
Et encore, mon problème n'est pas du tout résolu...pas encore
En fait, en vérifiant le traffic réseau, mes paquets ne passe même pas par la debian alors que sur le poste j'ai bien la bonne configuration.
Marsh Posté le 10-08-2007 à 10:05:52
"En fait, en vérifiant le traffic réseau, mes paquets ne passe même pas par la debian alors que sur le poste j'ai bien la bonne configuration. "
tu sniff d'où ton traffic ? ur la débian ? et quelle interface a tu sélectionner ?
depuis ton pc , arrive tu à pinguer l'interface de ta debian ?
sinon ya un pb de conf sur ton switch
Marsh Posté le 08-08-2007 à 16:27:05
bonjour,
Je suis en train de configurer 2 vlans pour créer 2 petits réseaux virtuels.
Pour infos, j'utilise un switch dlink 3326s et j'utilise un port pour chaque vlan, et les postes dans chaque réseau virtuel sont connectés sur un hub chacun.
D'autre part, je dispose d'une machine passerelle debian (sarge) qui permet aux deux réseaux de se contacter et qui est aussi connecter à internet (à configurer encore). A noter que cette passerelle appartient à un des 2 vlans:
configuration:
vlan 1; 193.10.10.0/24 (la passerelle est aussi dedans + 1 win XP)
vlan2: 195.10.10.0/24 (2 debian)
le routeur qui permet de connecter sur internet est le 192.168.2.1
J'ai commencé à configurer le premier vlan, les machines à l'intérieur de ce vlan peuvent se pinguer entre eux.
J'ai configurer sur la passerelle pour cela 2 interfaces eth0 pour aller sur internet et eth1 pour le vlan mais j'arrive pas à me connecter sur internet. Je rappelle que la passerelle appartient au vlan.
Recap de ma conf pour la passerelle:
eth0 adresse ip 192.168.2.3/24
eth1 adresse ip 193.10.10.1/24
routes: eth1 pour le réseau 193.10.10.0/24 et eth0 pour les autres.
Donc voici mes questions:
est-ce qu'il y a des conf spécifiques pour pouvoir sortir du vlan car le routeur se trouve sur un autre réseau?
étant donné que j'ai pas encore configuré le deuxième vlan, est-ce qu'il faut une troisième carte réseau configurée pour le réseau 195.10.10.0/24 ou bien c'est possible d'utiliser une carte pour les 2 vlans et une pour internet, du genre à créer des alias etc..?
Merci beaucoup, votre aide serait très précieux pour moi