Par-feu et inter-vlan

  • Vague de SPAM

    Suite à une vague de spam sur le forum, les inscriptions sont temporairement limitées.

    Après votre inscription, un membre de l'équipe devra valider votre compte avant qu'il ne soit activé. Nous sommes désolés pour la gêne occasionnée et vous remercions de votre patience.
M

Msappdem

Nouveau membre
5 Novembre 2022
8
0
6
Bonjour,

J'étais pas très inspiré sur le titre désolé. Je viens de compléter mon réseau suite au passage du père Noël et jusque la j'utilisais pas la ségrégation donc je n'avais pas de problème, je me suis lancé dans la création de vlan et je rencontre plusieurs problèmes. J'expose ici tout mon réseau local pour être aidé et peut-être que ça en aidera d'autres.

Le réseau physique :

1767446631141.png

les réseaux sont les suivants :

1767446705951.png

seul le vlan 1 na pas l'isolement de réseau coché.

les wifi :

1767446802975.png


NAS :

1767446930247.png

Le lan 1 est tagué VLAN ID : 30 sans passerelle et sans DNS
Le lan 2 est tagué VLAN ID : 10 sans passerelle et sans DNS
Le lan 3 n'est pas tagué et a une passerelle et un DNS

J'ai plusieurs règles sur le routeur :

- Accès du NAS depuis l’extérieur (redirection de port sur 443 sur le NAS) + Autorisation (par-feu) d'un NAS distant sur 2 ports spécifiques
- Résolution de nom (enregistrement DNS *.domaine redirigé vers le NAS) utilisé pour le reverse proxy du NAS
- Autorisation (par-feu) d'une vm virtuelle Home-Assistant sur le vlan de management (VLAN 1)
- Autorisation (par-feu) de la vm home-assistant sur le vlan IoT

J'ai crée les quelques zones dans la partie sécurité et je n'arrive pas a ajouter les règles suivantes :

- Autoriser le NAS (192.168.1.254 vlan 1) sur le vlan 10 (home)

j'ai testé en créant les règles dans les deux sens (malgré la création automatique des règles de retour).
Je vois dans les logs des refus de connexion mais je n'ai pas de détails.

Je cherche donc de l'aide pour résoudre ce premier problème si vous aviez un peu de temps et je prends toutes critiques évidemment.

Merci
 
Sacré réseaux(y) je n'ai pas assez de compétences pour t'aider . Mon LAN ne comporte que deux VLAN 192.168.1.xx (réseau défaut) et 192.168.10.xx (réseau invité ) mon seul but isolé le réseau invité du réseau principal . Perso je m'aide avec le site et ici
 
Merci pour ton aide je vais regarder tes liens.

Si ça peut aider je colle mes règles :

1767475025095.png

celle qui ne fonctionne pas est encadrée en orange. dans les log j'ai ce genre de chose :

1767475136147.png
 
Hello !

La version 9.4 de Unifi Network a introduit une fonctionnalité sensationnelle pour moi.

Plutôt que que créer des routes de manière indifférenciées entre plusieurs VLAN ou entre un VLAN complet et un périphérique, l'interface permet désormais de le faire de manière graphique et très ciblée.

Du coup, ne serait-il pas plus simple et plus sécure que tu ouvres ces routes pour des périphériques précis devant accéder au NAS situé sur un autre VLAN ?



1- as tu bien passé la freebox en mode bridge ?
2- c'est quoi l'intérêt de configurer des interfaces réseau du NAS sans passerelle ? Bloquer l'accès à internet et les cantonner à un usage local ? Normalement en créant ton VLAN, il y a déjà une option pour autoriser l'accès à Internet ou pas. Ton souci ne proviendrait il pas de là du coup ?
D'ailleurs pourquoi utiliser chacune des interface sur des VLAN différents ?
A la limite, j'aurais affecté celle en 10Gps aux VLAN contenant les périphériques réclamant les usages les plus exigeants en bande passante ou réclamant les débits les plus élevés, puis agrégé et affecté les 2 en 1 Gbps à la vidéosurveillance pour avoir de la redondance, par exemple (ton switch le gère) ? Les accès au NAS pour certains périphériques auraient alors été garantis via des règles dans le parefeu.

3- l'interface te permet de créer des groupes de périphériques pour générer plus facilement les règles.
Cela peut être un bon palliatif au fait de créer un VLAN uniquement pour 1 ou 2 périphériques pour lesquels l'enjeu d'isolation reste peu crucial.

4- est ce qu'un VLAN dédié au Player Freebox est bien utile : la Freebox est la box sur laquelle la mise en œuvre de la délégation de préfixe IPv6 est la plus aboutie et facile à déployer. Une fois l'IPv6 actif sur tes VLAN, ton player doit pouvoir fonctionner sans problème.

Ultra + Ubiquiti UCG + IPv6 + vlan

Ultra + Ubiquiti UCG + IPv6 + vlan
lafibre.info

Note : j'ai une config réseau quasi identique à la tienne (Cloud Gateway Fiber + switch Pro XG POE) avec une Freebox Ultra en bridge.
L'administration du réseau est faite à 100 % via l'interface Unifi et l'IPV6 est actif sur tous les VLAN : j'ai une cinquantaine de devices IoT (prises et capteurs divers, éclairages, chauffage, caméras, etc), 3 NAS mais j'avoue ne pas être allé aussi loin dans la segmentation et le nombre de VLAN : Principal avec les périphériques (mobiles, tablettes, imprimantes) et ordinateurs de confiance, invités, IoT, consoles (VLAN spécifique dédié aux consoles Xbox sur lequel l'UPNP est activé pour faciliter le multijoueur en ligne et local sans trop me prendre la tête).
Chacun de ces VLAN dispose de son SSID avec du filtrage par adresses mac (sauf sur le réseau invités qui dispose d'un portail captif) et DoH pour un filtrage via DNS avec remontées et log de toutes les requêtes.
 
Dernière édition:
Bonjour,

CHurCH a dit:
Du coup, ne serait-il pas plus simple et plus sécure que tu ouvres ces routes pour des périphériques précis devant accéder au NAS situé sur un autre VLAN ?
Cliquez pour agrandir...

J'ai vu cette partie mais je n'ai pas essayé, j’étais en train de me renseigner sur les zones mais ça ne fonctionne pas mieux.


CHurCH a dit:
1- as tu bien passé la freebox en mode bridge ?
Cliquez pour agrandir...

Oui je suis bien en mode bridge, j'ai laissé l'accès a distance sur le port 88 d'ailleurs et je ne sais pas si c'est très judicieux ?

CHurCH a dit:
2- c'est quoi l'intérêt de configurer des interfaces réseau du NAS sans passerelle ? Bloquer l'accès à internet et les cantonner à un usage local ? Normalement en créant ton VLAN, il y a déjà une option pour autoriser l'accès à Internet ou pas. Ton souci ne proviendrait il pas de là du coup ?
D'ailleurs pourquoi utiliser chacune des interface sur des VLAN différents ?
A la limite, j'aurais affecté celle en 10Gps aux VLAN contenant les périphériques réclamant les usages les plus exigeants en bande passante ou réclamant les débits les plus élevés, puis agrégé et affecté les 2 en 1 Gbps à la vidéosurveillance pour avoir de la redondance, par exemple (ton switch le gère) ? Les accès au NAS pour certains périphériques auraient alors été garantis via des règles dans le parefeu.
Cliquez pour agrandir...

D'après ce que j'ai compris par défaut le Synology délivre le réseau sur le Lan1 et ce malgré le changement d'ordre dans la configuration. Le fait de ne pas mettre de passerelle, DNS fait qu'il ne reste plus que Lan3 qui devient par défaut.

J’étais partis dans l'idée de séparer physiquement les vlan mais après coup je suis pas certain que ce soit une bonne idée avec la carte en 10Go.

J'hésite a mettre la patte 3 (10Go) dans le vlan Home (10) plutôt que le laisser dans le management (vlan 1), ce qui resoudrait pas mal de chose.

CHurCH a dit:
3- l'interface te permet de créer des groupes de périphériques pour générer plus facilement les règles.
Cela peut être un bon palliatif au fait de créer un VLAN uniquement pour 1 ou 2 périphériques pour lesquels l'enjeu d'isolation reste peu crucial.
Cliquez pour agrandir...

Pareil je l'ai vu mais j'avais pas mesuré l'utilité.

CHurCH a dit:
4- est ce qu'un VLAN dédié au Player Freebox est bien utile : la Freebox est la box sur laquelle la mise en œuvre de la délégation de préfixe IPv6 est la plus aboutie et facile à déployer. Une fois l'IPv6 actif sur tes VLAN, ton player doit pouvoir fonctionner sans problème.
Cliquez pour agrandir...

Je dirais que non mais je n'ai pas réussi a le faire fonctionner autrement. je vais revoir ce point la.

J'ai regardé les vidéos et je vais tester ça.

Concernant les réseau je met par défaut "Isoler le réseau" mais du coup il vaudrait mieux ne pas le faire et gérer avec les règles objet ?
Idem pour pour "Autoriser l'accès Internet" ?


merci à toi également
 
En toute franchise, je pense que ton réseau gagnerait a être simplifié
Déjà, ton player TV Free devrait être en mesure de fonctionner avec de l'IPV6 et en le plaçant directement sur le VLAN principal (celui attribué par défaut par le Freebox Server sur le 1er NextHop et diffusé à ton routeur. Si tu regardes les retours sur le topic joint sur ma réponse précédente, le VLAN100 ne semble pas utile. Il te suffirait de faire une affectation de ce VLAN sur le port sur lequel serait branché le player Free ou de le connecter en wifi sur le SSID associé à ce réseau principal..
De mon côté je n'ai pas le player freebox : j'utilise plutot une Shield Tv pro avec l'application FreeTV (ex Oqee). RAS, tout fonctionne, le zapping est relativement fluide, j'ai accès au replay, à la VOD et aux enregistrements.

Le fait que tu aies isolé des réseaux comme le réseau invité, IoT / cameras voire celui dédié au télétravail ne me choque pas, c'est même logique.
Pour le reste c'est selon ton choix ou tes impératifs...mais cela t'imposera plus de règles si des éléments doivent communiquer entre VLAN.
N'oublie pas d'activer mDNS qui permet de faciliter la détection de certains services entre VLAN (Chromecast, Airplay, impression/scanner via le réseau, etc)
 
Dernière édition:
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas
Retour