Bonjour,
 
Ma société met à disposition un accès wifi pour les collaborateurs et les invités. Je souhaite sécuriser à minima le réseau interne des accès wifi invités. Actuellement la config réseau est la suivante :
 
  PA wifi Dlink DPA 2660 - 192.168.0.110 (port 18)
    |
    |
switch Zyxel 1920HP <--------> Modem-routeur - 192.168.0.1 (port 23)
      |
      |
      |
 Réseau interne (192.168.0.x)
 
J'ai configuré sur le D-link, 2 SSID : l'un "INTERNE" pour un accès des collaborateurs qui doivent pouvoir accéder aux postes du réseaux interne, et l'autre "GUEST" qui doit voir uniquement le modem-routeur pour l'accès à internet. Dans la config du Dlink, j'ai affecté à chaque SSID le PVID 1 pour l'interne et PVID 2 pour le guest.
 
Sur le switch, j'ai créé 2 vlan :
1 vlan interne avec un PVID1 (j'ai affecté tous les ports du switch à ce vlan)
1 vlan guest avec un PVID 2 (j'ai affecté uniquement les ports 18 et 23 à ce vlan).
Tous les ports sur le switch sont restés en PVID 1.
 
J'ai configuré tout cela en fonction de ma compréhension limitée des VLAN. Du coup, je n'arrive à avoir ce que je veux, car si un poste se connecte avec le ssid "INTERNE", il a accès à tout (très bien). Et s'il se connecte avec le ssid "GUEST", il n'a accès à rien (pas même au modem routeur pour l'accès internet). Je ne sais pas comment paramétrer le switch pour atteindre mon objectif. Sans doute qu'il faut jouer avec des ports taggués et/ou des trunks, mais je patauge. Malgré mes nombreuses lectures, tout cela reste très confus dans ma tête.
 
Un éclairage serait la bienvenue.
 
Merci.

les principales choses à comprendre :
- chaque vlan doit avoir son réseau IP
- chaque réseau IP doit avoir son routeur par défaut (ça peut être à chaque fois la même machine physiquement mais il faut que le routeur ait donc une adresse IP dans chaque vlan)
- si sur un câble on veut faire passer plusieurs vlans en même temps (entre ta borne wifi et ton switch, ou ton switch et ton routeur), alors il faut tagger le trafic de part et d'autre.

comme l'a dit Ivy => un réseau par vlan.
ton routeur doit avoir une interface wan, et une IP sur chacun de tes réseaux (la gateway pour chaque VLAN)
celà peut etre la meme interface physique configurée en sub interfaces du style FastEthernet0/1.x
(je ne sais pas si ton routeur permet ça)
 
le port switch=routeur en mode trunk.
 
questions qui me viennent à l'esprit :
t'as du serveur DHCP ?
si oui as-tu les 2 pools de configurés ?
 
la conf du dhcp (si sur routeur) : pool1 avec la conf lan-collaborateurs appliqué sur l'interface passerelle VLAN-COLLABORATEUR
pool2 avec la conf lan-guest appliqué sur l'interface passerelle VLAN-GUEST  
 
attention, si ton serveur DHCP est sur un serveur du vlan-collaborateur, celà peut marcher à condition d'activer le routage de requetes DHCP entre VLAN .. (sur autre chose que cisco j'ai jamais essayé par contre)

Bon manifestement je suis loin d'avoir la bonne config réseau.
 
Le routeur en question est une machine IPfire qui fait office de serveur dhcp pour le réseau 192.168.0.0/24 et qui a une patte wan (modem netgear DM200 en mode bridge).  
Je ne crois pas qu'il puisse gérer deux pool DHCP. Suite à votre éclairage j'ai trouvé ça :
http://wiki.ipfire.org/en/optimization/vlan/start
 
Au moins je comprends mieux pourquoi ça ne marche pas. Tout se joue au niveau du routeur qui doit générer deux subnet.
Si mon IPfire ne gère pas cette histoire de pool dhcp c'est mort ? ou bien on peut s'en sortir avec les tag ? Ne suffirait-il pas sur le switch, que je taggue le port 23 du VLAN-GUEST et que je trunk le port 23 dans la configuration des ports ?
 
En tout cas merci pour l'éclairage.