This is a multi-part message in MIME format.
Bonjour,
Pour information, ça n'est pas moi qui ai décidé qu'il n'y aurait pas de subnet différent pour le réseau invité mais TP-Link.
On ne parle pas d'une solution offrant une souplesse si grande à l'utilisateur.
Je n'ai pas décidé de me compliquer la vie, je ne suis pas un pro du
réseau mais j'aurais fait autrement pour le réseau invité :)
Autant dire que quand ce matériel me lâchera, je me délesterais d'un
plus gros budget pour aller vers du Unify ou quelque chose de plus
souple mais en attendant, je dois faire avec les décisions uni-latérales
du constructeur qui me dira "Je vous ai compris" quand j'enverrais les suggestions d'une meilleure configuration réseau ;)
Bonne journée,
Patrick
Le 21/01/2022 à 20:20, Olivier Lange a écrit :
Euh, si t'es en wifi, non. Ton tag est sur tes équipements, et pas sur
les équipements utilisateurs. Sauf si tu fournis un port réseau pour
les visiteurs. Et encore, la tu configure en untag vid visiteur le
port de ton switch.
Olivier
Le ven. 21 janv. 2022 à 14:03, Luc Novales <luc.novales@enac.fr <mailto:luc.novales@enac.fr>> a écrit :
Bonsoir,
Je rajouterai qu'il vaut mieux taguer le VLAN normal. Taguer le
VLAN invité, c'est obliger les invit·és à utiliser une
configuration difficile à mettre en place, voire impossible sur
certains équipements.
Bonne soirée,
Luc.
Le 21/01/2022 à 16:26, Olivier Lange a écrit :
Bonjour
Je pense que tu as une ereur d'architecture. si tu veux avoir un
réseau invité dédié et sécurisé, il te faut un vlan dédié, et un >> subnet (/24) dédié. Ce qui va te permettre de mettre en place des
règles spécifiques, autant au niveau 3/4/6 (via ton subnet et ton
routeur) que 2 (via ton vlan).
Tenter de bridger tout ca, au mieux ca devient une usine a gaz
ingérable avec plein de vulnérabilité, au pire ton réseau ne
fonctionnera pas.
C'est mon avis.
Olivier
Le ven. 21 janv. 2022 à 10:06, Patrick ZAJDA <patrick@zajda.fr
<mailto:patrick@zajda.fr>> a écrit :
Bonjour,
Le contexte est le suivant :
J'utilise des TP-Link Deco M5 pour avoir un réseau wifi
maillé et souhaite activé le réseau wifi invité.
La seule chose qui sépare ces réseau c'est un VLAN tagué pour
le réseau invité.
Les adresses IP sont dans le même rang pour les deux réseaux,
les paramètres DHCP sont en tout point similaires pour les
réseau principal et invité. Il n'y a aucun paramètre DHCP
séparé pour le réseau invité.
Sur un Raspberry Pi, j'ai installé Adguard et souhaite donc
l'utiliser comme résolveur au niveau de tout le réseau.
Je pourais très bien spécifier l'adresse IP du Deco principal
comme résolveur et faire en sorte que celui-ci prenne Adguard
comme résolveur mais ça voudrait dire que toutes les requêtes
viendraient de la même adresse IP, ce qui ne convient pas.
Il faudrait donc que ce résolveur soit joignable depuis le
réseau principal comme invité et ce, en utilisant la même
adresse IP.
J'espère avoir pu expliquer clairement pourquoi il n'y a pas
d'autre solution qu'une seule IP qui serait joignable sur les
deux VLAN...
Le 21/01/2022 à 14:10, JUPIN Alain a écrit :
Bonjour,
Je comprends pas trop le concept.
Pour moi l’intérêt des VLAN c'est d'isoler les réseaux (en
utilisant les même équipements réseaux, switch par exemple).
En général on relie les VLAN entre eux par du routage, du
moins j'ai toujours pratiqué de cette manière !
Bridger des VLAN, si c'est pour du test/apprentissage
pourquoi pas, mais pour de la prod je me méfierait des
effets de bords au niveau de la sécurité.
Alain JUPIN
Le 20/01/2022 à 14:51, Patrick ZAJDA a écrit :
Bonjour,
Est-il possible de bridger deux VLAN ?
Le but étant d'avoir une adresse IP commune aux deux VLAN
pour que les deux puissent utiliser le même résolveur entre
les réseaux principal et invité.
Si une autre méthode que le bridge est possible, je reste
bien entendu ouvert aux alternatives :)
Pour le moment, j'ai testé ceci (en anglais) sans succès :
https://www.variantweb.net/blog/creating-vlan-bridges-with-systemd-networkd/
<https://www.variantweb.net/blog/creating-vlan-bridges-with-systemd-networkd/>
Il utilise deux bridges mais le raspberry Pi sur lequel je
le fait ne passe jamais en ligne.
J'ai tenté de n'utiliser qu'un seul bridge, avec le même
résultat.
--
Patrick ZAJDA
--
Patrick ZAJDA
--
Patrick ZAJDA
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p>Bonjour,</p>
<p><br>
</p>
<p>Pour information, ça n'est pas moi qui ai décidé qu'il n'y aurait
pas de subnet différent pour le réseau invité mais TP-Link.</p>
<p>On ne parle pas d'une solution offrant une souplesse si grande à
l'utilisateur.</p>
<p>Je n'ai pas décidé de me compliquer la vie, je ne suis pas un pro
du réseau mais j'aurais fait autrement pour le réseau invité :)</p>
<p>Autant dire que quand ce matériel me lâchera, je me délesterais
d'un plus gros budget pour aller vers du Unify ou quelque chose de
plus souple mais en attendant, je dois faire avec les décisions
uni-latérales du constructeur qui me dira "Je vous ai compris"
quand j'enverrais les suggestions d'une meilleure configuration
réseau ;)</p>
<p><br>
</p>
<p>Bonne journée,</p>
<p><br>
</p>
<p>Patrick<br>
</p>
<p><br>
</p>
<div class="moz-cite-prefix">Le 21/01/2022 à 20:20, Olivier Lange a
écrit :<br>
</div>
<blockquote type="cite" cite="mid:CABGC0bux9SFRbaSAACWxULkpZKNytRt7FzZTMC=
2SOdE2m2jTw@mail.gmail.com">
<div dir="ltr">Euh, si t'es en wifi, non. Ton tag est sur tes
équipements, et pas sur les équipements utilisateurs. Sauf si tu
fournis un port réseau pour les visiteurs. Et encore, la tu
configure en untag vid visiteur le port de ton switch.
<div><br>
</div>
<div>Olivier</div>
</div>
<br>
<div class="gmail_quote">
<div dir="ltr" class="gmail_attr">Le ven. 21 janv. 2022 à 14:03,
Luc Novales <<a href="mailto:
luc.novales@enac.fr"
moz-do-not-send="true">
luc.novales@enac.fr</a>> a écrit :<br>
</div>
<blockquote class="gmail_quote">
<div>
<p>Bonsoir,</p>
<p>Je rajouterai qu'il vaut mieux taguer le VLAN normal.
Taguer le VLAN invité, c'est obliger les invit·és à
utiliser une configuration difficile à mettre en place,
voire impossible sur certains équipements.</p>
<p>Bonne soirée,</p>
<p>Luc.</p>
<p><br>
</p>
<div>Le 21/01/2022 à 16:26, Olivier Lange a écrit :<br>
</div>
<blockquote type="cite">
<div dir="ltr">Bonjour
<div><br>
</div>
<div>Je pense que tu as une ereur d'architecture. si tu
veux avoir un réseau invité dédié et sécurisé, il te
faut un vlan dédié, et un subnet (/24) dédié. Ce qui
va te permettre de mettre en place des règles
spécifiques, autant au niveau 3/4/6 (via ton subnet et
ton routeur) que 2 (via ton vlan).</div>
<div><br>
</div>
<div>Tenter de bridger tout ca, au mieux ca devient une
usine a gaz ingérable avec plein de vulnérabilité, au
pire ton réseau ne fonctionnera pas.</div>
<div><br>
</div>
<div>C'est mon avis.</div>
<div>Olivier</div>
</div>
<br>
<div class="gmail_quote">
<div dir="ltr" class="gmail_attr">Le ven. 21 janv. 2022
à 10:06, Patrick ZAJDA <<a
href="mailto:
patrick@zajda.fr" target="_blank"
moz-do-not-send="true">
patrick@zajda.fr</a>> a
écrit :<br>
</div>
<blockquote class="gmail_quote">
<div>
<p>Bonjour,</p>
<p><br>
</p>
<p>Le contexte est le suivant :</p>
<p>J'utilise des TP-Link Deco M5 pour avoir un
réseau wifi maillé et souhaite activé le réseau
wifi invité.</p>
<p>La seule chose qui sépare ces réseau c'est un
VLAN tagué pour le réseau invité.</p>
<p>Les adresses IP sont dans le même rang pour les
deux réseaux, les paramètres DHCP sont en tout
point similaires pour les réseau principal et
invité. Il n'y a aucun paramètre DHCP séparé pour
le réseau invité.<br>
</p>
<p><br>
</p>
<p>Sur un Raspberry Pi, j'ai installé Adguard et
souhaite donc l'utiliser comme résolveur au niveau
de tout le réseau.</p>
<p>Je pourais très bien spécifier l'adresse IP du
Deco principal comme résolveur et faire en sorte
que celui-ci prenne Adguard comme résolveur mais
ça voudrait dire que toutes les requêtes
viendraient de la même adresse IP, ce qui ne
convient pas.<br>
</p>
<p><br>
</p>
<p>Il faudrait donc que ce résolveur soit joignable
depuis le réseau principal comme invité et ce, en
utilisant la même adresse IP.</p>
<p><br>
</p>
<p>J'espère avoir pu expliquer clairement pourquoi
il n'y a pas d'autre solution qu'une seule IP qui
serait joignable sur les deux VLAN...</p>
<p><br>
</p>
<br>
<div>Le 21/01/2022 à 14:10, JUPIN Alain a écrit :<br>
</div>
<blockquote type="cite"> Bonjour,<br>
<br>
Je comprends pas trop le concept. <br>
Pour moi l’intérêt des VLAN c'est d'isoler les
réseaux (en utilisant les même équipements
réseaux, switch par exemple).<br>
En général on relie les VLAN entre eux par du
routage, du moins j'ai toujours pratiqué de cette
manière !<br>
<br>
Bridger des VLAN, si c'est pour du
test/apprentissage pourquoi pas, mais pour de la
prod je me méfierait des effets de bords au niveau
de la sécurité.<br>
<br>
<div>Alain JUPIN<br>
<br>
Le 20/01/2022 à 14:51, Patrick ZAJDA a écrit :<br>
</div>
<blockquote type="cite">
<p>Bonjour,</p>
<p><br>
</p>
<p>Est-il possible de bridger deux VLAN ?</p>
<p><br>
</p>
<p>Le but étant d'avoir une adresse IP commune
aux deux VLAN pour que les deux puissent
utiliser le même résolveur entre les réseaux
principal et invité.</p>
<p>Si une autre méthode que le bridge est
possible, je reste bien entendu ouvert aux
alternatives :)</p>
<p><br>
</p>
<p>Pour le moment, j'ai testé ceci (en anglais)
sans succès : <a href="
https://www.variantweb.net/blog/creating-vlan-bridges-with-systemd-networkd/"
target="_blank" moz-do-not-send="true">
https://www.variantweb.net/blog/creating-vlan-bridges-with-systemd-networkd/</a></p>
<p><br>
</p>
<p>Il utilise deux bridges mais le raspberry Pi
sur lequel je le fait ne passe jamais en
ligne.</p>
<p>J'ai tenté de n'utiliser qu'un seul bridge,
avec le même résultat.</p>
<p><br>
</p>
<div>-- <br>
Patrick ZAJDA</div>
</blockquote>
<br>
</blockquote>
<div>-- <br>
Patrick ZAJDA</div>
</div>
</blockquote>
</div>
</blockquote>
</div>
</blockquote>
</div>
</blockquote>
<div class="moz-signature">-- <br>
<meta charset="utf-8">
<style type="text/css">img {white-space: pre;}</style>
Patrick ZAJDA</div>
</body>
</html>
--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)