communication entre VLAN

[jjacques68]

hello tout le monde !

 

Encore une question réseau :

 

j’ai 2 vlan chez moi. 1 pour la vidéo et un pour le reste.

c’edt bien ça permet de séparer totalement les réseaux.

ces vlan sont gérés par un routeur Netgear UTM (avec dhcp par vlan et routage inter vlan désactivé)

 

mais ce serait super top si je pouvais autoriser un device (téléphone en wifi) à communiquer sur les 2 vlan.

cela m’évieterai de passer par le net pour voir le flux des caméras (idem pour la HC2).

 

Mais j’ai aucune idée de comment faire et déjà si c’est possible !

il y a une quantité d’option possible sur le routeur et je m’y perds...

 

merci d’avance !

[Nico]

Hum, je ne sais pas si c'est possible, les vlan servant justement à isoler cela. Mais pourquoi interdire le routage inter vlan ?

[jjacques68]

ben si je l’active, les tous les devices peuvent communiquer entre eux ! nan ?

du coup on perd la séparation ...

[Lazer]

Il faut :

1/ activer le routage inter-VLAN

2/ activer le firewall avec une politique par défaut qui bloque tout rentre les 2 réseaux, dans les 2 sens (deny all)

3/ ajouter une règle qui autorise uniquement ce que tu veux (l'adresse IP de ton téléphone vers l'adresse IP de la caméra cible)

4.../ recommencer le point 3 : ajouter autant de règle que nécessaire pour ajouter chaque équipement autorisé...

 

Aucune idée de comment on configure cela sur ton matériel.

C'est ce que je fais sur mon Ubiquiti entre les différents VLANs, et c'est la façon normale de faire en réseau : on bloque tout, et on autorise au compte goute.

[jjacques68]

Bon alors ça fait que j’essaye... fais ce demain, vous tiens au courant !!

Merci !


Envoyé de mon iPhone en utilisant Tapatalk Pro

[jjacques68]

@Lazer ça ressemble à ça ce dont tu parles ?

 

Parce que ça marche pas, 2.34 est mon PC et 3.11 est une camera.

Pas de réponse au ping.

 

Par contre j'espère que ce la se passe qu'au niveau du routeur, car j'ai un switch POE manageable entre...

 

[Lazer]

Ça a l'air ok, mais je n'ai aucune expérience en routeur NETGEAR, il y a peut être une subtilité ailleurs.

Ce qui me surprend c'est que la page ne te propose pas de choisir les interfaces d'entrée et sortie (ou à minima les VLANs sources et destination).

 

Pour ton Switch, aucune idée, je ne sais pas comment est architecturé ton réseau.

[Dgille]

Vas y par étape.

Active le routage intervlan et autorise tout pour un temps, vérifie que cela fonctionne,

ensuite, procédure de @Lazer,

si cela bloque, active les logs comme proposé sur les réglés en autorisation et refus, si c'est le firewall qui bloque, tu auras l'info.

[jjacques68]

Je vais aussi essayer de brancher directement un pc sur l’autre vlan sans passer par le switch (il me reste un port de libre sur le routeur)

Problème avec le switch POE est qu’il est relie au routeur par un trunk...


Envoyé de mon iPhone en utilisant Tapatalk Pro

[Dgille]

Ok, un point à vérifier si tu as un trunk entre matériels de marque différente, c'est que le vlan par défaut soit taggés (ou pas). Certains matériels ne l'acceptent pas. ton problème vient peut être de la conf du trunk.

teste tout cela et envoie nous un schéma d'architecture (en logique et physique), bien que le logique semble assez simple.

[jjacques68]

Je vais faire des essais, voici le plan...

Modifié le 13 mai 2018 par jjacques68

[Dgille]

tu es en full netgear, donc coté Trunk, cela devrait fonctionner de base. Fait le test en autorisant tous les flux entre tes 2 vlans temporairement, cela te permettra de t'assurer que la partie routage fonctionne correctement.

[jjacques68]

mais c'est fais, j'ai cocher la case "enable VLAN inter routing"...

 

Je vais brancher un pc portable sur le port 3 du routeur, où je viens de spécifier que le VLAN 3 doit aussi passer par ce port...

[jjacques68]

bon ça marche toujours pas, tout est ouvert et voici le log du Firewall :

[jjacques68]

et pourtant d'après le notice du routeur, je fais ce qu'il faut !

[Lazer]

IN=LAN OUT=LAN

Là tu as un problème.... si ça rentre et ça sort sur le même VLAN, tu as un problème dans la table de routage, non ?

[jjacques68]

euh je sais pas ?

[Dgille]

Vérifie que ta caméra a bien une passerelle par défaut. Je comprends que tu y accèdes via le NVR, donc peut être que sa conf est incomplète.

Si sa passerelle est bien positionnée, vérifie qu'un pc dans le même vlan peut la pinger, au cas elle ne l'autoriserait pas. si elle dispose d'un outil de test réseau sur son interface, vérifie qu'elle pingue bien sa passerelle par défaut.

Le routeur/firewall voit bien arriver le flux, et l'accepte, donc ton problème semble être coté routage.

essayer de pinger ton NVR (en autorisant le flux)

[jjacques68]

@Dgille J'ai pas de soucis de ping à l'intérieur du même VLAN, ça fonctionne bien.

[Dgille]

ok, vérifie la passerelle de la caméra

[jjacques68]

@Dgille, la caméra est OK, tout en DHCP et je ne trouve l'info de la passerelle (FOSCAM)

Là je suis entrain de faire des essai avec un PC directement brancher sur le port 3 du routeur, auquel seul le VLAN 3 transit...

[jjacques68]

Concernant les routes :

 

Faut-il ajouter manuellement les routes pour passer d'un VLAN à L'autre ?

[Lazer]

Pas besoin si tous les équipements ont comme gateway par défaut l'adresse IP de l'interface du routeur sur chaque VLAN.

Ce qui devrait être le cas si le serveur DHCP est bien actif sur le routeur.

 

Mais attention à ton NVR, il n'aurait pas un serveur DHCP embarqué ce truc là ? Et il pousserait une config incorrecte aux caméras...

[Dgille]

Non si tu as une passerelle par défaut( qui indique justement l'ip du routeur te permettant de joindre les autres réseaux en dehors de ton subnet local)

[jjacques68]

nan c'est un simple PC. par contre il a 2 cartes réseau (une pour chaque VLAN)