[nemorelax]

Bon toujours à la recherche d'une solution...

Petit plus d'aujourd'hui , après un :

nvram show|grep vlan

on remarque qu'en effet la numérotation des ports et quelque peu different du tutoriel de geek pages...Ou alors je n'ai rien compris...:)

Voici une copie d'écran (voir juste après la saisie de la commande à la ligne 1 pour le vlan0 et la ligne 14 pour le vlan1)

NB : réglage juste après installation du firmaware
NB : si on paramètre les vlan uniquement par la GUI, la sortie de cette commande ne change pas ...

[nemorelax]

Oaxley,

Je pense que j'ai dit une c******* pour le marquage des ports:

- 5* >> le * définit apparemment le Vlan par défaut
- 5t >> le t définit un port taggé

Si quelqu'un peut confirmer...

[nemorelax]

Bon on y est presque les amis !!

Le dernier problème est que je n'arrive pas à isoler mes vlans comme je le voudrais, pour rappel :

Topologie :
-----------
communications autorisées :
vlan2 <-> vlan4
vlan3 <-> vlan4
vlan2, vlan3, vlan4 <-> accès Internet

communications non autorisées :
vlan2 <-> vlan3

Bilan :
-------
Trunk fonctionnel sur le commutateur (cisco 2950T) et sur le routeur.
Tous les vlans obtiennent leur ip par DHCP
Je n'arrive pas à faire communiquer les vlans comme dans la topologie (j'ai exécuté les commandes IPTABLES données par Lex).

Procédure:
----------
Vous trouverez ci-dessous la procédure que j'ai effectuée, le tout dans l'ordre :

- par telnet :

nvram set vlan0ports="5*"
nvram set vlan2ports="3 2 1 0 5t"
nvram commit

puis je suis passé par la GUI pour que la config telnet-GUI corresponde.

puis

nvram set vlan2ports="3 2 1 0t 5t"
nvram set vlan3ports="0t 5t"
nvram set vlan4ports="0t 5t"
nvram commit

NB : utilisation du port 0 au lieu de 4 car visiblement c'est comme ça sur les wrt54gl...

Retour sur la GUI pour faire correspondre, pour avoir au final ce que vous pouvez voir sur la copie d'écran ci-dessous.

Voila pour la partie configuration VLAN et TRUNK.

Ensuite uniquement par la GUI, on va permettre l'utilisation du DHCP, cf la deuxième copie d'écran.

A ce niveau tout est ok pour la configuration des vlans et du trunk (chaque sous-réseau obtient son bail DHCP).
Le problème c'est, comme j'ai dit plus haut, qu'ils communiquent tous ensemble...grrr...

Si vous avez une idée pour le réglage d'iptables... (j'ai essayé les commandes de lex, resultat > ils ont tous accès à l'Internet, mais aucune communication entre eux...

NB : la commande iptables -I FORWARD -i br0 -o vlan2 -j DROP fonctionne > résultat > accès à l'Internet et isolation du vlan2 du reste du réseau...

Bonne soirée.

[lexstyui]

Ouah ! :)

Je me suis probablement trompé dans les règles iptables.
Tu peux essayer cette commande pour voir si elles s'inscrivent dans le routeur :
iptables -vnL FORWARD

[yzy-oui-fi]

quand tous ceci serra régler je pense que tu devra utiliser cifs pour ajouter un fichier swap afin que ton routeur se sente plus a l'aise (multidhcp, etc)

[nemorelax]

Salut lex et yzy,

En ce qui concerne tes règles iptables, lex, je ne suis pas sur qu'elles soient mauvaises, car je me suis aperçu que j'avais des pings "bizarre", certainement venant d'un problème sur l'une de mes machines de test... exemple ping dans un sens et pas dans l'autre et ce, dans le même vlan...bref faut que je reprenne toute la procedure...faut dire que 4 jours dessus, je commence à fatiguer...

Yzy, quand tu auras un peu de temps, il faudra que tu m'expliques cette histoire de partition... Si tu as un tutoriel sur le sujet je prends avec joie.

Je n'aurais pas le temps de travailler sur la topologie avant ce week end. Donc pas de nouvelles avant dimanche...je vous tiens au courant, j'aimerais vraiment que cela fonctionne...

[nemorelax]

Bonjour à toutes et à tous.

Je pense que c'est ok maintenant, en tout cas d'après les test de ping :

vlan2 <-> vlan4 ping ok
vlan3 <-> vlan4 ping ok

vlan2 <-> vlan3 ping echec

Pour arriver à ce résultat j'ai saisi dans l'interface web > managment > commands :

iptables -I FORWARD -i br0 -o vlan2 -j DROP
iptables -I FORWARD -i br0 -o vlan3 -j DROP

Puis "save firewall".

Je pense que c'est résolu pour ce cas... si quelqu'un peut me confirmer qu'il n'y a pas de risques liés à la sécurité juste avec ces deux commandes... Et me dire comment étiqueter le post en "résolu" ?

Merci encore pour votre aide...

[yzy-oui-fi]