Wifi privée et public

[lolo2000]

Bonjour,

Je possède un routeur cisco RV340 et 2 bornes wifi Netgear WNDAP360, Je voulais crée avec cette borne un reseau privée et un reseau public.

Mon reseau privée est en 192.168.1.0 et mon reseau public est en 192.168.3.0 depuis ma borne wifi.

 Ce que j'ai fais:

2 Vlans:

1 vlan en 192.168.1.0 pour tout les utilisateurs de la société

1 vlan en 192.168.3.0 pour le wifi

 

Le probleme de ma config, c'est que sur le wifi je ne peut avoir accès à mes serveurs.( reseau privée)

Mes 2 vlans sont complètement dissocier et pas possible d'attaquer l'IP 192.168.1.0 depuis l'IP 192.168.3.0 et vis versa.

Ma question: Je ne vois vraiment pas comment faire pour pouvoir crée un reseau wifi avec une ip privée et une public.

 

Merci d'avance pour vos réponse

Lolo

 

[Pyrithe]

@lolo2000 Je ne connais pas trop ce routeur, mais est ce que le routage inter-vlan est activé sur chaque vlan?

[lolo2000]

A vrai dire moi non plus, justement je ne pense pas qu'il faille faire du routage inter vlan, je pensais plutôt gérer les 2 ips dans la borne wifi.

En fait la vrai question c'est plutot: dans l'industrie comment fait on pour crée ce type de réseau?

Lolo

[Exelsis]

Dans l industrie il faut utiliser soit des routeurs, des pare feux/UTM ou bien des switch L3.

 

[Exelsis]

Le rv134 a l air de gérer les vlan, as tu un switch gérant les vlans entre tes bornes wifi et ton routeurs?

 

sur te bornes wifi à tu tagger tes 2 réseaux ? 

 

[lolo2000]

bonsoir

Oui je vais essayer ca

Merci

[Pyrithe]

Ah oui si le switch ne gère pas les vlans....

C'est pas en prod?

[lolo2000]

Bonjour

C'est bon cela fonctionne, j'ai tagger un des port du routeur avec 2 VLANS (le RV340 a 4 port LAN)

Puis j'ai tagger la borne wifi, j'ai donc sur ma borne 2 VLANS avec 2 ssid différent

Public 192.168.1.X

Privée 192.168.3.X

Pour le moment cela n'est pas en prod, je m'auto forme.

En revanche, j'ai accès depuis l'IP public, à la passerelle 192.168.1.254 VLAN1( pas bon du tout) et meme 192.168.3.254 VLAN3 mais ça c'est surement normal

J'ai essayé de mettre en place des règles de firewall pour eviter que le VLAN 3 ne puisse avoir accès au VLAN1, mais pas sur que cela ce fasse comme cela.

Lolo

 

[lolo2000]

En fait je me suis trompé

Dans ma borne wifi j'ai mis le wifi de management sur VLAN3 donc j'ai changé ça

En VLAN1 IP de management 192.168.1.X

VLAN2 IP pour la production1

VLAN3 IP wifi( privée et public) en public j'ai seulement accès a internet et pas le reseau local

VLAN4 IP IP pour la compta

VLAN5 serveur

J'ai quand mème une intérrogation, la prod1 et la compta ne doivent pas se voir, mais doivent avoir internet et chacun doit voir les serveurs.

J'ai pas prévu de mettre une imprimante visible seulement pour quelques personnes, mais dans le cas ou je voudrais assignée cette imprimante à quelques utilisateurs, que faut il que je fasse?

Là je pèche (faut il mettre en place  des règles dans le firewall)?

Bonne soirée

 

 

[Exelsis]

Vlan pour les imprimantes.

attention à ne pas trop segmenter si petit réseau. 

[lolo2000]

Bonjour Exelis

Il y a 17 heures, Exelsis a dit :

Vlan pour les imprimantes.

attention à ne pas trop segmenter si petit réseau. 

Pourquoi quelle incidence?

Mon réseau est comme suis:

VLAN1 =192.168.1.X management

VLAN2 =192.168.2.X prod

VLAN3 =192.168.3.X wifi

VLAN4 =192.168.4.X compta

VLAN5 =192.168.5.X serveur

VLAN6 =192.168.6.X imprimante

La ou je risque de me perdre c'est sur le reglage du switch

Par exemple le port de l'imprimante fait parti des VLAN2-4 -6 par bon sens je mettrais le port de l'imp sur pvid sur 6, mais pas sur qu'il faille TAGGER le port de l'imprimante, afin que le vlan4 puisse y avoir accès.

Le port de management fait parti des VLAN1-2-3-4-5-6, leur port serais en pvid 1 et TAG

Les ports de la production font parti des  VLAN2-5-6, leur port serais en pvid 2 et non TAG

Les ports de la compta font parti des VLAN4-5-6, leur port serais en pvid 4 et non TAG

Les ports des serveurs font parti des VLAN2-3-4-5, leur port serais en pvid 5 et non TAG

Le port de l'imprimante fait parti du VLAN6-4-3-2, sont port serais en pvid 6 et non TAG

 

Est ce que cela fonctionnerais ?

Mon switch Netgear GT748 TS surpporte les VLANS

Et mon router Cisco RV340 gère les VLANS

J'ai aussi une autre question, chaque VLAN a ca passerelle, donc internet, mais je peche un peu....

Comment est ce possible que chaque VLAN puisse avoir le NET?

 

Voila je pense n'avoir rien oublier

Bonne soirée

Lolo

 

 

 

[Exelsis]

Non ça ne marchera pas. Ce n est pas parce que ton port est dans plusieurs vlan que il y aura une communication entre. Il faut router les trames entre les différents réseaux. 

[lolo2000]

Merci pour ta reponse.

Mais ou router tout ça? Par le firewall?

J'envoi les regles de firewall, pour savoir si il faut que je procède comme ça.

 

[Pyrithe]

Il faut absolument que tu commences par bien comprendre qui fait quoi dans un réseau. En terme de services.

Tu as des éléments qui offrent plusieurs services donc ça n'aide pas a comprendre quand on monte un labo de test.

Lorsqu'on étudie, c'est pour ça qu'on nous fait utiliser des éléments qui n'offrent qu'une fonction (un routeur qui n'est pas sexy avec de l'interface web par exemple, mais ne fait que du routage).

Identifie ce qu'est un routeur, un firewall, un switch déjà.

Ensuite réfléchi qui offre les fonctions de VLAN et qui doit apporter des fonctions autour.

L'idéal quand on fait du réseau est de bien appréhender le modèle OSI, je t'encourage à ça si tu veux faire du réseau. Sur le modèle OSI tu verrais immédiatement qu'un firewall n'intervient pas sur le routage.

Avant de faire un tel labo, par tâtonnement, je t'encourage vivement à un peu de théorie.

[lolo2000]

Merci,

Je connais un peu le modele OSI

Je connais la 1ere couche :Physique les connecteurs/cables/

2eme les commutateurs

3 les routeurs

Mais c'est vrai que dans le routeur il y a tellement de chose, que sans formation c'est délicat, mais malgrés cela il faut que j'avance, il en va de la pérénité de mon emploi.

merci encore

[Pyrithe]

il y a 17 minutes, lolo2000 a dit :

Mais c'est vrai que dans le routeur il y a tellement de chose, que sans formation c'est délicat, mais malgrés cela il faut que j'avance, il en va de la pérénité de mon emploi.

C'est là que tu te trompes. Tu parle d'un "boitier" à tout faire. Dont routeur.

Un routeur, il route. Point barre. Après, si on "boitier" ou "routeur" fait aussi firewall, c'est bien. Mais il faut les voir comme deux équipements indépendants, pour ne pas te mélanger les pinceaux. Sinon, tu va commencer à t'embrouiller, intervenir sur tous les types de services, même si ca n'a pas trop de liens avec ce que tu fais.

Je te dis ca justement pour que tu sois à même de progresser, surtout si c'est d'emploi qu'on parle, et pas de tests!!!

[lolo2000]

Ok je comprend

Voila ce qui c'est passé, une société d'IT est venu nous a livré du matériel dont Routeur Cisco RV340 et borne wifi NetGear.

Puis cette boite n'a plus donnée de nouvelle, j'ai donc pris une autre société plutôt compétente, qui nous a vendu du Watchguard, bon il me semble que c'est de la Ferrari au meme titre que Fortinet.

De là puisque le matériel n'était plus utilisé mon boss ma permis de le prendre chez moi pour apprendre de chez moi.

L'IT que j' emploi a commencé a m'expliquer plein de chose AD, VPN, VLAN, HYPER V, NAS SYNO, et j'en passe, mais la crise est arrivé, donc maintenant vu que je suis au chomage j'en profite pour apprendre.

Ce n'est qu'un début, je dois encore voir l'HYPER V et AD, ce qui est sur, c'est que je ne vais pas rester les bras croisé chez moi, autant apprendre ce que je peu.

 

J'en reviens au connection interVlan, effectivement j'ai coché la case (inter vlan routing) ce qui me permet de pinger un hôte qui est sur le VLAN2 par ex, alors que moi je suis sur le VLAN1.

Lorsque Exelsis m'a repondu il m'a dit qu'il fallait faire du routage, ce qui me parait normal( après ne pas savoir le faire c'est autre chose)

 

Donc j'ai 1 questions:

Je viens de cocher interVlan routing ( mais est ce suffisant)???

Apparament je peu pinger les différentes hôtes du reseau

Lolo

 

 

 

 

 

[lolo2000]

Désactiver pour certain VLAN l'option intra VLAN routing permet effectivement de rendre le VLAN completement dissocié des autres.

Mais dans mon cas comment faire?

Je ne veux pas que le VLAN 2 entre en contact avec le VLAN4, ce qui est le cas, mais dans ce cas de figure le VLAN4 n'aura plus accès au VLAN5 et 6( vlan des serveurs et impression)

Ou alors le mieux étant de relier mon LAN1 à un switch, qui véhiculerais tout les VLANS, et d'activer intra vlan routing pour VLAN2-4-5-6,  puis associer sur les ports du switch chaque VLAN dont jai besoin en fonction de chaque user .

[Exelsis]

Il y a 6 heures, lolo2000 a dit :

autre société plutôt compétente, qui nous a vendu du Watchguard,

tu l'utilises plus ?

 

Après suivant les modèles des routeurs les fonctions différent, je ne connais pas ce modèle donc dur de te dire si c'est la bonne option !

[Exelsis]

Le 08/04/2020 à 19:34, lolo2000 a dit :

Pourquoi quelle incidence?

Je ne t'avais pas répondu à cette question.

Quelle est la taille de ton réseau ? nbre serveurs, pc, copieurs/imp etc

 

 

 

[lolo2000]

Il y a 11 heures, Exelsis a dit :

tu l'utilises plus ?

 

Après suivant les modèles des routeurs les fonctions différent, je ne connais pas ce modèle donc dur de te dire si c'est la bonne option !

Bonjour Exelsis,

Si j'utilise le  routeur RV340 et 3borne wifi que j'utilise, mais il y a encore dans la société ou je bosse  un routeur RV340  quasi neuf dont je ne me sert pas.

[lolo2000]

Il y a 9 heures, Exelsis a dit :

Je ne t'avais pas répondu à cette question.

Quelle est la taille de ton réseau ? nbre serveurs, pc, copieurs/imp etc

 

 

 

concernant le reseau, il est essentiellement MAC, nous avons une cinquantaine de pc et mac

3 serveurs de prod audio/video 600T

1 syno partage smb/afp

1 FTP

1 serveur type Ftp(Aspera)

2 serveurs smb

2 imprimantes

1 serveur hyper V (AD/PRTG)

 

 

 

[lolo2000]

Bonsoir

Juste pour dire que j'ai reussi a crée de multiple vlan, qui sont séparé entre eux et donc les sécurises.

Crée un reseau wifi public et privée

Et le firewall lui joue le role de quel VLAN parle a quel VLAN.

Et quel VLAN parle au serveur

Je pars une config DNS et AD, une autre paire de manche

Merci à tous ceux qui m'ont aidé.

Lolo