Posted: Wed Jun 23, 2010 8:18 Post subject: Config VLAN
Bonjour à tous.
Voilà plusieurs jours que j'essaie de configurer mon wrt54gl pour faire un vlan. Je suis allé voir la doc en ligne mais je dois avouer être perdu.
Y aurait-il qq1 pour me faire un tuto et m'expliquer comment ça marche ?
Voici un schéma de ma situation actuelle.
Le but est de séparer les postes "Public" des postes "Privés". Aujourd'hui ça fonctionne dans le bon sens, vu que les publics sont en 192.168.1.~ et que les privés sont en 192.168.0.~
Mais avec l'arrivée d'un accès payant au Wifi, l'idée est d'éviter de devoir créer un 192.168.2.~ mais de gérer des vlan avec le WRT.
Chaque zone privé ou public doit avoir accès à Internet et ne dois pas "se voir" ni dans un sens, ni dans l'autre.
Posted: Sat Jul 03, 2010 15:39 Post subject: Echec ... snif
Salut.
Dsl pour le temps de réponse un peu long, mais j'ai essayé de comprendre mon erreur avant de revenir posté ici. Mais malgré tes conseils que j'ai suivi à la lettre, impossible de connecté un pc sur le VLAN.
Il reste en 169.172...
J'ai par ailleurs désactivé le firewall, car en effet je ne connais pas les lignes de commandes pour iptables.
Le pc connecté en ip fixe 192.168.3.2 (Passerelle ~3.1)
-> ping 192.168.1.1
-> ne ping pas 192.168.1.2
-> ping 192.168.2.1
-> ne ping pas 192.168.2.2
-----------------------------------------------------
Tests Avec DHCP
-----------------------------------------------------
Le DHCP et l'accès internet fonctionnent pour les Vlan + 192.168.1.~ lorsque je clic sur Assigned to Bridge VLAN dans k'onglet "VLANs".
http://imagik.fr/view-rl/268123
sinon :
-> Ip attibuées en 169.254.~ pour les Vlan
-> DHCP OK pour 192.168.1.1
-----------------------------------------------------
Accès Internet
-----------------------------------------------------
-> OK pour 192.168.1.1
-> PAs accès dans Vlan (sauf si Bridge Vlan)
ok, pour l'instant oublions la case "assign to bridge" met none.
oublions aussi les dhcp,
si tu met un pc1 en ip 192.168.2.2 sur le port 1
(passerelle 192.168.2.1)
tu met un autre pc2 avec comme ip 192.168.3.2 sur le port 4
(passerelle 192.168.3.1)
pc1 peut pinguer 192.168.2.1
pc1 peut pinguer 192.168.1.1
pc1 peut pinguer 192.168.3.1
mais pc1 ne peut pas pinguer 192.168.3.2 (pc2) ???
il y a un truc bizarre la.
pc1 sait acceder au reseau 192.168.3.0 (puisqu'il ping la 3.1) mais il n'arrive pas a joindre un pc de ce réseau(le 3.2) ...
tu es sur qu'il n'y as pas un firewall sur pc2?
tu peux nous poster le résultat des commandes iptables -L -v
et
iptables -t nat -L -v
juste un truc rapide si j'oubli "assign to bridge" plus rien ne fonctionne.
Je confirme les ping. Quelques soit les ports les PC ping toujours les passerelles 192.168.[1,2,3].1 mais jamais un autre pc 192.168.[1,2,3].2
Je te mets en copie les commandes iptables demain en fin de matinée.
Pour l'heure peux-tu m'expliquer pkoi assign to bridge à LAN rend tout fonctionnel ?
le Ping, le DHCP et l'accès web. Alors que sur none mais rien ne va plus. D'ailleurs le linksys sur none plante à chaque modification. Je suis obligé de le débrancher électriquement pour pouvoir reprendre la main dessus.
Je te remercie vivement de ton aide ! je suis là dans une impasse et je ne veux pas me louper.
Je me demande, peut-être y a til un moyen de mettre ce linksys accessible depuis internet afin que tu prennes la main dessus, en ma présence, afin de tester ? peut-être plus simple non ?
Dans tous les cas, une fois que tout sera OK, avec ton aide je propose de poster les captures écran ici afin d'aider d'autres visiteur de ce forum.
bein cette fonction assigned to bridge reviens au meme que de créer un bridge avec deux interfaces et de donner deux ip pour ce bridge.
donc oui ca fonctionne mais tu n'as qu'un seul segment réseau, un pc qui se mettrai en ip 4.2 sur le port 1 pourrai pinguer une machine en 4.3 sur le port 4 malgré que la configuration ip des port soit différentes.
Il y a une couille dans le potage la.
Perso je n'utilise pas ce "assigned to bridge" si tu veux créer un bridge mieux vaut passer par l'onglet "networking" je pense que cet option assign to bridge a du etre ajoutée dans le passée, mais non retirée avec les mises a jour et l'ajout de la possibilité de créer des bridges dans l'onglet "networking", a moins que je fasse erreur, un ancien pourrai confirmer ?
bref, dans l'immédiat je serai toi je retirerai ca:
dans les vlan tu laisse juste la ligne vlan0 assigned to LAN
pour les autres tu met None
> save > reboot
ensuite dans networking désactive le Nat,
et la un pc en 2.2 dois pouvoir pinguer
2.1 , 1.1, 1.2 (si pc présent), 3.1 et 3.2(si pc présent)(et si la passerelle est bien indiquée pour chaque pc, chaque pc a sa passerelle en xxx.xxx.xxx.1)
je sais que ce n'est pas ce que tu cherche (tu veux pas qu'ils puissent acceder entre les différentes zone) mais avant de continuer et regarder les regles de routage il faut qu'on mette ca au clair.
Pour simplifier les écrits je vais considérer que le DHCP attribue tjr la même ip aux pc. c'est à dire 192.168.~.2
Je ferai attention au sous-réseau dans lequel nous nous trouvons. c'est à dire en ~.1 ou ~.2 ou ~.3
Les firewall des PC sont désactivés afin de ne pas tronquer les tests (au cas où)
Un pc en ~.3.2
-> ping ~.1.1
-> ping ~.2.1
-> ping ~.3.1
-> ne ping pas pc : ~.3.2
-> ne ping pas pc : ~.1.2
-> Accès Internet OK
-> DHCP ok
Un pc en ~.2.2
-> ping ~.1.1
-> ping ~.2.1
-> ping ~.3.1
-> ne ping pas pc : ~.3.2
-> ne ping pas pc : ~.1.2
-> Accès Internet OK
-> DHCP ok
Un pc en ~.1.2
-> ping ~.1.1
-> ping ~.2.1
-> ping ~.3.1
-> ping ~.2.2
-> ping ~.3.2
-> Accès Internet OK
-> DHCP ok
il y a du mieux non ?
Encore merci pour le temps que tu passes à venir à mon aide.
Ci dessous le lien vers les nouvelles images de configurations pour ton verdict.
dans ce zip tu trouveras également un fichier texte avec l'ensemble des lignes qui ont été renvoyées
via la commande iptables -L -v.
un pc qui ping 3.1 ou 2.1 ou 1.1 dois pouvoir pinguer 3.2 ou 2.2 ou 1.2
tu obtiens les mêmes résultats de ping après avoir passé la commande iptables -F ?
tiens avant ca re-active le par-feu, decoche les trois cases, re désactive le, enregistre, reboot, fait ma commande et refait les ping, assure toi bien qu'aucun pare feu n'est présent sur les pc et que les passerelles sont bien présentes sur les postes.
je sais que ce n'est pas ce que tu veux mais il n'y a aucune règle qui les empêchent de communiquer actuellement.
donc avant de vouloir les empêcher de communiquer il faut comprendre pourquoi ils ne communiquent pas...
sinon on va faire des choses sans etre sur que ca fonctionne, tu vois ?
non , il faut bien différentier les choses:
ethernet et ip
c'est deux niveau de communiquation différents.
deux pc connecté sur un meme switch peuvent communiquer en ethernet, mais pas en ip
(si ils n'ont pas une ip de meme réseau par exemple)
en créant des vlan tu sépare les ports au niveau ethernet > ok
mais au niveau ip, pour accéder a des réseau inconnus, tes pc envoie tout a leur passerelle (qui est ton routeur) ton routeur connais tes réseaux ip locaux puisqu'il as une ip dessus, donc en tant que routeur il dois acheminer les paquets vers la destination adéquate.
admettons que ton pc en 1.1 veut acceder a un pc en 1.2 qui est branché sur le meme switch ethernet.
pour communiquer avec 1.2 il va avoir besoin de l'adresse ethernet du pc 1.2.
ton pc a une table de routage qui lui indique qu'il a une ip en 1.1 et que donc pour acceder au reseau 1.0 il dois utiliser cette carte réseau, il va donc crier dans le cable "qui a l'ip 1.2??"(c'est s'appelle un arp) en posant la question il envoie aussi son adresse ethernet pour que son destinataire lui réponde et 1.2 qui est sur le meme segment réseau (meme switch) va lui répondre "c'est moi qui est l'ip 1.2" (reponse arp) et dans sa réponse il y aura son adresse ethernet.
si tu veux acceder a google, ton pc va regarder cette ip qu'il ne connais pas...il ne va meme pas demander sur son segment réseau puisque 66.249.92.104 n'est pas une ip de meme réseau que son ip locale 1.1.
sachant que ce n'est pas sur son réseau, soit il a une route statique pour acceder a cet ip soit il utilise une route par défaut.
ton pc va donc envoyer une trame dans le cable, a destination de l'adresse ethernet de ton routeur, mais a destination ip de google, mais comme ton routeur ne connais pas google non plus il va faire de meme avec l'adresse mac du modem etc... etc.. jusque google (et encore j'ai simplifié)
le truc c'est que la on est dans le cadre d'une communication locale qui ne se fait pas,
ton pc as une ip en 1.1 il ne connais donc pas le réseau 3.0 il envoie donc tout a sa route par défaut.
et la ton routeur lui connais le réseau 3.0 puisqu'il a une carte réseau en 3.1 il fait donc parvenir la demande sur le segment réseau ou tu as les pc en 3.0.
et les postes en 3.xx pour répondre au ping, ils ne connaissent pas le réseau 1.0 ils envoient donc tout a leur route par defaut.
on peut très bien créer 4 segments réseau (ou une infinitée) au niveau ethernet les pc ne communiqueront pas, mais si un routeur as une patte sur ces réseaux si un pc utilise ce routeur pour faire transiter ses paquets ils communiqueront!
il pour empecher deux réseau de communiquer il faut donc
1 créer des sgments réseaux (appelés vlan dans le dd-wrt)
2 mettre des regles de routage interdisant de router des paquets en provenance d'un réseau vers un autre réseau.