Bonjour   ,
 
Je me remet petit à petit dans le monde des VLANs et du coup, plein de questions! ^^ Si vous pouvez m'éclaircir, ce serait super !
 
Voici le réseau :

 
Voici les explications :
Chaque prise mural arrive sur un des 2 switchs de niveau 2.
Ces deux switchs font la fonction principale d'un switch, sans aucun VLAN.
D'un de ces switchs, un câble part vers un switch de niveau 3 de la baie des serveurs.
Ce câble arrive sur un port untague VLAN "LAN".
 
Les 2 switchs de la baie serveur (BS) sont de niveau 3.
Les 2 switchs de la BS ont 3 untague VLAN de configuré pour séparer 3 réseaux (LAN / DMZ / Stockage).
 
Aucun routage intervlan de configuré. Chaque VLAN ne communique pas entre eux.
Le Firewall gère des règles entre le WAN, la DMZ et le LAN.
 
Mes questions :
Si je souhaite séparer le VLAN "LAN" en 2 (Dans le but d'avoir plus d'adresses IP disponibles pour les postes utilisateurs) :
Afin de ne pas reconfigurer les serveurs, j'aimerais les laisser dans leur réseau et leur masque actuel (192.168.1.X/24 par exemple) (Si cela est possible ?)
Par contre, les postes qui sont aussi sur le untague VLAN "LAN" avaient aussi ce même réseau et ce même masque.
 
- Que faudrait-il que je fasse pour créer un VLAN "LAN-PostesUtilisateurs" avec la même organisation actuelle (qu'ils puissent toujours contacter les serveurs (le VLAN "LAN" ) et que les règles du Firewall s'appliquent toujours comme actuellement) ?
 
Je pensais à du routage interVLAN avec les switchs de niveau 3, mais vu que le firewall fait déjà du routage entre le LAN et la DMZ, je ne sais pas du tout comment organiser ceci
 
 
Merci beaucoup par avance en tout cas, ça me sera d'une grande aide !    
 
(Et si je n'ai pas été clair, ne surtout pas hésiter à me reprendre! ^^)
 
PS: Le Firewall n'a que trois cartes réseaux pour le WAN, le LAN et la DMZ.

 
c'est quoi comme FW? Tu as combien de postes au total? Tu as un uplink vers le LAN en GB? Car en 10/100, ça risque quand même d'être lourd de brasser tout ce traffic
 
Je laisserais la fonction d'interVLAN sur tes switches L3
 
Aussi, d'après ton diagramme, le stockage est complètement isolé. Personne ne doit y accéder?
 
Et pour augmenter le range d'une Class C en /24... pas de miracle. Soit tu passes tout en Class B /23 (172.16....), soit, tu fais un deuxième VLAN LAN2 en Class C /24, et le switches L3 s'occupe de l'interVLAN.

Alors
 
- C'est OPNsense.  
- J'ai environ 30 postes qui sont tous branchés sur du 1G, et le lien entre un des 2 switchs de niveau 2 et un des deux switchs de niveau 3 se fait sur du 1G aussi (n'ayant pas de port 10G sur les switchs de niveau 2 (mais en ayant 2 sur les switchs de niveau 3)).
Note : Un port 1G relié à un port 10G sera négocié à 1G des deux côtés si je ne me trompe pas.
 
Pour le stockage, en fait, j'ai juste voulu mettre tout le stockage sur un seul switch pour le moment, mais les 3 VLANs transitent sur les deux switchs, je n'ai qu'à untague les ports au besoin pour le moment.
Après, le stockage, c'est surtout du stockage VM, donc les utilisateurs "tapent" pas sur le réseau du stockage en direct.
 
-
Mon idée serait de laisser l'infra des serveurs en 192.168.1.X/24 (VLAN LAN ; ce qui est actuellement en service on va dire)) et de créer un réseau en 192.168.2.X/24 (VLAN LAN2) pour les postes.
 
Mais du coup, je ne sais pas vraiment (ou plus) comment m'y prendre dans l'ordre, car l'AD et le DHCP sont sur le VLAN LAN et la passerrelle des postes est donc le FW (sur le VLAN LAN) et en DNS, c'est l'AD du VLAN LAN.
 
Et point de vue de l'interVLAN, vu que le routage se fait via le FW entre la DMZ (VLAN DMZ) et le LAN (qui est branché sur le VLAN LAN), entre le VLAN LAN et le VLAN LAN2, comment cela se passerait ? Car je ne souhaite pas que l'interVLAN puisse faire communiquer la DMZ, le stockage et les LAN/LAN2, désolé si je m'exprime un peu mal, mais je me perds là dessus.
J'avais fait de l'interVLAN sans FW sur mon épreuve de BTS du coup, là, je sais vraiment pas la procédure pas à pas des choses à faire ^^
 
Merci beaucoup !

 
L'AD n'a absolument rien à faire en tant que passerelle, c'est vraiment bizarre d'avoir configuré ça comme ça.
 
Pour la migration de ton réseau utilisateur, il suffit de 1) créer un nouveau range DHCP dans le serveur et 2) de mettre le DHCP forwarder qui va bien sur ton élément de routage (fais tout le routage sur le firewall ce sera plus simple que d'éparpiller ça sur le firewall et sur le switch) pour rediriger les broadcasts DHCP vers le serveur qui sera du coup dans un réseau distant.
 
 

 
non tu as bien compris  
comme dit plus haut à mon avis le plus simple est de faire tout le routage sur le FW.

 
la notion de classe est obsolète depuis au moins 10 ans.

Euh Grosse Erreur de ma part, Pardon !
L'AD est configuré sur les postes en DNS, en passerelle, c'est notre Firewall.

Ivy Gu, ce que je ne comprends pas :
 
Le FW est connecté (sur un des 2 switchs de niveau 3) via une pate DMZ (Untague VLAN DMZ) et une pate sur le VLAN LAN (UNTAGUE VLAN LAN).
 
Du coup, comment faire cette histoire de DHCP / routage VLAN LAN2 si le FW n'a aucun contact avec le VLAN LAN2 ?

ne fais pas de routage sur tes switchs.
 
fais une interface niveau 3 sur ton firewall pour chaque réseau et lie la à un vlan dédié à chaque fois, le tout sur un unique port.
 
ensuite tu n'auras plus qu'à configurer ton DHCP forwarder.

 
Actuellement, uniquement 3 sorties réseaux : WAN (le modem), DMZ, et LAN.
Le FW est un serveur normal où l'on a installé OPNsense.
 
Ce que tu souhaites me faire comprendre, c'est de faire quelque chose sur la "pate" LAN du FW ? Je vais un peu regardé l'interface de OPNsense mais je n'ai encore jamais fait ce type de réglage.

Ou sur OPNsense, on peut assigner plusieurs interfaces à une même carte réseau ?
A première vue, on ne dirait pas, je suis en train de regarder la configuration du FW.

Ou faut-il untague le VLAN LAN et le VLAN LAN2 sur le port où est branché le LAN du Firewall ?
 
Désolé pour toutes ces questions.

 
oui, X sous-interfaces avec chacune leur adresse IP et leur tag vlan.  
 

 
Ca m'étonnerait qu'on ne puisse pas faire ça, c'est vraiment la base.
 

 
le traffic sur le port entre le switch et le firewall sera du coup taggé pour permettre de différencier les différents vlans qui passeront sur la même interface physique

D'accord, donc virer l'interface LAN configuré et rajouter deux VLANs qui s'associent à la carte réserau qui était utilisée pour le LAN ? VLAN 50 pour le LAN, VLAN 60 pour le LAN2 par exemple.
Par contre, pour éviter toute coupure et interruption de service, il faut que j'untague la prise du switch de niveau 3 où arrivent les prises via le switch de niveau 2 et que je leur assigne le LAN2 si je comprends bien.
 
Ensuite, pour faire communiquer du 192.168.1.X/24 (LAN serveur..) avec du 192.168.2.X/24 (LAN2), il faut que je fasse quoi ?
Et le DHCP qui est sur WindowsServer actuellement configuré pour le LAN, il faut que je rajoute une plage pour le LAN2 mais comment va-t-il faire vu qu'il sera sur le VLAN LAN ?
Ou il faut activer le DHCP dont tu me disais, mais cela, sur le Firewall ?
 

Ouais, ça doit être ce que j'ai écrit ci-dessus
 

 
D'accord.
 
Encore désolé pour toutes les questions à la chaîne, et merci beaucoup  

oui, ainsi qu'un vlan dmz.

tu es mal barré pour le faire sans aucune interruption de service, à mon avis prévois une plage de maintenance.

la prise switch (quel qu'il soit ça n'a plus d'importance, ils ne font plus que niveau 2) connectée au firewall doit être en mode taggé (au sens 802.1q) et autoriser les vlan 50 et 60 pour reprendre ton exemple, ainsi que le vlan DMZ.

autoriser le trafic nécessaire dans ton firewall.

dhcp formwarder à configurer dans le firewall.

D'accord, pour récapituler :
 
Mes interfaces physiques (du FW) WAN, DMZ et LAN se remplaceraient par 4 interfaces : WAN + Switch.  
La liaison Switch divisé en 3 VLANs (DMZ, LAN, LAN2).
Ce qui ferait 4 interfaces : WAN vlanDMZ vlanLAN vlanLAN2.
La liaison du FW sur le switch sera en mode "trunk" tagged pour faire passer tous les VLANs.
 
Sur le DHCP WindowsServer où j'ai une seule étendue LAN pour le moment, je crée les étendues pour la DMZ, et pour le LAN2 ?
(Actuellement, un DHCP dans la DMZ (WindowsServer), un DHCP dans le LAN)
Ou bien, je laisserais
 
Après avoir créé ces étendues, activer le dhcp forwarder sur le Firewall.
 
 
Je manque certaines choses ? ^^
Les interfaces physiques DMZ et LAN peuvent être complétement supprimée du moment que les VLANs sont associés à la carte réseau ?
 
Par contre ce message me fait peur :
Note:
Not all drivers/NICs support 802.1Q VLAN tagging properly. On cards that do not explicitly support it, VLAN tagging will still work, but the reduced MTU may cause problems. See the OPNsense handbook for information on supported cards.
J'espère que notre serveur le fait ! ^^

oui c'est ça.
 
pour les drivers je sais pas, pour les cartes réseau je pense que dans les faits quasi n'importe quelle carte de moins de 10 ans fonctionnera.
 

D'accord
 
Niveau DHCP sur WindowsServer, je me souviens plus, il y a juste à créer les étendues ?
Mais l'étendue doit être assignée à un VLAN non ?
 
Car là, admettons, je vais faire 3 étendues sur le DHCP qui est sur le LAN, les postes actuels vont choisir quelle étendue / quel réseau ?
 
Enfin, juste une petite ambiguïté que j'oublie

les postes actuels ne vont pas avoir à choisir, le dhcp forwarder est là pour ça.

c'est une drôle d'idée de vouloir mettre un firewall pour à côté mettre une machine qui a une patte dans tous les réseaux.

Ok.
 
Lors d'une création d'une étendue à part, il me demande sur quelle connexion, et vu que je n'ai que le LAN tout court sur le DHCP actuellement, je ne peux rien ajouter.
Mais je peux ajouter une étendue à la suite de celle que j'ai.
 
Mais du coup !
Admettons, je fais une étendue en 192.168.2.0 en plus de celle en 192.168.1.0.
Sur le relai, je stipule que je souhaite que le VLAN 192.168.2.0 ait comme relai l'IP du DHCP présent dans le VLAN 192.168.1.0.
 
Comment le VLAN 192.168.2.0 va choisir l'étendue 192.168.2.0 ?
Les postes du VLAN 192.168.1.0 où se trouve le serveur DHCP ne vont pas prendre l'étendue en 192.168.2.0 s'il répond plus rapidement ?
 
 
Edit:
Ou alors, rajouter des cartes réseaux virtuelles avec l'ID du VLAN en question sous la VM du DHCP qui est sous Xen ? Enfin, en cours de recherche si c'est possible...

Tu parles des switchs qui ont tous les VLANs ?

non c'était ta réponse à ton idée de mettre plusieurs cartes réseau à la VM DHCP, avant que tu ne l'effaces et la repostes

Ah d'accord ! Oui, j'ai reformulé et posé d'autres questions que je me demande sur le DHCP actuellement, tu me diras si tu les comprends ^^
 
Après, concernant la DMZ, ayant déjà un AD et un DHCP propre à la DMZ pour certains de nos services, je le laisserais.
Le relaiDHCP sera uniquement pour le VLAN LAN2.

profite en pour monter un agrégat entre ton firewall et ton switch

C'est à dire ?
 
-
Sinon, je viens d'essayer sur une coupure de deux heures, et l'accès internet ne passait plus... La carte réseau ne serait peut-être pas compatible 802.1Q...
J'ai tout remis comme avant pour le moment

C'est bien en trunk tagged que je dois mettre le port du switch qui est relié au FW non ?

oui

 
Je connais pas OPNSense, mais il me semble que c'est un fork de pfsense, mais je pense que ca va être la même chose, mais avec la création de tes interfaces tu vas être obliger de récréer tes règles de firewall
 
Un aggrégat, c'est une association de X port physique pour en faire un "port virtuel", ca te permet d'avoir de la redondance et de l'équilibrage de charge.

D'accord, merci à vous deux.
 
L'interface LAN physique doit être laissée ? ou non ?
Si oui, je fais mes interfaces VLANs ""tagués"" sur cette interface physique et ensuite, les règles ?
=>
 
Du coup (si l'interface "principale" doit être laissée), si je souhaite rester sur le même adressage pour le VLAN 10 que le précédent LAN (192.168.1.0/24), il faut que j'attribue un autre adressage à l'interface physique pour que l'interface VLAN 10 ait ce 192.168.1.0/24 en réseau ?
 
Sinon, les causes possibles pourraient être :
- J'ai peut-être fait de mauvaises règles de FW, et de ce fait, l'accès Internet ne passait pas...  
- Ou bien la carte réseau du serveur est "vieille", et donc les VLANs ne passent pas. Je ne peux pas dire, je suis depuis peu dans l'entreprise et aucune vue sur les dates d'achats, mais ce serait vraiment dommage
 
PS: Les changements sont instantannées quand je cliques sur "appliquer les changements", ou il faut redémarrer OPNsense/PFsense à chaque fois ?
PPS: Ok pour l'agrégat et merci de l'information
 
Edit: Ajout de l'image avec l'interface principale LAN laissée.

D'après ce site/tuto de PFsense (pareil qu'OPNsense je suppose) : https://www.provya.net/?d=2016/05/1 [...] r-ses-vlan
 
L'interface "principale" qui serait une interface logique ne doit pas être laissé, je dois n'avoir uniquement que les VLANs.