Bonsoir,

C'est un topic dédié où j'appelle un peu à l'aide vu le peu de temps qu'il me reste.
On a un cœur de réseau hp 2920 composé de deux switch stackes en topologie chain (on attend le câble supplémentaire)
Celui ci est en ip 172.16.0.1, il faut que l'on mette en 172.16.1.1.

On souhaite plusieurs vlan
Management (10) en 172.16.1.254/24
Server (20) en 172.16.2.254/24
Voip (30) en 172.16.3.254/24
User (40) en 172.16.4.254/24
Wifi_employee (50) en 172.16.5.254/24
Wifi_guest (60) en 172.16.6.254/24
Security (70) en 172.16.7.254/24
Wan (99) en 172.16.99.524/24

On a un pare-feu watchguard en 172.16.99.1.
Celui ci est relié au cœur de réseau sur le port 24.

On a activé le routing intervlan.
Il nous manque six j'ai bien compris la route du fw vers le cœur de réseau.

C'est la première étape.
Ensuite on souhaite redonder le lieb du watchguard vers le cœur de réseau. En sachant en plus que l'on a actif passif sur le watchguard. Mais ça on verra plus tard.

Objectif premier, avoir le net sur chacun des vlans..
Ensuite on a une stack de trois switch hp 2920 par étage (2 etage)  en topologie ring cette fois et relié au cœur de réseau via deuw fibres agrégées.

Au niveau du cœur de réseau, sur les deux liens fibre de chaque switch on a mis du trunk statique lacp.
Cela fonctionne.

Pas eu le temps de faire le schéma encore.

Pour l'instant on bloque avec internet sur chaque vlan..

Merci de vos retours.

Drap

J'imagine que tu voulais écrire plutôt .0 au au lieu de .254 pour tes subnets, j'imagine que .254 est l'interface du switch L3 sur chaque vlan.
Le routeur c'est quoi son ip ?

Cas concret pour internet sur le vlan40, il faut prévoir les tables de routage en conséquence :
vlan40 : 172.16.4.0/24, sa table:
172.16.4.0/24 en direct
0.0.0.0/0 via 172.16.4.254

switch l3 : (je fais fi des autres vlans dans sa table)
172.16.4.0/24 en direct sur le port correspondant
172.16.99.0/24 en direct sur port 24
0.0.0.0/0 via 172.16.99.1

fw : 172.16.99.1/24 sur 172.16.99.0/24 et interface qui va vers le net, je suppose que 172.16.99.254 est la pate du switch L3 sur le 99.0/24
172.16.99.0/24 en direct sur le port correspondant
172.16.4.0/24 via 172.16.99.254 sur le port correspondant
0.0.0.0/0 via l'interfacaquivasurlenet

nat :
outbound-interface interfacequivasurlenet
source adress 172.16.0.0/16
translation adress masquerade

Du coup si tu pingues 8.8.8.8 depuis un PC sur le vlan40, imaginons le en 172.16.4.100

172.16.4.100 > 172.16.4.254 > 172.16.99.1 >(nat) 8.8.8.8

au retour
8.8.8.8 > IP_PUBLIC (nat)> 172.16.99.254 > 172.16.4.100

Merci aux experts de me dire si j'ai fait une boulette, je dors debout

XaT

Vache, merci pour ton retour.
Je lis et te réponds.

Procède par étape :
-depuis 172.16.4.100 tu dois pouvoir pinger 172.16.4.254 (même résal, en direct)
-depuis 172.16.99.1 (switch L3 sur 99.0/24) tu dois pouvoir pinger 172.16.99.254
routage intervlan activé tu dois pouvoir :
-depuis 172.16.4.100 pinger 172.16.99.1
fw tu dois pouvoir:
-depuis 172.16.99.1 pinger 8.8.8.8
nat activé tu dois pouvoir :
-depuis 172.16.4.100 pinger 8.8.8.8
 
je sais pas trop comment se gère les règles de fw sur watchguard, fait attention à pas filtrer ces trucs là
 
XaT

Il faut que tu te mettes à la place du paquet à l'aller comme au retour.
"Je suis un paquet moisi qui veut aller voir du porn sur le net toquer à la porte de cette IP, le net c'est via cette route par defaut, je veux la prendre, la première passerelle sur mon réseau direct, je vais le voir, cette passerelle me dit que sa route par défaut pour le net est vers telle passerelle, je prend cette passerelle qui me nat la source. Je suis maintenant mutilé salement mais mon adresse source est la bonne, j'arrive chez google, je sonne. fini.
Au retour je me génère un nouveau paquet, je vais vers l'ip publique qui a sonné chez moi, j'arrive là, je me fais découper la tête pour y mettre la bonne adresse, j'ai mal mais je vais vers la passerelle suivante qui s'avère être celle de ce switch pour ce réseau la (/16) la je continue via la bonne interface et je trouve le gars qui a tapé à la porte "

Bref

XaT

Quel routeur ?
 
J'ai effectivement l'impression qu'il manque un truc.
Pour le 0, en fait, j'ai mis par rapport aux commandes que je tape  
dans le HP.
Dans le HP, on se met sur le vlan en question, et on tape l'@ qui sert d'interface avec le masque.
Donc par exemple sur le vlan40, je tape "ip address 172.16.4.254/24".
Ca veut dire que la pate du switch dans ce VLAN, c'est ce IP.
Et que le vlan est sur le pool 172.16.4.0/24
 
Pour le routage, je comprends pas le "en direct".
Sinon le routage du 0.0.0.0/0 via l'interface du switch dans le vlan a l'air d'être implicite
Là où ça bloque, c'est sur le switch L3, j'ai une route par défaut 0.0.0.0/24 vers 172.16.99.1
Les autres routes doivent être implicites par rapport à la config?
 
Pour le NAT c'est qui fait la translation d'adresse dans mon cas ?
Le switch L3 ou le firewall ?
 
Mais je vois bien le cheminement...  
Il faut effectivement que le .4.100 aille jusqu'à la gateway du vlan40, qui ensuite va vers le FW (dans le vlan 99)
 
Donc faut que je mette un routage sur le fw, de 172.16.0.0/16 vers 172.16.99.254.

Ben ça on y arrive pas, on arrive pas à pinger le 172.16.99.1 depuis le vlan40.
On sait pas pourquoi..
 

Ca veut dire que la table de routage sur le switch L3 est mal fichue.
Il doit comprendre que pour aller sur le réeau 4.0/24 c'est par la et que pour aller sur le réseau 99.0/24 c'est par la.
 
Sur ton switch L3 tu dois avoir comme résultat d'un "show ip route" :

 
XaT

C'est ce que l'on a essayé d'avoir.
Je crois que l'on l'a eu une fois, mais les autres fois, la première ligne n'apparaissait pas...

Par contre, dans la première ligne, le VLAN c'est pas 1, mais 99 (en tout cas, le switch le détecte comme cela)

En gros, on avait ça :

Ouais je me posais la question, ça doit être 99. Je suis plutôt fatigué
 
XaT

Ok, donc si on arrive à ça, théoriquement, n'importe quel équipement doit pouvoir pinger le 99.1 non ? Et ceci sans les routes configurées sur le watchguard

Question bête au passage.
Le cable qui relie le watchguard depuis l'interface 1 (le 0 étant pour le RAD), vers le port 24 du coeur de réseau, il faut que je passe le port 24 en untagged vlan 99 non ?

Aucun routeur, je dors debout et j'avais zappé que le switch L3 fait routeur.
 
Un vlan c'est un réseau logique, un réseau a une adresse et dans le cas du vlan40 c'est 172.16.4.0/24.
L'interface du switch l3 sur ce vlan est l'ip que tu tapes dans ta commande citée, soit 172.16.4.254, c'est la patte que le switch a dans ce réseau.  
C'est bien visible avec un schéma, justement
 
En direct c'est quand ton interface tape directement dans le résal, celui où t'es. Pas besoin de passerelle, cette route est implicite, je l'explicite pour bien montrer la table de routage.
Sur mon windows par exemple :

Mon IP c'est 192.168.1.191 et je tape directement sur le rézal 192.168.1.0, il est 'On-link', pas besoin d'une passerelle.
 
Sur la vm routeur/reverseproxy sur un dédié que j'ai chez online (os: vyos) :

(bon là c'est p'tet pas un exemple génial, mais bref "scope link" = en direct)
 
Sur un pc sous linux chez moi :

Pareil pour scope link
 
Le nat devrait être fait au niveau du fw. Je t'avoue que je fatigue sévère, on verra demain.
En attendant si des experts peuvent confirmer/infirmer mes dires ça serait cool
 
XaT

Pour pinguer il faut que l'équipement pingué sache où envoyer sa réponse, si la route n'est pas config sur le watchgard alors il enverra via la défaut, soit sur le net...
C'est quoi le RAD?
J'sais pas, je suis déconnecté là, y'a trop de chiffres
Fais un shéma...

XaT

le RAD c'est sa gateway SDSL ou Fibre (souvent vu sur la telephonie ce genre d'equiment) :
 
https://www.google.fr/search?q=RAD+ [...] 20&bih=974
 
maintenant, quelle modele (modem ou modem/router) je ne sais pas.
 
question serieuse @nucl3arfl0 : c'est quoi ton metier a la base ? couteau-suisse ?

non.
seul le ping depuis ton switch sur son interface en .99. repondra a la requete de ping du 99.1 car c'est comme l'a indiqué Xat du Onlink.
Si tu veux que deja seulement l'interface en .4. de ton switch ping, il faut que le watchguard sache a qui renvoyer la reponse ping car il n'a pas de liaison direct avec ce reseau.
Si tu n'as pas fait de route dans le watchguard, il se dit "je ne connais pas directement comme joindre cette personne je transmet cette requete a ma route par defaut", route par defaut qui est en general la WAN sur un routeur/FW.
il faut que tu ajoute la route 172.16.4.0/24 GW 172.16.99.254 dans le watchguard.

Drap itou.
 
Je sais pas si j'aurais le temps de participer d'ici la date de ta deadline mais je veux bien le retour d'expérience

Ok je connais pas ces trucs Sont moches

Ouais, j'y suis p'tet aller large avec ma /16
 
XaT

Hello,

Bon ben merci beaucoup pour vos retours.
On était vraiment pas loin de la solution hier.
Donc, le routage intervlan était activé, on avait une route par défaut 0.0.0.0/0 vers 172.16.99.1.

Sur le watchguard, on met les routes statiques des subnets des VLAN vers l'ip du switch du vlan où se trouve le firewall (172.16.99.254).
Et tout cela fonctionne.

Bon. C'est vraiment cool
Autre problématique....
On se disait que c'était peut être con de faire du routage intervlan par le coeur de réseau de niveau 3, alors que l'on a un beau cluster actif/passif watchguard.

Ne serait-il pas plus judicieux de rediriger les vlans vers celui-ci ?
Dans ce cas là, il faut que le port entre le coeur de réseau et le watchguard soit en trunk ?
Et du coup, on pourrait utiliser tous les services fournis par le watchguard  pour le réseau LAN.
Vous en pensez quoi ? Et du coup comment ça se configure ?

C'est quoi ces services dont tu parles ?
Envoi la référence du firewall !
Sinon quel est l'intérêt de toper des switch L3 du coup ?

XaT

Ben je parle de service d'analyse de réseau (détection d'intrusion, anti malaware, etc).

C'est un firebox m470 en cluster actif passif.

Ta question pour les switch L3 c'est à propos de mon questionnement de faire l'état routage intervlan au niveau du wg ?

On les a récupéré donc on s'en sert :-)
Et puis ils sont stacké en topologie ring du coup ça déboîte bien.

Le coup des routes, c'est quand même un concept de base quand tu fais du réseau Mais bon, j'ai déjà du repasser derrières des "Expert" pour ça...
 
Concernant ton interrogation elle peut être tout à fait valable à savoir faire "porter" la gateway ou le vlan par ta Firebox, ca pourra te permet de "sécuriser" certain ou l'ensemble de tes VLANS.
 
Il peut être judicieux d'y mettre au moins le management / server. Peut être la partie "Guest" pour être sur qu'ils n'ont vraiment accès qu'a internet et pas au reste par exemple.
 
Tout dépend des perfs de tes Firebox, de ta charge de trafic réseau et de ce que tu as vraiment envie de faire
 
 
 

quand tu as un switch L3 assez performant, je ne conseille pas specialement de faire le routage par le routeur au dessus.
en cas de trafic elevé il encaissera moins que le switch.
et si tu veux cloisonner depuis le switch, ya les ACLs.

edit : apres pr le Guest, je rejoins l'avis de logre histoire de mettre ce reseau a part, mais c'est tout.

Merci pour vos retours
 
Oui pour le coup des routes, et sans schéma suffisamment clair, on s'y perd vite.
On a pas encore regardé pour le coup du VLAN guest, mais on y songe.
 
On a du LACP du WG actif vers le cœur de réseau actuellement.
Il faudra qu'on regarde avec le WG passif.
 
Au final, je trouve que l'on s'en sort pas mal.
Par contre il y a truc que je comprends pas trop (mais c'est pas mon domaine le réseau donc c'est un peu normal).
Sur les switch 2920, leur interface est accessible depuis l'ip  de leur VLAN  où ils sont. Et par défaut, ben c'est le VLAN 1...
Du coup comment ça se passe pour le mettre dans le VLAN management ? (switch HP)
 
On va passer au wifi avec les ruckus, on a mis le controller (zonedirector), et on a essayé de mettre un AP ben on a pas encore réussi. On verra demain..

Je veux bien la réponse, j'ai pas encore touché à des vlans

 
Entre ACL et un UTM il y a quand même des fonctionnalités de "sécurité" qui sont bien différente et bien plus puissante qu'une simple ACL !
 

ton UTM il est theoriquement là pour proteger tes LANs des attaques potentielles depuis la(les) WAN(s), c'est quand meme moins commun de le mettre entre les LANs.
LANs que tu es censé maitriser, donc autant laisser le routage et qques ACLs sur le switch.

apres, les 2 points de vue se defendent, j'entends bien. (puis quand t'as pas de switch L3, bah, c'est l'UTM qui se retrouve avec faire le job en general...)