Netgate SG-1000 microFirewall

Author Topic: Communication Vlan à un autre Vlan  (Read 174 times)

0 Members and 1 Guest are viewing this topic.

Offline Diamond

  • Newbie
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Communication Vlan à un autre Vlan
« on: November 25, 2017, 10:43:16 am »
Bonjour à tous,

J’aimerais pouvoir faire communiquer 2 Vlans ensemble, j’utilise actuellement pfSense 2.4.2 avec une Switch TL-SG1016DE.

J’ai créé mes 6 Vlans nécessaire qui fonctionnent très bien dans pfSense et la Switch. J’ai aussi créer temporairement une Rules dans le Firewall qui fait tout passer. Par contre, voici ce que je cherche à faire, mais que je n’y arrive pas.

VLAN 2 – 10.111.2.1 puisse communiquer avec VLAN 5 – 10.111.5.1

Donc, mon ordinateur ( 10.111.2.2 ) qui est sur mon VLAN 2, j’aimerais pouvoir me connecter en Remote sur mon ordinateur ( 10.111.5.2 ) du VLAN 5. Par contre, je ne veux pas que l’ordinateur du VLAN 5 puisse se connecter et connaître le réseau du VLAN 2.

On m’a dit que c’était possible de faire cette situation, mais je ne vois pas comment, car je veux faire en sorte que mon VLAN 2 puisse communiquer avec tous les VLAN .. et restreindre certains VLAN vers d’autre VLAN.

Donc, VLAN 2 peut communiquer avec VLAN 1 à 6
VLAN 3 peut communiquer uniquement avec VLAN 1
Etc.

Merci d’avance pour votre aide.

Offline chris4916

  • Hero Member
  • *****
  • Posts: 1809
  • Karma: +89/-11
    • View Profile
Re: Communication Vlan à un autre Vlan
« Reply #1 on: November 25, 2017, 10:56:09 am »
Il suffit, pour chaque interface (et chaque VLAN est vu comme une interface du point de vue du FW), d'écrire des règles qui laissent passer ou bloquent les flux vers les VLAN cibles.

De manière un peu plus précise et détaillée que ce que tu écris là, quelles règles as-tu mis en place ?
Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

Offline Diamond

  • Newbie
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Re: Communication Vlan à un autre Vlan
« Reply #2 on: November 25, 2017, 11:11:14 am »
Bonjour Chris,

En vrai, voici ce que j'ai fait actuellement.

J'ai créer l'interface « Computers = VLAN 2 » avec l'adresse 10.111.2.1, et l'interface « Impots = VLAN 5 » avec l'adresse  10.111.5.1

Ensuite, la seule règles en place dans le Firewall pour chaque Interface est :

Interface  : « Computers » et ensuite Impots
Protocol : Any

et j'ai sauvegardé.

Avec juste sa .. mes machines on accès à Internet. Je suis vraiment débutant dans ce milieu.

J'étudie actuellement comme Cyber Enquêteur donc j'essaie de me monté un Lab en même temps de mon réseau. Mais je suis pas novice en informatique (vu je travail dans sa)

Voici des captures

https://screenshots.firefox.com/4GqnLQk8XotvXASI/10.111.2.1

https://screenshots.firefox.com/7443ebbWBzKTiMzn/10.111.2.1

Offline chris4916

  • Hero Member
  • *****
  • Posts: 1809
  • Karma: +89/-11
    • View Profile
Re: Communication Vlan à un autre Vlan
« Reply #3 on: November 25, 2017, 11:36:21 am »
Met donc, en tête de liste pour le moment, une règle qui dit:
source: "computers net"
destination: "impots net"

en laissant "any" dans le protocole et IPV4* (pour permettre à la fois TCP, UDP, ICMP...)

et tu peux comme ça accéder, depuis le réseau "computers" vers le réseau "impots"
Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

Offline Diamond

  • Newbie
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Re: Communication Vlan à un autre Vlan
« Reply #4 on: November 25, 2017, 11:41:41 am »
Voici ce que j'ai dans les règles du Firewall

https://screenshots.firefox.com/ogRUAhY9TzFf8vVb/10.111.2.1

https://screenshots.firefox.com/D7jdHRi2DBlB4cDr/10.111.2.1

Si c'est bien cela, quand je veux faire un Remote sur la machine sur le Vlan Impots sa ne fonctionne toujours pas et je n'ai pas de reponse même en fesant un ping

Offline chris4916

  • Hero Member
  • *****
  • Posts: 1809
  • Karma: +89/-11
    • View Profile
Re: Communication Vlan à un autre Vlan
« Reply #5 on: November 25, 2017, 11:52:49 am »
1 - Sur ta première copie d'écran qui montre les règles sur l'interface LAN, la règle qui dit que "depuis computers vers impots", c'est autorisé, ne sert à rien... puisque nous sommes sur "LAN" et pas sur "computers".

2 - "quand tu veux faire un remote" ???? tu veux dire du RDP ?  depuis où ?
Si ta machine est sur le réseau computers, il n'y a pas de raison que ça ne fonctionne pas.

ce que tu peux faire:
- t'assurer que les routes vers les différents subnet existent
- activer l'option dans le log qui log tout
- regarder dans le log du FW ce qui bloque ta connexion
Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

Offline Diamond

  • Newbie
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Re: Communication Vlan à un autre Vlan
« Reply #6 on: November 25, 2017, 12:11:46 pm »
1 - J'ai supprimer la règle dans le LAN (j'avais vu sa sur un autre screenshot d'une personne).

2- Oui, je veux faire un RDP depuis le 10.111.2.2 (Vlan 2 qui est Computers ) vers la machine du Vlan 5 qui est impot au 10.111.5.2 mais sa fonctionne pas. Même le ping ne fonctionne pas.

Je suis aussi aller dans pfsense dans Diagnostics / Ping faire sur le hostname 10.111.5.2 à partir de la source Computers .. et tous la packet sont perdu.

Lorsque je regarde les logs .. je ne voir rien qui essaie de Source : 10.111.2.2 vers 10.111.5.2

Offline chris4916

  • Hero Member
  • *****
  • Posts: 1809
  • Karma: +89/-11
    • View Profile
Re: Communication Vlan à un autre Vlan
« Reply #7 on: November 25, 2017, 12:33:35 pm »
A-stu regardé les routes sur pfSense ?
Et, si ta méthode de test est le ping, es-tu sûr que ta machine cible répond au ping ?
Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

Offline Diamond

  • Newbie
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Re: Communication Vlan à un autre Vlan
« Reply #8 on: November 25, 2017, 12:42:40 pm »
Pour ce qui est de la machine cible c'est un Windows 7 Pro .. que le ping fonctionnait quand il avait jute 1 réseau pas de vlan.

Mais j'essaie aussi de me connecter en RDP dessus et sa ne fonctionne pas.

Quand vous parlez de routes sur pfSense là je suis un peu perdu car .. c'est pas mal tout ce que je connais actuellement de pfSense.

J'avais une personne de ma famille qui m'a beaucoup aider pour la création de vlan mais ensuite je tombe dans l'inconnu.

C'est pour cela que j'essaie de trouver de l'aide car je sais pas trop ou passer pour le reste.

Offline Diamond

  • Newbie
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Re: Communication Vlan à un autre Vlan
« Reply #9 on: November 25, 2017, 01:21:28 pm »
Sinon aussi on m'avais parler dans Gateway et Static Routes

On m'avait dit de faire un Gateway exemple :

Interface : Computers
Gateway : 10.111.2.250

Ensuite aller dans Static Routes
Destination network : 10.111.5.0 / 24
Gateway : Celui je viens de créer

mais quand je veux sauvegarde sa me donne l'erreur suivante : This network conflicts with address configured on interface Impots.

Offline chris4916

  • Hero Member
  • *****
  • Posts: 1809
  • Karma: +89/-11
    • View Profile
Re: Communication Vlan à un autre Vlan
« Reply #10 on: November 26, 2017, 03:13:49 am »
1 - non non non, il n'est aucunement nécessaire de gérer des routes statiques dans ton cas.
Les routes statiques servent à dire à pfSense où aller pour joindre des réseaux qu'il ne connait pas (donc pas adjacents) et qui ne sont pas joignables via la route par défaut.

2 - Tu ne vas jamais (vraiment jamais) y arriver si tu fais des modifications "juste comme ça pour tester" sans vraiment comprendre si celles-ci sont nécessaires et à quoi elles servent.

Pour le routage inter VLAN, tu n'as besoin que de règles FW au niveau des interfaces, sur chaque interface des équipements qui doivent joindre d''autres équipement sur un VAN différent.
Si ça ne fonctionne pas juste avec ça, c'est que, à mon avis, il y a un problème quelque part et que l’implémentation n'est pas celle que tu  décris et que tu penses être.

Regarder les routes (menu diagnostics/routes) est juste un moyen de vérifier que le design est bien celui que tu décris car je n'ai aucun doute que dans ce cas, pfSense a géré correctement les routes associées aux VLANs.
Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.