Bonjour,  
 
j'essaye de mettre en place un filtrage entre 2 vlans.  
Je dispose d'un switch Dell powerconnect 6248, d'une machine openbsd faisant office de firewall  
et de 2 machines linux.
 
j'ai créé 2 vlans sur le switch et j'ai assigné un linux par vlan.  
Si j'active l'ip routing à ce niveau, les linux peuvent se pinguer et donc communiquer.  
 
Je cherche maintenant à intercaler le firewall entre les 2 vlans (il fera donc office de passerelle entre les 2 vlans).
Je désactive donc l'ip routing sur le switch, je configure les routes par défaut sur les linux (qui pointe vers l'interface réseau appropriée du firewall).
Si je ping d'un linux vers l'autre, je vois le paquet icmp sortir de la box, arriver sur l'interface du firewall présent sur le même vlan. Le paquet passe alors sur l'autre interface du firewall (celle connectée) au deuxième vlan mais rien n'arrive sur la deuxième box.  
 
Quel est le problème ? que faut-il faire sur le switch car il semble que ce soit lui qui "drop" le paquet au niveau du deuxième vlan.
J'accepte toute idée / proposition pour solutionner mon problème.  
 
PS: j'ai délibérément simplifié la situation car j'utilise 2 switchs et 2 firewalls avec des trunk openbsd et carp .... mais ceci n'a aucune incidence dans ma  situation.
 
merci.  
 
 
 

tu as bien mis les interfaces de ton firewall dans les bon vlan sur le switch ?

 
 oui, tout est correct, chaque client présent dans un vlan peut pinguer l'interface "gateway" de ce vlan

donc si tu ping du pc, ves la gateway cela fonctionne
si tu ping de la gateway vers le pc ça fonctionne
par contre si tu  veux ping d'un pc vers un autre pc ça marche po.
 
routage ok sur ta box ? tu dois avoir 2 sous réseaux différents ?

 
exactement, je vais préciser un peu :
 
 vlan 2, 10.0.0.0 255.254.0.0
  port 1 à 15 sur le switch
  port 1 -> firewall 10.0.0.1    
  port 7 -> box1 linux 10.0.1.1  
   
 vlan3, 10.128.0.0 255.128.0.0  
  port 16 à 42 sur le switch
  port 17 -> firewall 10.128.0.1
  port 33 -> box2 linux 10.128.1.1
 
 
j'ai pas d'interfaces vlan2, vlan3 et pas de routage sur le switch.
Les box linux ont pour gateway l'interface réseau du firewall connectée à leur vlan.
le firewall ping bien les box dans chaque lan qui elles mêmes ping bien leur gateway.
 
par contre les box linux ne se pinguent pas entre elles.
A l'aide de tcpdump, je regarde la communication circuler sur mes liens:
 ping box1 vers box2
 icmp passe par l'interface de box1
 il arrive sur l'interface de la gateway du vlan2
 il passe ensuite sur l'interface de la gateway du vlan3
 et plus rien
 un tcpdump sur la box2 me montre qu'il n'y a pas de communication, le paquet à disparu
 
je précise que cette configuration fonctionne bien sur un switch non managé (j'ai testé sur un switch tres bas de gamme) .
 
 
 
 

donc pb de vlan tagging alors ?

 
j'utilise des vlans par port avec du trafic non taggé, les box linux et l'openbsd n'utilisent pas d'interfaces spécifiques aux vlans.
 
Je pense (surement à tord) que le problème peut être dû à:
 - le paquet arrive sur le vlan3 avec l'id correspondant au vlan2 d'où un rejet du switch (mais aucun log pour prouver cette hypothèse)
 - le paquet arrive d'un sous-réseau différents ( 10.0.0.0/15 vers 10.128.0.0/9) et est donc rejeté mais pas de log non plus.
 
je ne vois pas d'autre raison, j'ai essayé de garder une topologie la plus simple possible ....
 
 

tu peux mettre un port mirroring sur ton swich et tout sniffer ?

 
oui, je vais tenter le mirroring de port

alors ?

 
donc si je ping la machine du vlan2 depuis la machine du vlan3 , la communication passe jusqu'au port du switch utilisé par la gateway du vlan2 mais celui ci ne transmet pas l'arp reply.
 
Sinon, j'ai enlevé l'association vlan <-> subnet et ça fonctionne bien.
J'ai posté un message sur le forum de Dell afin de savoir si il existe une solution équivalente mais en utilisant l'association  vlan <-> subnet.

ok,merci pour le retour...

Je pense avoir fait une grosse erreur de compréhension.
 
Je fais du vlan par port et j'ai cru qu'on pouvait ensuite associé un subnet à ce vlan afin de "sécuriser" le vlan.
Mais je pense qu'il s'agit plutôt d'un autre type de vlan, c'est à dire vlan par adresse.
 
J'attends un retour de Dell, je posterais ici la réponse  

effectivement, ce n'est pas la meme notion
 
vlan par port : vlan de niveau 1
vlan par sous réseau : vlan de niveau 3
 
qqs infos ici :
http://www-igm.univ-mlv.fr/~dr/XPO [...] nport.html