[shewy]

Bonjour à tous.

Voilà plusieurs jours que j'essaie de configurer mon wrt54gl pour faire un vlan. Je suis allé voir la doc en ligne mais je dois avouer être perdu.

Y aurait-il qq1 pour me faire un tuto et m'expliquer comment ça marche ?

Voici un schéma de ma situation actuelle.


Le but est de séparer les postes "Public" des postes "Privés". Aujourd'hui ça fonctionne dans le bon sens, vu que les publics sont en 192.168.1.~ et que les privés sont en 192.168.0.~

Mais avec l'arrivée d'un accès payant au Wifi, l'idée est d'éviter de devoir créer un 192.168.2.~ mais de gérer des vlan avec le WRT.

Chaque zone privé ou public doit avoir accès à Internet et ne dois pas "se voir" ni dans un sens, ni dans l'autre.

Qui peut m'aider à config ce joujou ?

Merci à tous !!

[hugodu13]

Salut,

vas dans l'onglet vlan, tu met ton port 3 sur disons vlan3.
ensuite tu va dans networking,

dans port setup tu aura Network configuration vlan3 qui sera apparu.

tu lui met unbridged et tu lui met comme ip 192.168.2.1

ensuite plus bas dans multiple dhcp server tu ajoute un serveur dhcp sur l'interface vlan3.

(tu aurai aussi pu faire pareil pour ton port 4 et mettre ton deuxieme routeur en simple switch)

comme ca tu as une gestion plus centralisée.(sur le premier)

une fois ceci fait tes réseau seront séparé au niveau ethernet.

mais le routeur va effectuer son boulot de routage et faire le relai entre les différents réseaux.

et la il faudra configurer des regles iptables pour empecher les réseaux IP d'acceder aux autres reseaux IP.

En esperant t'avoir aidé :)

si tu as du mal avec iptables demande je chercherai la commande exacte.

tiens petite question, si un de tes pc "public" tappe cette commande dans une fenetre dos

route add 192.168.0.0 mask 255.255.255.0 192.168.1.6

peut il pinguer ou acceder aux machines du réseau "privé"

[shewy]

Salut.

Dsl pour le temps de réponse un peu long, mais j'ai essayé de comprendre mon erreur avant de revenir posté ici. Mais malgré tes conseils que j'ai suivi à la lettre, impossible de connecté un pc sur le VLAN.

Il reste en 169.172...

J'ai par ailleurs désactivé le firewall, car en effet je ne connais pas les lignes de commandes pour iptables.

Ci dessous des captures de ce qui a été fait.

Si tu as une nouvelle idée je suis preneur.
Onglet SETUP
http://imagik.fr/view-rl/266892

Onglet VLAN
http://imagik.fr/view-rl/266893

Onglet NetWork
http://imagik.fr/view-rl/266894

Merci !

Guillaume

[hugodu13]

oublions le serveur dhcp pour l'instant.
(vire les, d'ailleur tu aurai du n'avoir qu'une ligne mais passons)

si tu met ton pc sur le port 3 et que tu lui met manuellement 192.168.2.2 peut il pinguer 192.168.2.1?

normalement il devrai.et si tu lui met 192.168.2.1 comme passerelle il devrai meme avoir le net, est ce le cas?

[shewy]

Salut.

Alors je viens de faire un quelques essais, dont voici le rapport.

J'ai refais le plan de la config finale au camping.
Avec les outils déplacés suivant tes conseils (Linksys en maitre)

http://imagik.fr/view-rl/268116

Pour mes tests je passe par une FreeBoX, mais sur place l'accès se fera en direct. (Connexion PPoe avec les identifiants Orange)

Tout semble donc fonctionné. Je me demande juste si vraiment c'est OK et étanche sachant que le firewall est OFF.

Par ailleurs peut-être as-tu une commande ou un réglage plus fin à me conseiller ?

Dans tous les cas je te remercie vraiment.

Guillaume


-----------------------------------------------------
Tests en IP FIXE
-----------------------------------------------------

Le pc connecté en ip fixe 192.168.1.2 (Passerelle ~1.1)
-> ping 192.168.2.1
-> ne ping pas 192.168.2.2

-> ping 192.168.3.1
-> ne ping pas 192.168.3.2

-----------------------------------------------------

Le pc connecté en ip fixe 192.168.2.2 (Passerelle ~2.1)
-> ping 192.168.1.1
-> ne ping pas 192.168.1.2

-> ping 192.168.3.1
-> ne ping pas 192.168.3.2

-----------------------------------------------------

Le pc connecté en ip fixe 192.168.3.2 (Passerelle ~3.1)
-> ping 192.168.1.1
-> ne ping pas 192.168.1.2

-> ping 192.168.2.1
-> ne ping pas 192.168.2.2


-----------------------------------------------------
Tests Avec DHCP
-----------------------------------------------------
Le DHCP et l'accès internet fonctionnent pour les Vlan + 192.168.1.~ lorsque je clic sur Assigned to Bridge VLAN dans k'onglet "VLANs".
http://imagik.fr/view-rl/268123

sinon :
-> Ip attibuées en 169.254.~ pour les Vlan
-> DHCP OK pour 192.168.1.1

-----------------------------------------------------
Accès Internet
-----------------------------------------------------

-> OK pour 192.168.1.1
-> PAs accès dans Vlan (sauf si Bridge Vlan)


Et enfin les captures écran de la config.

Setup / Basic Setup :
http://imagik.fr/view-rl/268117

Advanced Routing
http://imagik.fr/view-rl/268118

Security / Firewall
http://imagik.fr/view-rl/268119

Setup / Networking (Avec DHCP)
http://imagik.fr/view-rl/268121

Setup / Networking (Sans DHCP)
http://imagik.fr/view-rl/268122

Setup / Vlan's
http://imagik.fr/view-rl/268123

Wireless / Basic Setup
http://imagik.fr/view-rl/268124

[hugodu13]

euh quand tu dis test en ip fixe,

tu ne précise pas ou tu as branché le pc,
sur quel port tu te met pour pinguer,

et les adresses en xx.xx.xx.2 tu ne dis pas non plus ce que c'est.

[shewy]

re.

Autant pour moi. En fait c'est suivant mon plan
http://imagik.fr/view-rl/268116

Lorsque le PC était branché dans le trou n°1 du lynksys il est en ip fixe 192.168.2.2 (passerelle 192.168.2.1)

Un second Pc est branché dans le trou n°4 et est en Ip fixe 192.168.3.2 / passerelle 192.168.3.1

Enfin le dernier PC (ouf je n'en avait plus d'autres !) est dans le trou n°2 ou 3 et est en Ip fixe ~1.2 / passerelle ~1.1

Guillaume

[hugodu13]

ok, pour l'instant oublions la case "assign to bridge" met none.

oublions aussi les dhcp,

si tu met un pc1 en ip 192.168.2.2 sur le port 1
(passerelle 192.168.2.1)
tu met un autre pc2 avec comme ip 192.168.3.2 sur le port 4
(passerelle 192.168.3.1)


pc1 peut pinguer 192.168.2.1
pc1 peut pinguer 192.168.1.1
pc1 peut pinguer 192.168.3.1
mais pc1 ne peut pas pinguer 192.168.3.2 (pc2) ???

il y a un truc bizarre la.
pc1 sait acceder au reseau 192.168.3.0 (puisqu'il ping la 3.1) mais il n'arrive pas a joindre un pc de ce réseau(le 3.2) ...

tu es sur qu'il n'y as pas un firewall sur pc2?

tu peux nous poster le résultat des commandes iptables -L -v
et
iptables -t nat -L -v

a++

[shewy]

juste un truc rapide si j'oubli "assign to bridge" plus rien ne fonctionne.

Je confirme les ping. Quelques soit les ports les PC ping toujours les passerelles 192.168.[1,2,3].1 mais jamais un autre pc 192.168.[1,2,3].2

Je te mets en copie les commandes iptables demain en fin de matinée.

Pour l'heure peux-tu m'expliquer pkoi assign to bridge à LAN rend tout fonctionnel ?
le Ping, le DHCP et l'accès web. Alors que sur none mais rien ne va plus. D'ailleurs le linksys sur none plante à chaque modification. Je suis obligé de le débrancher électriquement pour pouvoir reprendre la main dessus.

Je te remercie vivement de ton aide ! je suis là dans une impasse et je ne veux pas me louper.

Je me demande, peut-être y a til un moyen de mettre ce linksys accessible depuis internet afin que tu prennes la main dessus, en ma présence, afin de tester ? peut-être plus simple non ?

Dans tous les cas, une fois que tout sera OK, avec ton aide je propose de poster les captures écran ici afin d'aider d'autres visiteur de ce forum.

amicalement

Guillaume

[hugodu13]

bein cette fonction assigned to bridge reviens au meme que de créer un bridge avec deux interfaces et de donner deux ip pour ce bridge.

donc oui ca fonctionne mais tu n'as qu'un seul segment réseau, un pc qui se mettrai en ip 4.2 sur le port 1 pourrai pinguer une machine en 4.3 sur le port 4 malgré que la configuration ip des port soit différentes.

Il y a une couille dans le potage la.

Perso je n'utilise pas ce "assigned to bridge" si tu veux créer un bridge mieux vaut passer par l'onglet "networking" je pense que cet option assign to bridge a du etre ajoutée dans le passée, mais non retirée avec les mises a jour et l'ajout de la possibilité de créer des bridges dans l'onglet "networking", a moins que je fasse erreur, un ancien pourrai confirmer ?

bref, dans l'immédiat je serai toi je retirerai ca:
dans les vlan tu laisse juste la ligne vlan0 assigned to LAN

pour les autres tu met None
> save > reboot

ensuite dans networking désactive le Nat,

et la un pc en 2.2 dois pouvoir pinguer
2.1 , 1.1, 1.2 (si pc présent), 3.1 et 3.2(si pc présent)(et si la passerelle est bien indiquée pour chaque pc, chaque pc a sa passerelle en xxx.xxx.xxx.1)

je sais que ce n'est pas ce que tu cherche (tu veux pas qu'ils puissent acceder entre les différentes zone) mais avant de continuer et regarder les regles de routage il faut qu'on mette ca au clair.

a+

[shewy]

Bonjour

Comme promis ci joint les nouvelles captures écrans.
et présent également ici : http://dl.free.fr/hfVMk4ZZn

En l'état actuel

-> Les DHCP fonctionnent. (pratique !)

-> Accès Internet pour tous.


Pour simplifier les écrits je vais considérer que le DHCP attribue tjr la même ip aux pc. c'est à dire 192.168.~.2
Je ferai attention au sous-réseau dans lequel nous nous trouvons. c'est à dire en ~.1 ou ~.2 ou ~.3
Les firewall des PC sont désactivés afin de ne pas tronquer les tests (au cas où)


Un pc en ~.3.2

-> ping ~.1.1
-> ping ~.2.1
-> ping ~.3.1

-> ne ping pas pc : ~.3.2
-> ne ping pas pc : ~.1.2

-> Accès Internet OK
-> DHCP ok


Un pc en ~.2.2

-> ping ~.1.1
-> ping ~.2.1
-> ping ~.3.1

-> ne ping pas pc : ~.3.2
-> ne ping pas pc : ~.1.2

-> Accès Internet OK
-> DHCP ok


Un pc en ~.1.2

-> ping ~.1.1
-> ping ~.2.1
-> ping ~.3.1

-> ping ~.2.2
-> ping ~.3.2

-> Accès Internet OK
-> DHCP ok



il y a du mieux non ?

Encore merci pour le temps que tu passes à venir à mon aide.

Ci dessous le lien vers les nouvelles images de configurations pour ton verdict.
dans ce zip tu trouveras également un fichier texte avec l'ensemble des lignes qui ont été renvoyées
via la commande iptables -L -v.

http://dl.free.fr/hfVMk4ZZn

Le seconde commande avec "nat" n'ayant rien retournée.

Amicalement

Guillaume.

[hugodu13]

la quelque chose m'échappe.

un pc qui ping 3.1 ou 2.1 ou 1.1 dois pouvoir pinguer 3.2 ou 2.2 ou 1.2

tu obtiens les mêmes résultats de ping après avoir passé la commande iptables -F ?
tiens avant ca re-active le par-feu, decoche les trois cases, re désactive le, enregistre, reboot, fait ma commande et refait les ping, assure toi bien qu'aucun pare feu n'est présent sur les pc et que les passerelles sont bien présentes sur les postes.

je sais que ce n'est pas ce que tu veux mais il n'y a aucune règle qui les empêchent de communiquer actuellement.

donc avant de vouloir les empêcher de communiquer il faut comprendre pourquoi ils ne communiquent pas...

sinon on va faire des choses sans etre sur que ca fonctionne, tu vois ?

[shewy]

Ok je comprend. Je vais faire les manips et venir poster le résultat.

Mais je me pose une question, puisque 3.1 et 2.1 sont des vlan, ce n'est pas normal de ne pas pinguer 3.2 et 2.2 ?

guillaume.

[hugodu13]

non , il faut bien différentier les choses:
ethernet et ip

c'est deux niveau de communiquation différents.

deux pc connecté sur un meme switch peuvent communiquer en ethernet, mais pas en ip
(si ils n'ont pas une ip de meme réseau par exemple)

en créant des vlan tu sépare les ports au niveau ethernet > ok

mais au niveau ip, pour accéder a des réseau inconnus, tes pc envoie tout a leur passerelle (qui est ton routeur) ton routeur connais tes réseaux ip locaux puisqu'il as une ip dessus, donc en tant que routeur il dois acheminer les paquets vers la destination adéquate.

admettons que ton pc en 1.1 veut acceder a un pc en 1.2 qui est branché sur le meme switch ethernet.
pour communiquer avec 1.2 il va avoir besoin de l'adresse ethernet du pc 1.2.
ton pc a une table de routage qui lui indique qu'il a une ip en 1.1 et que donc pour acceder au reseau 1.0 il dois utiliser cette carte réseau, il va donc crier dans le cable "qui a l'ip 1.2??"(c'est s'appelle un arp) en posant la question il envoie aussi son adresse ethernet pour que son destinataire lui réponde et 1.2 qui est sur le meme segment réseau (meme switch) va lui répondre "c'est moi qui est l'ip 1.2" (reponse arp) et dans sa réponse il y aura son adresse ethernet.

si tu veux acceder a google, ton pc va regarder cette ip qu'il ne connais pas...il ne va meme pas demander sur son segment réseau puisque 66.249.92.104 n'est pas une ip de meme réseau que son ip locale 1.1.
sachant que ce n'est pas sur son réseau, soit il a une route statique pour acceder a cet ip soit il utilise une route par défaut.
ton pc va donc envoyer une trame dans le cable, a destination de l'adresse ethernet de ton routeur, mais a destination ip de google, mais comme ton routeur ne connais pas google non plus il va faire de meme avec l'adresse mac du modem etc... etc.. jusque google (et encore j'ai simplifié)


le truc c'est que la on est dans le cadre d'une communication locale qui ne se fait pas,

ton pc as une ip en 1.1 il ne connais donc pas le réseau 3.0 il envoie donc tout a sa route par défaut.
et la ton routeur lui connais le réseau 3.0 puisqu'il a une carte réseau en 3.1 il fait donc parvenir la demande sur le segment réseau ou tu as les pc en 3.0.
et les postes en 3.xx pour répondre au ping, ils ne connaissent pas le réseau 1.0 ils envoient donc tout a leur route par defaut.

on peut très bien créer 4 segments réseau (ou une infinitée) au niveau ethernet les pc ne communiqueront pas, mais si un routeur as une patte sur ces réseaux si un pc utilise ce routeur pour faire transiter ses paquets ils communiqueront!

il pour empecher deux réseau de communiquer il faut donc
1 créer des sgments réseaux (appelés vlan dans le dd-wrt)
2 mettre des regles de routage interdisant de router des paquets en provenance d'un réseau vers un autre réseau.

voilà pour la petite explication,
tu peux jeter un oeil sur mon tuto réseau si tu veux, je suis entrain de le réaliser, mais la page met longtemps a s'afficher(il vaut mieux cliquer sur télécharger)
http://docs.google.com/fileview?id=0B68pA1HIT_QsNzgyNGNiOWItYTA2OC00NWU2LTgxYjktMDE2NjJhY2E2ZjBl&hl=en

a++

[shewy]

ouaahhhh ! Génialissime ton explication et ton tuto.
C'est tout simplement hyper clair. La preuve en est : J'ai compris !

Alors voici les nouveaux résultats :

-> après avoir fait un iptables -F, j'ai vérifié avec -L. Cette dernière commande n'ayant rien retournée.

Il n'y a donc plus de règles au niveau de dd-wrt.
Je n'ai pas fait de nouvelles captures, mais le firewall reste bien désactivé.

Le DHCP est actif et fonctionnel.
Les Pc n'ont plus aucun firewall actif.
Les pc ont accès à Internet.


Un pc en ~.3.2

-> ping ~.1.1
-> ping ~.2.1
-> ping ~.3.1
-> ping ~.1.2
-> ping ~.2.2

Un pc en ~.2.2

-> ping ~.1.1
-> ping ~.2.1
-> ping ~.3.1
-> ping ~.1.2
-> ping ~.3.2


Un pc en ~.1.2

-> ping ~.1.1
-> ping ~.2.1
-> ping ~.3.1
-> ping ~.2.2
-> ping ~.3.2

(Ps : je pense que dans mes précédents tests, un pc devais encore avoir un firewall d'actif. Sans doute le vista)

guillaume.