Forum général.général Switch + Routeur

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes : aucune
1
10
déc.
2014

Bonjour à tous,

Pour mon réseau interne (maison), je souhaite construire un routeur fait maison avec une distrib linux dessus. Sur ce routeur, il y a deux ports Ethernet, un qui sera relié à mon FAI et l'autre qui sera relié à un "simple" switch 8 ports. Sur ce switch, je brancherai divers appareils (ordinateurs, smart télé, etc).

Est-il possible de configurer le réseau de sorte que TOUS les paquets passent par le routeur ? Même si le paquet ne doit que transiter de ma machine A vers ma machine B dans le même réseau local ? Et cela, sans que la machine A ou B ne puisse contourner cette règle.

Je ne sais pas sur quel terme chercher sur Google pour pouvoir faire ça. J'espère que cela est possible.

Merci beaucoup !

  • # VLAN + 802.1Q

    Posté par  . Évalué à 3. Dernière modification le 10 décembre 2014 à 15:31.

    La seule manière que je vois pour arriver à faire ça est de mettre chaque port du switch dans un VLAN différent, mettre le port connecté au routeur en 802.1Q, et configurer tous les VLAN sur le routeur. Cela nécessite d'avoir un switch manageable.

    • [^] # Re: VLAN + 802.1Q

      Posté par  . Évalué à 3. Dernière modification le 10 décembre 2014 à 15:41.

      Une solution crade serait aussi d'enfermer chaque machine dans son subnet en /30 : une IP pour la machine, une pour ton routeur (ton routeur aurait donc une IP spécifique par client).

      Mais bon, c'est crade et les clients peuvent contourner cela en modifiant le masque… C'est quoi l’intérêt de vouloir faire transiter tout ton trafic par le routeur ? Tu vas juste créer un goulot d'étranglement dans ton réseau…

      • [^] # Re: VLAN + 802.1Q

        Posté par  . Évalué à 3.

        On peut aussi imaginer faire du arp poisoning et ainsi forcer le traffic vers le routeur. Mais ce n'est pas très stable.

  • # Impossible ?

    Posté par  . Évalué à -1.

    C'est ton simple switch qui va faire directement communiquer ta machine A et B. A moins de forcer des proxys qui pointent sur ton routeur linux, je ne vois pas comment tu pourrais faire.
    Pourquoi veux tu faire comme cela ?

  • # Remplace le switch par 2 cartes quad ports.

    Posté par  . Évalué à 3.

    … comme ça tout passe par le routeur.

  • # Pour sniffer?

    Posté par  . Évalué à 6.

    Dans ce cas, le plus simple et probablement efficace (dans le sens ou, au moins, si le routeur se casse la gueule à cause de l'excès de traffic interne du LAN, au moins le LAN sera toujours fonctionnel, et ça ne devrait pas trop ralentir le LAN), c'est d'utiliser un switch paramétrable, sur lequel tu configure la patte vers le routeur pour qu'elle récupère l'ensemble des paquets transitant par le switch.

    Mais, franchement, ça n'a aucun intérêt (dans le cas d'un réseau domestique): le rôle d'un routeur, c'est de diriger les paquet d'un réseau vers un autre réseau, quand c'est nécessaire. Typiquement: quand on veux accéder à internet.

    Ah, sinon tu peux aussi utiliser un hub, mais pour en trouver un de nos jours, ça risque de pas être facile. Et tu auras une belle perte de perf à cause des collisions, qui sont la raison qui fait que le switch fait office de gare de triage.

    Encore une fois, pourquoi veux-tu faire passer la totalité des paquets par le routeur? Pour faire une sorte de firewall universel? Juste pour intercepter le traffic? Ou peut-être, comme je le pense, n'en as-tu aucune idée?

    • [^] # Re: Pour sniffer?

      Posté par  . Évalué à 2.

      Pour faire une sorte de firewall universel?

      Pour moi c'est ça la raison. OP voudrait pouvoir filtrer le trafic entre lanhost1 et lanhost2 grâce à router. Ça ne paraît pas être une bonne idée, en effet…

    • [^] # Re: Pour sniffer?

      Posté par  (site web personnel) . Évalué à 1.

      Eh bien l'idée qui m'était passée par la tête était la suivante.

      J'ai une Smart TV Samsung que je relie à mon switch ; sur ce switch je relie d'autres machines. Mais j'aimerais faire en sorte que ma TV ne puisse pas avoir connaissance des autres appareils du réseau (car pas confiance en Samsung et pour éviter les failles de sécurité potentielles qu'ils ne corrigent pas). Pour ça, j'aurais voulu tout faire transiter par le routeur qui aurait fait le travail nécessaire.
      Est-ce possible ? Ou peut-être existe-t-il d'autres techniques plus intelligentes ?

      Le routeur j'aimerais le construire moi-même, mais les cartes réseaux avec plusieurs ports Ethernet gigabit coutent très chère ; du coup je me tourne vers une solution "routeur 2 ports gigabit" que je construis + "switch 8 ports gigabit" que j'achète.

      • [^] # Re: Pour sniffer?

        Posté par  . Évalué à 1.

        Vous avez combien de client en tout ?

        • [^] # Re: Pour sniffer?

          Posté par  (site web personnel) . Évalué à 1.

          Pour le moment c'est assez simple. La télé + 3 ordinateurs windows/linux.

          Le switch que j'ai déjà acheté est celui-ci
          http://www.cisco.com/c/en/us/support/switches/sg-100d-08-8-port-gigabit-switch/model.html

          Pour le routeur, je dois encore acheter le matériel.

          En lisant les autres commentaires, apparemment on peut faire ce que je souhaite en créant des VLAN ? Mais j'avoue que en réseau je ne suis pas bon du tout. C'est donc une bonne façon de m'exercer un peu et de tester différentes choses :)

          • [^] # Re: Pour sniffer?

            Posté par  . Évalué à 0.

            Le plus simple effectivement aurait été d'isoler la tv dans un vlan mais votre switch n'est pas manageable et ne permet donc pas ce genre de chose.
            Là vous pouvait soit mettre la tv dans un sous réseau où elle sera seule mais ça ne permet pas d'assurer une sécurité totale vis à vis des autres équipements…

            Après si vous n'avez que 4 clients, vous pouvez partir sur un banana pi router, il vous offre un port ethernet pour internet (votre box) et 4 ports lan pour vos clients. Vous pouvez installer OpenWRT dessus.
            Par contre vous serez déjà au max de la capacité. Au pire votre switch pourra être branché sur un des ports de la banana pi si un jour vous voulez rajouter plus de client.

            • [^] # Re: Pour sniffer?

              Posté par  . Évalué à 2.

              En fait, une carte 4 ports n'est pas nécessaire : 3 ports réseau suffisent :
              - un port vers le net
              - un port vers le switch 8 ports
              - un port vers la TV, que tu relies direct au routeur (attention, pour ça il te faudra peut-être un cable ethernet croisé).

              Sur le routeur, une configuration iptable pour empêcher que la TV accède au LAN et c'est bon.

              Tu peux donc utiliser 2 cartes 1 port, ou 1 carte 2 ports, ou ce que tu veux.

            • [^] # Re: Pour sniffer?

              Posté par  . Évalué à 1.

              Si vous ne voulez pas dépenser une fortune dans un routeur fait maison, vous pouvez partir sur ce modèle TP-Link TL-WDR3600 par exemple qui est compatible OpenWRT et que vous trouverez à 49,99€ sur materiel.net.

          • [^] # Re: Pour sniffer?

            Posté par  . Évalué à 2.

            Le switch que j'ai déjà acheté est celui-ci
            http://www.cisco.com/c/en/us/support/switches/sg-100d-08-8-port-gigabit-switch/model.html

            C'est bête, un SG-200 t'aurais permis de gérer des vlans pour guère plus chère ( 2 fois le prix quand même ). Je pense que cela aurait été un bon investissement.

      • [^] # Re: Pour sniffer?

        Posté par  . Évalué à 2.

        tu as donc 3 reseaux à gerer :

        • ton LAN
        • ta TV
        • ton Internet

        dans ton PC qui servira de routeur, tu mets 3 cartes reseaux
        tu fais genre :

        • 192.168.1.0/24 pour la box/internet
        • 192.168.2.0/24 pour ton LAN (avec un DHCP sur ton PC-routeur
        • 192.168.3.0/24 pour ta TV
  • # VPN ?

    Posté par  . Évalué à 1.

    Le plus simple afin d'éviter une configuration de VLAN, qui ne seront surement pas pris en charge par votre switch si vous prenez un modèle basique, ou encore éviter de créer des plages d'adresse IP avec un seul client dedans.
    C'est peut-être de mettre en place un serveur VPN sur votre routeur (vu qu'il est fait maison avec une distribution linux) ainsi tout vos clients passeront forcément par le serveur VPN, vous pourrez les isoler afin qu'ils ne puissent pas discuter entre eux directement sur le VPN et ainsi vous aurez tout le loisirs de créer vos règles de routage, filtrage entre vos client ;)

  • # Isolation de port ?

    Posté par  . Évalué à 1.

    Tardivement, mais, j'aimerais proposer quelque chose….

    J'ai peut être une solution plus simple à proposer ( à voir si le switch le permet par contre ): l'isolation de ports

    En effet, il est possible d’empêcher des ports de ce voir entre eux sur certains switchs ( j'ai du DLink à la maison )

    -> c'est rapide : il suffit de dire que le port de la TV ne peux rien voir, à l’exception du port du routeur, puis sur les ports des autres devices ( donc, hors port vers le routeur et le port de la TV ), empêcher de communiquer avec le port de la TV

    On ce retrouve avec :

    -> port de la TV --> uniquement le routeur
    -> port des autres devices --> partout, sauf port TV
    -> port du routeur -> tout le monde

    Bref, juste un peut de conf dans le switch, si il le permet

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.