Forum Linux.général Configuration Ipcop et Vlans

Posté par  . Licence CC By‑SA.
Étiquettes : aucune
0
2
oct.
2019

Bonjour,
J’ai installé ipcop pour sécuriser ma connexion qui est partagée avec un switch Alcatel, pour plusieurs raisons j’ai besoin de séparer les utilisateurs -> Vlans…
Mais malheureusement (pas de connexion)
sauf si je branche le câble dans un des deux vlan donc pas de connexion à l’autre vlan, est ce qu’il y a une configuration à ajouter au niveau d'ipcop ?
Merci

  • # Trunk

    Posté par  . Évalué à 1.

    Bonjour, un plan serait utile, ne serait-ce que pour savoir ce qui passe dans le switch (s'il est en mode trunk notamment). Normalement ça devrait être switch (trunk) -> IPcop avec interface trunk et création d'interface dans les VLANs correspondant + règles ad-hoc.

    Par contre, pourquoi IPcop, apparemment ce n'est plus actif depuis 2015 ? Pfsense serait sans doute plus indiqué…

    • [^] # Re: Trunk

      Posté par  . Évalué à 1.

      Merci beaucoup pour la réponse
      Mais malheureusement pas de connexion avec cette configuration [j’ai configuré un des ports du switch en mode trunk (d’ipcop) et j’ai partagé les autres ports en deux (pour les vlans)]!!!
      Peut-être il y a une configuration particulière au niveau ipcop?

  • # faut voir

    Posté par  . Évalué à 2.

    tu veux séparer les utilisateurs en mettant chaque machine dans un vlan ?
    il te faut alors une interface/vlan sur le ipso, avec un range IP pour ton utilisateur, une IP sur l'ipcop qui sera la passerelle de cet utilisateur

    ensuite il faut que les vlans existent sur le switch :
    - en mode native vlan, access ou paid selon les switch, sur l'interface qui va à l'utilisateur
    - en mode trunk avec tous les vlans sur l'interface qui va à l'interface de ipcop

    tu as alors des flux
    utilisateur -> port du switch -> vlan X -> switch -> port du ipcop -> vlan X -> firewall

    Mais malheureusement (pas de connexion)
    sauf si je branche le câble dans un des deux vlan donc pas de connexion à l’autre vlan

    et tu as bien des IPs différentes sur tes vlans ?
    Vlan A : 192.168.1.0/24 => ipcop sur IP 192.168.1.1 par exemple
    Vlan B : 192.168.2.0/24 => ipcop aussi sur IP 192.168.2.1
    Vlan C : 192.168.3.0/24 => ipcoop sur IP 192.168.3.1
    etc

    chaque vlan son adressage, et IPCOP a une carte/interface/vlan avec une IP dans chaque adressage

    • [^] # Re: faut voir

      Posté par  . Évalué à 1.

      Salut
      Je suis débutante dans le monde des réseaux..
      Voici ma config :
      Ipcop : une seule plage d’adressage.(une seul carte Réseau Lan green)172.19.0.0/16

      Switch(Alcatel) : un vlan pour chaque service.
      Vlan 10 name aaa

      Vlan 20 name bbb
      Vlan 30 name ccc

      Vlan 10 portdefault 1/1-5
      Vlan 20 portdefault 1/6-10
      Vlan 30 portdefault 1/11-15
      Vlan 10 802.1q 1/24
      Vlan 20 802.1q 1/24
      Vlan 30 802.1q 1/24 port 24 pour ipcop

      ..

    • [^] # Re: faut voir

      Posté par  . Évalué à 1.

      Bonjour,

      (chaque vlan son adressage, et IPCOP a une carte/interface/vlan avec une IP dans chaque adressage)

      Est-ce que cela veut dire : pour chaque vlan il faut ajouter une carte réseau physique "green" à ipcop ?
      Veuillez me diriger à une doc pour la réalisé..
      Merci

      • [^] # Re: faut voir

        Posté par  . Évalué à 2. Dernière modification le 03 octobre 2019 à 11:21.

        pour chaque vlan il faut ajouter une carte réseau physique "green" à ipcop ?

        oui, actuellement ton port 24 envoie les 3 vlans 10/20/30 sur la carte physique de ipcop
        et Il faut differencier ces vlans sur l'ipcop par autant d'interfaces GREEN/vert/LAN

        idéalement ce serait des interfaces physiques, sur autant de port du switch,
        mais comme on n'en a qu'une, elle peut être "virtuelle", basée sur une seule interface physique.

        d'ailleurs quand tu demandes à ajouter un VLAN sur l'ipcop, il te demande surement quelle sera l'interface physique.

        ensuite sur chaque interface green il te faudra une IP pur chaque réseau client comme évoqué plus haut.

        enfin si ton IPCOP n'a qu'une seule interface, c'est compliqué de faire de la vraie sécurité
        car il faudrait une 2e carte physique, qui serait le "rouge" (WAN/internet)

        internet -> [interface A] rouge (IPCOP) green [interface B] -> switch

        ou alors tu fais tout en vlan
        1 vlan => RED/Rouge => internet, la box operateur
        1 vlan par utilisateur => green/vert => un sous réseau par utilisateur.

        vu que tu débutes un sous réseau en 192.168.X.0/24
        avec X numéroté de 1 à 254 pour chacun de tes clients fera l'affaire (plus facile à suivre dans les lots du firewall)

        avec l'expérience, tu feras un 192.168.X.Y/30
        cela donne alors une seule machine dans chaque vlan :

        • Client 1 : 192.168.X.1, ipcop 192.168.X.2
        • Client 2 : 192.168.X.5, ipcop 192.168.X.6
        • Client 3 : 192.168.X.9, ipcop 192.168.X.10 etc

        mais c'est plus complexe à suivre dans les lots

        • [^] # Re: faut voir

          Posté par  . Évalué à 1. Dernière modification le 03 octobre 2019 à 16:05.

          Salut,
          Mon Ipcop 2.1.9 dispose de deux cartes réseaux (red/green).
          Est ce que c'est possible et simple (une seule plage d'@ dans les 3 vlans),si je remplace ipcop par pfsense…

          • [^] # Re: faut voir

            Posté par  . Évalué à 2.

            Est ce que c'est possible et simple (une seule plage d'@ dans les 3 vlans),si je remplace ipcop par pfsense…

            ce sera possible exactement de la même manière, que tu le fasses avec 1 logiciel ou un autre,

            tu veux 4 réseaux (internet, et 3 réseaux clients) avec 2 cartes
            donc il te faut un WAN/rouge/danger, et une carte LAN/vert/ok et 3 vlans sur la carte verte.

            ensuite pour que ton firewall cause sur le switch il faut lui aussi qu'il ait les vlans,
            cela fait autant de carte réseau virtuelle

            et pour que tout le monde parle au firewall, il faut un range réseau pour chaque vlan,
            avec passerelle = ip sur le vlan du firewall

            • [^] # Re: faut voir

              Posté par  . Évalué à 1.

              *et pour que tout le monde parle au firewall, il faut un range réseau pour chaque vlan,
              avec passerelle = ip sur le vlan du firewall

              C'est l'étape qui me manque (j'ai pas trouvé où ajouter des vlan au niveau ipcop)…

              Merci d'avance

              • [^] # Re: faut voir

                Posté par  . Évalué à 2.

                j'ai pas ipcop sous la main, donc je ne saurais pas dire,

                mais mon instinct le placerait dans les creations d'interfaces/vlans/aliases
                pour pouvoir determiner que le firewall à de nouvelles interfaces 'virtuelles' qui sont en fait les vlans sur l'interface physique.

                • [^] # Re: faut voir

                  Posté par  . Évalué à 1. Dernière modification le 08 octobre 2019 à 12:14.

                  Apres l'activation du mode avancé il y a la possibilité :

                  • pare-feu --> Adresses -->Ajouter une adresse: (Nom: Adresse: Masque réseau: )

                  • pare-feu --> Interfaces --> Ajouter une interface: (Nom: Interface:)

                  Mais j'ai pas une interface qui me permis de créer des vlans:
                  https://sourceforge.net/projects/ipcopvlan/

                  • [^] # Re: faut voir

                    Posté par  . Évalué à 2. Dernière modification le 08 octobre 2019 à 17:56.

                    peut-être qu'en voyant que l'addon date de 2010, tu peux te poser judicieusement la question de la fiabilité d'un IPCOP en 2019 (9 ans après)

                    meme si la dernière version semble avoir été publiée en 2015
                    The latest stable IPCop version is 2.1.9, released on 2015-02-23.

                    4 ans dans le domaine de l'IT/sécurité, c'est énorme.

                    du coup, y a surement un intérêt à tester des trucs plus récents
                    - zeroshell : dernière mise à jour date d'aout 2019
                    - pfsense : fin juillet 2019
                    - opnsense : octobre 2019

                    et y en a surement d'autres que je ne connais pas.
                    dans un autre post on parle de ClearOS développé par HP et ses amis.

  • # Vraiment pour sécuriser ?

    Posté par  (site web personnel) . Évalué à 4.

    The latest stable IPCop version is 2.1.9, released on 2015-02-23. There are no installation files for 2.1.9, you need to install 2.1.8 and then upgrade to 2.1.9.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.