Problème internet sur mes vlans

[dada_kaka]

Bonjour a tous
j'ai à peine kelk connaissances sur pfsense , et j'essaie d'avoir internet sur mes vlans configuré sur pfsense, ma configuration se présenté comme suit:

j'ai connecté mon cable internet sur un port du switch qui appartient a un vlan de pfsense , ensuite je veux récupérer cette connexion internet sur un autre port du switch également , en connectant un directement un ordinateur mais je ny arrive, le schéma suivant résume le tout:

switch --> fa0/1(vlan 1) fa0/2(vlan 10) fa0/4(vlan 40)
TRUNK



pfsense:

wan (bge0)
10.10.9.1
gateway (192.168.70.26)

opt1(vlan 10) opt3(vlan 40)
DHCP (internet) 10.10.7.1
192.168.70.26 DHCP:10.10.7.10 -- 10.10.7.15
gateway 192.168.70.1

opt3(vlan 40)
10.10.7.1
DHCP:10.10.7.10 -- 10.10.7.15





le port fa 0/2 du switch est connecté a internet et doit transmettre internet sur le vlan 40.
En connectant un ordinateur sur le port fa0/4, je n'arrive toujours pas a avoir une connexion internet sur mn vlan 40, est ce que kelkun peut m'aider???
merci d'avance

[jdh]

(Je connais assez mal les vlan.)

L'accès Internet DOIT être connecté au port WAN de pfSense. Point barre : nul switch, nul vlan n'ont à faire de ce côté de pfSense.
Le port LAN d'un pfSense peut-être connecté à un switch gérant des vlan (attention à éviter le vlan 1).
Une zone DMZ doit être connectée en direct à pfSense : une zone DMZ n'est pas un vlan !

Par ailleurs, les gateway ne devraient être utilisés qu'en cas de multiples cartes WAN.
Elle ne me semblent avoir aucun rapport avec des vlan (internes).
En cas de multiples gateways, il est clair qu'on évitera d'avoir le même réseau pour chaque routeur-gateway !

Bref cela me semble très peu clair ... (outre la présentation peu claire).
(Prenez le temps de bien poser les problèmes : ce qui se conçoit clairement ...)

[fleib]

En l’occurrence, si je ne m'abuse, il est possible d'avoir plusieurs gateway, a savoir, une par VLAN, dans le sens ou chaque VLAN a un segment IP dédié.

Sinon, je confirme que l'explication n'est pas tres claire...

[dada_kaka]

il est vrai k mon schema n'est pas très clair, jen suis désolé pr ça, j'avais fait un bn schéma mais après validation le schéma c retrouvé comme cela. alors la config est celle la:

switch --> fa0/1(vlan 1) fa0/2(vlan 10) fa0/4(vlan 40)
TRUNK


pfsense:

wan (bge0)
10.10.9.1
gateway (192.168.70.26)

opt1(vlan 10)
DHCP (internet)
192.168.70.26
gateway 192.168.70.1

opt3(vlan 40)
10.10.7.1
DHCP:10.10.7.10 -- 10.10.7.15

J'avais déja connecté mon cable internet au wan et je pouvais avoir la connexion sur mes vlans. mais mon chef a changé l'architecture et il veut k internet soit connecté au port fa 0/2 (vlan 10)de mon switch et k j'obtienne cette connexion sur une autre port du switch (vlan 40)

[Titofe]

Pour votre schéma, je ne le trouve pas plus claire.
Entre autre, veuillez à ne pas écrire en langage SMS ce qui rend la lecture encore plus difficile, merci.

Dans ce que j'ai pu en comprendre, vous avez une connexion WAN qui se trouve sur une interface physique et vous voulez faire passez WAN sur une interface de type 'Vlan', est-ce bien cela ?

Cdt,

[jdh]

Je ne comprends pas plus ces explications.

Perso, WAN c'est forcément en direct sur la carte WAN de pfSense.
Donc qu'est ce que cela donne si WAN est connecté en direct sur pfSense ?

Au cas où vous voudriez faire fonctionner WAN, il est plus que nécessaire que l'adresse ip + masque permette un accès à la gateway définie !
(C'est basique mais faut quand même le rappeler !)

Il est de plus notable que la version de pfSense compte (par exemple les gateways en v2).

[dada_kaka]

je ne peux pas faire plus que ça, ce que j'ai mis la, sont les config faites sur mon pfsense et sur mon switch, ma connexion wan (internet)est directement connecté à un port du switch :fa 0/2 et ensuite le port fa 0/1 (qui est en mode trunk) de mon switch est connecté au port wan de pfsense(bge0), le but c'est que internet qui arrive sur un port de switch soit redirigé sur un autre port du switch , les deux appartenant à des vlans differents:
sur mon switch , j'ai fait les configurations suivantes:
fa0/1 : mode trunk
fa 0/2: mode access (vlan 10)
fa 0/3: mode access (vlan 20)
sur mon pfsense , j'ai fait les configurations suivantes:
opt1 (vlan 10): DHCP (internet): il reçoit automatiquement l'adresse : 192.168.70.26 et la passerelle: 192.168.70.1
opt2 (vlan 20):10.10.7.1
wan (bge0): 10.10.10.1
LAN (xle0):10.10.9.1 bridge with:opt1

les deux interfaces virtuelles créees dans pfsense sont assignées à mon interface LAN.

je ne pourrai faire mieux.

[jdh]

Que peut WAN avoir à faire sur un switch juste à coté d'1 ou 2 vlan (donc côté LAN) ?

Pour commencer, il faudrait d'abord vérifier que pfSense accède NORMALEMENT à Internet (via WAN).
C'est à dire juste en ligne de commande (8= Shell), tests de ping, puis de résolution dns, voire un wget !
(Et ceci avec WAN en direct sur le port WAN de pfSense.)

Ou alors, le routeur WAN fournit Internet à plusieurs firewall ?

C'est pour le moins pas clair, donc, nous ne comprenons pas.
Est ce clair pour vous ?
Prenez le temps de poser vos mains du clavier et de poser les bonnes questions !

Pour moi, WAN n'a que faire de vlan ...
(S'il y a 2 firewall à alimenter, alors un switch 100M suffit pour n'importe quel WAN, et ça vaut 15€ maxi !)

[fleib]

Il a été dit plus haut que l'interface WAN de pfsense devrait être raccordée directement sur le routeur d’accès à Internet. Il n'y a, en effet, aucun intérêt ou plus-value à passer par le switch, si ce n'est d'induire un risque de rebond d'un VLAN à l'autre sans passer par le parefeu... A proscrire, donc!

Edit: Télescopage de message avec jdh, mais on dit, en substance, la même chose, bizarre, non?

[Titofe]

je ne peux pas faire plus que ça, ce que j'ai mis la, sont les config faites sur mon pfsense et sur mon switch, ma connexion wan (internet)est directement connecté à un port du switch :fa 0/2 et ensuite le port fa 0/1 (qui est en mode trunk) de mon switch est connecté au port wan de pfsense(bge0), le but c'est que internet qui arrive sur un port de switch soit redirigé sur un autre port du switch , les deux appartenant à des vlans differents:
sur mon switch , j'ai fait les configurations suivantes:
fa0/1 : mode trunk
fa 0/2: mode access (vlan 10)
fa 0/3: mode access (vlan 20)
sur mon pfsense , j'ai fait les configurations suivantes:
opt1 (vlan 10): DHCP (internet): il reçoit automatiquement l'adresse : 192.168.70.26 et la passerelle: 192.168.70.1
opt2 (vlan 20):10.10.7.1
wan (bge0): 10.10.10.1
LAN (xle0):10.10.9.1 bridge with:opt1

Je me suis permis de mettre un peu de couleur pour faire "un très grand effort de compréhension au problème", je préfère le dire tous de suite, j'ai malheureusement échoué ...

Quelle est ce besoin étrange ; à vous lire, il semble y avoir qu'un seul lien Xdsl, donc pourquoi cette complication ! ?

les deux interfaces virtuelles créees dans pfsense sont assignées à mon interface LAN.

Quand vous dites "interfaces virtuelles", vous parlez des Vlans ?

je ne pourrai faire mieux.

Si cela est vrai, vous n'êtes pas près de pouvoir résoudre votre problème ...

Pour ce qui est des Vlans WAN sur le même switch que les Vlans LAN, je ne peux que confirmez ce qu'à déjà étais dit par jdh et fleib, à proscrire.

[dada_kaka]

désolé pour l'incompréhension , je vais réexpliquer une derniere fois.

comme je l'ai si bien dit dans mon deuxième message, qu'il m'a été demandé de brancher ma connexion internet sur un port du switch (fa0/2) appartenant à un vlan 10 qui a été créer sur mon pfsense notamment sur le port OPT1 et ensuite cette connexion doit être redirigé sur un autre port du switch (fa /3) qui appartient également a un autre vlan (40) existant sur le pfsense(interface OPT2).
Pour ce qui est des interfaces virtuelles, ce sont des interfaces que l'on créer avec pfsense et que l'on assigne à l'interface réel.Pour mon cas , j'ai assigné mes interfaces virtuelles OPT 1 et OPT 2 à l'interface wan de pfsense, qui est directement connecté au port fa /1 du switch qui est en mode trunk.
Ma connexion internet qui arrive sur le port fa /2 du switch doit être redirigé sur le vlan40 sur le port fa /3en passant par mon port wan.

Je ne sais plus si je pourrai mieux réexpliquer. En ce qui concerne les configurations, g pense que je les ai deja posté. et vraiment je tiens a trouver la solution.
merci

[jdh]

Bon on va changer, puisque personne ne comprend :

3 questions :

S'il n'y a qu'un routeur, comment pourrait-il y avoir 3 interfaces connectées à ce routeur ?
Quel est le but de vlan entre le routeur et le port WAN ?
Quels sont vos objectifs EN FRANCAIS ? (quelles zones, quels rôles, quelles règles d'accès)

"comme je l'ai si bien dit dans mon deuxième message" !!!! "je ne pourrai faire mieux" !!!!
C'est tellement SI bien dit que ... personne comprend ! Vous ne vous posez pas de questions ?


NB: un schéma simple et sûr, c'est un câble croisé entre le routeur et le port WAN. Et ça, ça fonctionne ... du premier coup !

NB : Je crains que ce soit, pour moi, le dernier post ...

[Titofe]

je vais réexpliquer une derniere fois.

Ah ..., et si on n'a toujours pas ... compris ! ?

Je ne sais plus si je pourrai mieux réexpliquer.

Pourtant, il va bien falloir.
Peux importe ce qu'on vous à demander de faire (ça on la bien compris), nous on veut savoir pourquoi faire une telle architecture réseau ! ?
Car pour ce que je "crois" en avoir compris de votre besoin, vous pouvez obtenir ce que vous voulez en fessant bien plus simple.

et vraiment je tiens a trouver la solution.

Prouvez-le en nous expliquant réellement votre besoin.

[dada_kaka]

le but c'est de transformer pfsense en proxy avec squid et de faire un filtrage de site en utilisant squidgarde et lightsquid, donc en fait dans la boite, il ya deux connexions internet qui arrive sur un switch et chaque connexion déssert respectivement un vlan. et donc, les connexions internet qui arrivent sur le switch ne sont pas directement transmis sur les vlans qu'ils désservent mais doivent obligatoirement passer par pfsense pour faire un filtrage de site avec une blacklist. et ensuite de router cette connexion internet sur le vlan concerné. Refuser la connexion lorsque l'utilisateur n'a pas les habilitations necessaires pour se connecter à la page web.

Voila un petit peu l'idée du projet

merci

[jdh]

Comment faire compliqué quand on peut faire simple !
Vous nous avez vraiment pris pour des imbéciles !

Evidemment, comme à chaque fois, des éléments importants de l'architecture ne sont pas décrits dès le départ (5 jours !).
Bref on laisse les gens chercher dans de mauvaises directions !
(Sans compter les "je ne pourrai faire mieux" à traduire par "je ne peux plus mal décrire le problème" !)

De toute façon, cette architecture (si tant elle est telle que décrite) est très mauvaise !
Quand on met un firewall, il est très simple, et même enfantin, pour n'autoriser qu'une seule machine à accéder à Internet !!
Alors pourquoi imaginer une telle horreur ?

Comme d'habitude, on veut ne pas passer sur chaque micro pour définir un proxy, et on construit quelque chose d'horrible !
Vous n'avez jamais entendu parler de WPAD (Web Proxy Auto Discovery) ?
Et puis, vous n'avez jamais lu ce conseil simple (et sûr) : pas de proxy sur le firewall à partir de, disons, 10 utilisateurs ?

Des schémas où il faut obligatoirement passer par un proxy sans aucun vlan, j'en construis tous les jours !
Je suis adepte de KISS : Keep It Simple and Stupid, et ça aussi vous ne l'avez jamais lu !


Alors, la solution simple c'est :
Internet <-> Routeur <-- câble croisé --> (WAN) pfSense
pfSense (DMZ) <-> proxy dédié
pfSense (LAN) <-> réseau interne + paramétrage pour WPAD

(Je recommande un proxy dédié sur base Debian ... et j'en ai construit des Debian + Squid + SquidGuard + blacklist + lightsquid + Havp)
(En plus pfSense sait gérer 2 WAN au besoin ...)
( "le but c'est de transformer pfsense en proxy" : c'est ce qu'il ne faut pas faire !)