Aller au contenu

Sous réseau avec accès publique


Loewyn

Messages recommandés

Bonjour à tous,

 

Je viens vers vous pour quelques conseils.

 

J'ai un site où actuellement il y a deux connexions ADSL. L'une est dans un MPLS Orange et est lié à tous mes autres sites et ressources réseau.

La seconde est une box ADSL grand publique classique.

 

Les deux box ont un débit de maximum 2 mega et ça commence à devenir vraiment trop peu.

 

Nous venons de signer pour un passage sur de la fibre optique au niveau du MPLS. J'aimerais faire disparaitre l'autre connexion ADSL (qui est aussi lente que la première...) sans pour autant monter une seconde fibre pour réduire les couts.

 

J'aimerais donc mettre en place sur mon réseau MPLS un accès publique (salle de formation que l'on loue à des sociétés) avec un adressage IP différent et interdire l'accès au réseau. En gros je leur donne une ip 192.168.1.X et je leur laisse l'accès uniquement à ce réseau sans qu'ils puissent accéder à mes serveurs / Imprimantes etc.... Ils sortent juste sur internet et c'est tout.

 

J'aimerais savoir si je peux acheter directement un routeur / point d'accès wifi qui permettrait de faire cela. Si oui avez vus des références ?

 

Merci d'avance :)

Lien vers le commentaire
Partager sur d’autres sites

comment s'architecture ton réseau actuel ?

tu as un routeur derriere le boitier orange ? ou c'est orange qui fait le routage ?

 

si c'est ton routeur, créer une VLAN et configure le pare-feu pour isoler le trafic.

si c'est le routeur de orange, tu peux je pense leur demander la même configuration.

Lien vers le commentaire
Partager sur d’autres sites

Je ne comprends pas très bien ton archi reseau.. cependant je trouve que ce n'est pas une bonne idée.

 

Personnellement ce que je ferais, c'est qu'une fois sur le réseau fibre, tu crée un VLAN pour le wifi des salles de formation et leur alloue une connexion d'environ 10mb/s (plus ou moins en fonction des besoins), le reste de la fibre tu l'utilise pour ton réseau.

 

La box ADSL, tu t'en sers de connexion de secours en cas de plantage de ta connexion FTTH (routeur down, fibre cassée, ou autre).

Ça te permettra d'avoir internet quoi qu'il arrive, même si la connexion sera très faible.

 

Personnellement je procéderais comme ça, à moins que je n'ai pas compris ton architecture réseau..

Lien vers le commentaire
Partager sur d’autres sites

Actuellement j'ai un routeur Orange et c'est tout, c'est donc Orange qui gère toute la partie réseau en amont. Le site est petit j'ai vraiment pas grand monde et c'est de la production industrielle principalement.

 

J'ai pas de switch manageable, c'est presque "comme à la maison" une box, un Switch et c'est tout.
Pour des raisons de coûts et vu le service apporté par la box ADSL celle ci sera résiliée donc il ne faut pas compter dessus ?
 

Lien vers le commentaire
Partager sur d’autres sites

il y a 2 minutes, Loewyn a dit :

Actuellement j'ai un routeur Orange et c'est tout, c'est donc Orange qui gère toute la partie réseau en amont. Le site est petit j'ai vraiment pas grand monde et c'est de la production industrielle principalement.

 

J'ai pas de switch manageable, c'est presque "comme à la maison" une box, un Switch et c'est tout.
Pour des raisons de coûts et vu le service apporté par la box ADSL celle ci sera résiliée donc il ne faut pas compter dessus ?
 

 

Dans ce cas pourquoi ne gardes tu pas uniquement la connexion fibre, et tu crée des vlans, par exemple pour les salles de réunions tu crée un VLAN 5 accessible via un réseau wifi , et sur ce VLAN 5,6,7 ou autre et tu alloue 10Mb de connexion

Lien vers le commentaire
Partager sur d’autres sites

tu peux demander a Orange de faire la création des Vlan et les règles du pare-feu (tu vois en fonction des besoins, mais tu peux très bien imaginer de laisser l'accès au imprimantes uniquement, ...).

 

après suivant les besoins, si c'est ton AP peux être positionner a coté de ta box, tu demande a orange de te faire une interface non tagués sur leur routeur.

 

comme sa tu change rien a ton réseau actuel.

et tu branche ton AP sur l'interface configuré par Orange.

Lien vers le commentaire
Partager sur d’autres sites

il y a 30 minutes, Mazaki a dit :

 

Dans ce cas pourquoi ne gardes tu pas uniquement la connexion fibre, et tu crée des vlans, par exemple pour les salles de réunions tu crée un VLAN 5 accessible via un réseau wifi , et sur ce VLAN 5,6,7 ou autre et tu alloue 10Mb de connexion

Je vias me renseigner voir ;)

 

il y a 25 minutes, ramius179 a dit :

tu peux demander a Orange de faire la création des Vlan et les règles du pare-feu (tu vois en fonction des besoins, mais tu peux très bien imaginer de laisser l'accès au imprimantes uniquement, ...).

 

après suivant les besoins, si c'est ton AP peux être positionner a coté de ta box, tu demande a orange de te faire une interface non tagués sur leur routeur.

 

comme sa tu change rien a ton réseau actuel.

et tu branche ton AP sur l'interface configuré par Orange.

Qu'entends tu par une interface non tagués ? une interface sans l'accès réseau et juste internet ?

 

Lien vers le commentaire
Partager sur d’autres sites

par interface je parle des ports du routeur de orange (généralement sur les routeurs pro c'est eth0, eth1, eth2, ...).

 

tu leur demande de te créer une Vlan avec des restrictions dans le pare-feu (en l'occurrence, autoriser uniquement internet, et empêcher toute connexion sur le réseau administratif).

cette Vlan, tu leur demande de la configurer sur une des interfaces du routeur de Orange en non taggé (Untagged) .

 

du coup n'importe quel périphérique connecté sur l'interface sera sur le Vlan isolé sans avoir rien a configuré en plus (switch, point d'accès wifi, ...)

 

en terme de matériel, du coup tu n'auras besoin que d'un point d'accès qui serait connecté directement au routeur de orange (sur l'interface configuré par orange).

Lien vers le commentaire
Partager sur d’autres sites

Il y a 15 heures, ramius179 a dit :

par interface je parle des ports du routeur de orange (généralement sur les routeurs pro c'est eth0, eth1, eth2, ...). 

 

tu leur demande de te créer une Vlan avec des restrictions dans le pare-feu (en l'occurrence, autoriser uniquement internet, et empêcher toute connexion sur le réseau administratif).

cette Vlan, tu leur demande de la configurer sur une des interfaces du routeur de Orange en non taggé (Untagged) . 

 

du coup n'importe quel périphérique connecté sur l'interface sera sur le Vlan isolé sans avoir rien a configuré en plus (switch, point d'accès wifi, ...)

  

en terme de matériel, du coup tu n'auras besoin que d'un point d'accès qui serait connecté directement au routeur de orange (sur l'interface configuré par orange). 

 

Il y a 8 heures, Exelsis a dit :

Faut voir le débit qui va être apporté par la fibre et demander à Orange si l'opération est possible (d'ailleurs sa coute combien chez eux ??) curieux de savoir.

 

Oui en tout cas il faut créer un VLAN si ton switch le permet

Merci de vos réponses.

Orange doit facturer ça bien comme il faut je pense x)

Je vais commencer par regarder à faire ça moi même (J'ai jamais fais de VLAN donc ce sera un bon exercice).

 

Je commence à lire de la doc et je reviens vers vous si j'ai des questions.

 

Merci bien :)

Lien vers le commentaire
Partager sur d’autres sites

Je reviens déjà !
 
ça à pas l'air sorcier pour la configuration des VLANS .

 

Voici le switch qui sera utilisé : https://www.ldlc.com/fiche/PB00028178.html (je possède déjà donc ce sera un peu "la contrainte")

 

Sur ce switch j'ai 16 ports.


Je pense donc utiliser le port 1 pour y brancher mon Point d'accès wifi et les autres ports (2-16) pour le reste de mon réseau (restons simple pour le moment).

 

Je créé donc un VLAN "VLAN 2" et j'y inclus ce port 1. Je configure un point d'accès wifi avec un DHCP qui donne une adresse qui sera admettons

192.168.1.X

Jusque la tout va bien.

 

Par contre il faut quand même que j'ai accès à internet Donc il faut que je mette dans mon VLAN 2 mon routeur Orange (port 16) ? Mais du coup il n'est plus dans le VLAN par défaut ?

 

Aussi si je met le routeur dans le VLAN 2, je vais pouvoir configurer mon point d'accès pour qu'il est une gateway sur mon routeur qui lui est sur un autre réseau en

192.168.0.254

 

Aussi du coup, comme sur le site j'ai un switch manageable le VLAN 2 n'a pas accès aux équipements du site mais quid des autres réseaux sur mon VPN

192.168.3.x

192.168.4.x

192.168.5.x

192.168.6.x
....

 

Vu que je sors sur le routeur au delà de ce routeur ils peuvent accéder aux autres non ?

 


Merci d'avance

Lien vers le commentaire
Partager sur d’autres sites

il te faut un routeur sur lequel tu configure tes Vlan et paramètre ton routeur pour faire des restrictions dans le pare-feu.

 

en gros perso je verrais les choses comme cela

 

Box Orange ----- ton routeur --------- ensuite ton switch avec tes ports

(si c'est possible en mode bridge la box orange)

 

Pour le routeur

tu configure genre le port Lan 1 avec le vlan 1 (pour le réseau Admin) en non tagués.

et tu configure sur le même port le Vlan 5 (tu met ce que tu veux comme numéro) en mode taggés.

 

pour le switch

tu configures le port 1 de ton switch avec le Vlan 1 en non taggés et le vlan 5 en taggés

tu configures le port 16 de ton routeur en non taggés sur le vlan 5

tu branches un cable entre le lan 1 de ton routeur et le port 1 de ton switch

tu branches ton réseau admin sur les ports 2 a 15 et  ton ap sur le port 16

 

tu devrais avoir les deux séparer.

après il faudra faire les règles dans le pare-feu

Lien vers le commentaire
Partager sur d’autres sites

Il y a 20 heures, ramius179 a dit :

il te faut un routeur sur lequel tu configure tes Vlan et paramètre ton routeur pour faire des restrictions dans le pare-feu.

 

en gros perso je verrais les choses comme cela

 

Box Orange ----- ton routeur --------- ensuite ton switch avec tes ports

(si c'est possible en mode bridge la box orange)

 

Pour le routeur

tu configure genre le port Lan 1 avec le vlan 1 (pour le réseau Admin) en non tagués.

et tu configure sur le même port le Vlan 5 (tu met ce que tu veux comme numéro) en mode taggés.

 

pour le switch

tu configures le port 1 de ton switch avec le Vlan 1 en non taggés et le vlan 5 en taggés

tu configures le port 16 de ton routeur en non taggés sur le vlan 5 

tu branches un cable entre le lan 1 de ton routeur et le port 1 de ton switch

tu branches ton réseau admin sur les ports 2 a 15 et  ton ap sur le port 16 

 

tu devrais avoir les deux séparer.

après il faudra faire les règles dans le pare-feu

Merci de ta réponse,


C'est Orange qui gère tout ce qui est par feu / Liaison VPN etc au travers de la box. Je ne peux donc pas la mettre en bridge.

 

Je pense que je vais plutôt me tourner vers Orange pour faire ouvrir une interface non tagué comme préconisé plus haut, la ça me semble bien plus compliqué et j'ai pas envie de mettre autant de matériel sur ce site.
 

Merci à tous :)

Lien vers le commentaire
Partager sur d’autres sites

Rajout de routeur = config supplémentaire et augmente le risque de panne, de plus si tout le trafic reviens sur la même patte  du routeur orange sa sert a rien de faire des vlan en interne. Le plus simple est qu orange ouvre un autre port pour le réseau public et sépare le trafic dans le mpls  

Lien vers le commentaire
Partager sur d’autres sites

Il y a 11 heures, Exelsis a dit :

Rajout de routeur = config supplémentaire et augmente le risque de panne, de plus si tout le trafic reviens sur la même patte  du routeur orange sa sert a rien de faire des vlan en interne. Le plus simple est qu orange ouvre un autre port pour le réseau public et sépare le trafic dans le mpls   

C'est parfait merci :)

Lien vers le commentaire
Partager sur d’autres sites

×
×
  • Créer...