[nemorelax]

Bonsoir à toute la communauté !!

J'ai un grand besoin de vos lumières à propos d'une topologie que j'aimerai bien mettre en place.

J'ai lu pas mal de doc sur le sujet dont l'excellent article de geek pages :

http://www.geek-pages.com/articles/latest/802.1q_trunking_on_the_linksys_wrt54g/s/l_with_dd-wrt.html

mais une autre documentation déconseille d'utiliser JFFS..
Bref tout ça pour vous dire que je viens ici car je suis perdu, j'ai lu tellement de chose que je suis vraiment dans le brouillard.

Laissez moi vous exposer la topologie souhaitée :

Matériel:
- Routeurs : 2 WRT54GL
- Firmware : ddwrt v24 SP1 VPN Generic
- commutateur Cisco 2950T 24 ports 100TX, 2 ports 1000TX

Topologie:

- sur le commutateur configuration de 3 Vlan :
* Vlan 1 (public) avec un routeur numero 2 faisant
office de point d'accès
* Vlan 2 (privé)
* Vlan 3 (services)
* Un TRUNK pour ces VLAN

Nous avons donc sur le commutateur 3 Vlan qui doivent avoir un accés à l'Internet, mais ne pouvant pas communiquer entre eux.
La prochaine étape est celle sur laquelle je suis complètement perdu,je sais ça n'est pas très loin dans la topologie, j'ai honte :

Je souhaite grace au routeur numero 1 faire du "routage" entre ces VLAN, avec ces règles :

* VLAN 1 et VLAN 3 peuvent communiquer entre eux
* VLAN 2 et VLAN 3 peuvent communiquer entre eux
* VLAN 1 et VLAN 2 interdiction de communiquer
* VLAN 1, VLAN 2, VLAN 3 ont un accès à internet
* DHCP sur les VLAN 1 et 2, mais ip statique sur
le VLAN 3

- Sur le routeur numéro 1 :
* Le trunk sur le port 4, donc en liaison avec le
trunk du commutateur
* Un wifi isolé du reste, sauf du VLAN 3 (services)

Pourriez-vous m'aider à établir cette topologie ? :
Configuration des VLAN, Trunk et isolation du wifi ?

Si une âme charitable passe par ici, je suis preneur !!

Merci d'avance à toutes et à tous.

[lexstyui]

Salut.

Quelle autre document déconseille d'utiliser la jffs (en utilisant un script au démarrage ? )? Est ce que tu peux donner le lien ?

Première chose, tu ne devrait pas rester en sp1, mets à jour ton routeur à jour avec une version V24 sp2 mais pas n'importe laquelle.
Car sur les versions vpn, tu ne peux pas utiliser jffs sauf avec une version un peu plus light.
http://www.dd-wrt.com/wiki/index.php/What_is_DD-WRT%3F#File_Versions
http://www.dd-wrt.com/dd-wrtv2/downloads/others/eko/V24_TNG/svn12774/dd-wrt.v24-12774_NEWD_openvpn_jffs_small.bin
http://www.dd-wrt.com/dd-wrtv2/down.php?path=downloads%2Fothers%2Feko%2FV24_TNG%2Fsvn12774/

Il me semble que les vlans sont déjà séparés et protégés, tu rajoutes des règles pour qu'ils communiquent entre eux,en utilisant des commandes iptables en indiquant l'interface de sortie et d'entrée, les vlans.
http://www.dd-wrt.com/wiki/index.php/Iptables_command
Regardes la page 3 du tuto, c'est indiqué.

iptables -I FORWARD -i br0 -o vlan2 -j ACCEPT
iptables -I FORWARD -i vlan2 -o br0 -j ACCEPT
iptables -I FORWARD -i vlan2 -o vlan1 -j ACCEPT
iptables -I FORWARD -i vlan2 -o vlan4 -j ACCEPT

iptables -I FORWARD -i br0 -o vlan3 -j ACCEPT
iptables -I FORWARD -i vlan3 -o br0 -j ACCEPT
iptables -I FORWARD -i vlan3 -o vlan1 -j ACCEPT
iptables -I FORWARD -i vlan3 -o vlan4 -j ACCEPT

iptables -I FORWARD -i br0 -o vlan4 -j ACCEPT
iptables -I FORWARD -i vlan4 -o br0 -j ACCEPT
iptables -I FORWARD -i vlan4 -o vlan1 -j ACCEPT
iptables -I FORWARD -i vlan4 -o vlan2 -j ACCEPT
iptables -I FORWARD -i vlan4 -o vlan3 -j ACCEPT


vlan2=vlan1 vlan3=vlan2 vlan4=vlan3

Dans le tuto, il recommende de commencer à partir de vlan 2 donc tu as vlan2 vlan3 et vlan4. vlan1 est le port wan de ton GL.

A vérifier !

[nemorelax]

Bonjour lex et merci d'avoir pris de ton temps pour te pencher sur mon problème.

J'ai passé commande de 2 routeurs destinés à un labo pour tester cette topologie, les deux autres étant en production je ne peux pas encore tester.

Habitant en polynésie, je devrai les recevoir mardi.
Dès reception, je vais tester la config avec tes indications et je ferai un retour sur le forum.

Je vais essayer de retrouver la source qui disait de ne pas utiliser la methode JFFS.

Merci encore lex pour tous tes liens, je ne savais même pas qu'il y avait 2 "branches" pour le developpement de DDWRT.

J'ai une autre petite question concernant la ligne "br0", je sais que c'est un bridge mais quelle est son utilité précise ?

[yzy-oui-fi]

Br0 bridge le Lan et le Wlan (ethernet + wifi)

[nemorelax]

Merci yzy pour la réponse.

Juste une petite précision : le bridge, si j'ai bien compris sert à "relier", "faire communiquer" 2 interfaces ou ensemble d'interfaces entre elles, ou sert-il à mettre dans le même "panier" un ensemble d'interfaces, ou suis-je complètement à coté de la plaque ?

Désolé j'ai du mal avec la notion de bridge...

Sinon les colis devraient arriver demain et je pourrai enfin tester la topologie souhaitée et commencer les retours sur le forum...

Merci encore pour vos post.

[yzy-oui-fi]

Bridge signifie ponté.

donc oui cela relie les interfaces vlan et les regroupe. dans le cas du bridge, les vlan partage la meme classe IP

en gros on crais un classe 3 avec deux classe 2

[nemorelax]

OK yzy, merci pour les infos et d'avoir pris le temps de me répondre.

Je n'ai pas encore reçu le matos, surement demain...Donc dès réception je m'y mets et vous tiens au courant...

[nemorelax]

Bonjour lex et yzy,

Voila j'ai reçu (enfin) le matériel.

Après déballage, et en suivant les conseils de lex, je le flash donc en ddwrt V24 SP2 grâce aux liens indiqués dans le post de lex.

Après les vérifications d'usages, je m'attaque donc à la configuration dictée dans le tutoriel de geek pages (http://www.geek-pages.com/articles/latest/802.1q_trunking_on_the_linksys_wrt54g/s/l_with_dd-wrt.html).
Tout à l'air ok.

Je passe sur le commutateur et je configure donc pour le moment 2 Vlan > vlan 2 (port fa 0/9) et vlan 3 (port fa 0/10), je ne paramètre pas encore le vlan 3 (dans ma topologie, qui doit être en fait le vlan 4 dans la réalité en suivant les conseils de lex).
Le trunk est configuré sur le commutateur sur le port fa 0/16 avec une encapsulation 802.1q.

Je ne passe pas encore les commandes iptables pour le routage des vlan, car je souhaite faire un test avant que voici :

Je connecte un pc sur le port 3 du routeur (vlan 2), avec comme @ : 192.168.1.100/24

Je connecte un pc sur le port fa 0/9 du commutateur (vlan 2), avec comme @ : 192.168.1.101/24

Je réalise ces connexions dans le but ( je pense) de pouvoir tester la fonctionnalité du trunk.

Je balance les ping :

de 192.168.1.101/24 > ping 192.168.1.1 (@ du routeur) > ok

de 192.168.1.101/24 > ping 192.168.1.100 (@ du pc sur le port 3 du routeur) > ok

de 192.168.1.100/24 > ping 192.168.1.101 (@ du pc sur le port fa 0/9, donc vlan 2 du commutateur) > time out...

J'ai arrêté le test et la configuration ici, car en théorie je devrais être capable de faire communiquer les 2 pc car étant dans le même vlan... Malheureusement, ça ne passe que dans un seul sens...

Si vous avez une idée je suis preneur.

Merci encore pour votre aide.

[yzy-oui-fi]

peux tu faire des copies d'écran de ton vlan et onglet réseau???

[nemorelax]

Coucou yzy,

Voila les copies d'écran demandées.

Petite question, suis-je obligé de suivre le tutoriel de geek pages pour le trunk, ou peut-on tout faire par la GUI, car le tuto est réalisé avec une version 23...

[nemorelax]

Toujours à la recherche d'une piste, je me suis dit qu'il y avait peut être un problème de correspondance entre les ports visibles à l'arrière du wrt54GL et la numérotation réelle de ces derniers en interne...

Toujours en suivant le tuto proposé par geek pages, j'ai donc saisi les parmètres suivant :

nvram set vlan0ports="5*"
nvram set vlan2ports="1 2 3 4 5t"
nvram commit

nvram set vlan2ports="1 2 3 4t 5t"
nvram set vlan3ports="4t 5t"
nvram commit

Mais en regardant d'autres configurations sur le net (aucune en rapport avec ce que je veux réaliser), j'ai observé différentes numérotation pour les ports... Dans d'autres configuations, le "t" à la suite de 5 et 4 n'y est pas... Un peu perdu là...
Je vais tester d'autres numérotations...

Sinon, pour indice, avec la configuration de geek pages, le dhcp est inefficace sur le vlan3...
Je devrais peut-être aussi travailler dans un premier temps uniquement sur le routeur, c'est à dire, faire un vlan2 et un vlan3 directement sur la partie commutation du wrt54gl, histoire de voir s'il n'y a pas de problème de propagation des ID des vlans sur ce fameux trunk...

Bien pénible tout cela...

Allez je retourne aux essais...

[nemorelax]

Bon je reviens sur mon dernier post au sujet du "t" après la numérotation des port 4 et 5, je suppose que "t" veux dire "tagged"...
Si c'est bien le cas je comprends donc mieux l'utilité de cette lettre...

Bref toujours aucune idée de mon coté...

[yzy-oui-fi]

un port lan, ne peut, logiquement, etre que dans un seul vlan.
pas dans deux comme tu le laisses entendre ici.

[Oaxley]

Hello

Qu'elle est donc la difference dans la notation 5* et 5t ?

Exemple je dedie le port 4 a un VLAN (non taggué)

[nemorelax]

Salut oaxley,

Pour la différence de notation, je pense que le rajout du paramètre "t" à la suite du numéro de port permet de tagger ce dernier, avec comme objectif d'utiliser l'encapsulation 802.1Q et le paramètre 5* concerne le processeur de la machine et donc indispensable...

Ne tiens pas cette explication comme acquise, ce n'est que la mienne et je n'en suis pas sur...Il serait bien d'avoir une confirmation...

Si tu "tagge" un port, il faudra que le destinataire soit capable de "lire" une trame modifiée...

Sur le tutoriel de geek pages, il utilise le "t" pour créer un trunk avec un commutateur cisco, ce dernier et le wrt54g sont donc capable de faire transiter les VLAN du commutateur au routeur dans le but de pouvoir faire du routage de ces derniers si nécessaire.

Enfin pour répondre au dernier post de yzy, je suis d'accord avec ton analyse, mais toujours dans le tuto proposé par geek pages il "tagge" le port 4 dans 2 VLAN dans le but de réaliser ce fameux trunk... Enfin d'après ce que j'ai compris...

Tout cela demande confirmation...