[Netasq F200] Création de VLANs Fermé

Question

Bonjour,j'ai un routeur en 192.168.10.1 qui est branché sur l'interface externe de mon Netasq qui est en 192.168.10.2L'interface interne de mon Netasq est en 192.168.1.1 et elle est branchée sur mon HP Procurve.J'ai mon Vlan2 (ID = 2) qui a pour IP 192.168.2.1 et mon Vlan3 (ID =  3) qui a pour IP 192.168.3.1.J'aimerais que mes PC Windows qui font parti du Vlan2 et les PC du Vlan3 puissent accéder à internet!J'ai créé 2 Vlans dans la partie "réseau" du "Firewall Manager" avec les ID qui correspondent mais cela ne fonctionne pas!Que faut il, où que puis je, vérifier pour connaitre d'où vient le probleme ou si ma configuration est bonne?MerciPS : si ça peut vous aider je pourrai mettre les copies d'ecran de ma configuration de mon HP Procurve 2524.

chichounillio · Answer

t'as toujours pas résolu ton problème ?deja les pcs entre vlans ils se pinguent entre eux ? sinon il faut que ton port entre le HP et le netasq soit en trunk.est ce que t'arrive à pinguer les interfaces netasq depuis les postes (in et out) et le routeur ?regarde que le routage est actif sur l'interface in.vérifie que t'as pas une règle dans le fw qui te bloque le trafictu sais le netasq c'est autrement plus complexe à configurer qu'un HP ( il faut prendre en compte l'adressage IP, les regles de firewalling, le nat entre les interfaces, l'anti-spoofing, .....les firewalls nécéssite quand même des compétences un peu avancé en réseau et sécurité

kelux · Answer

Salut,La notion de trunk sous HP s'appelle un port taggué ... Donc tu dois taggué les trames qui vont sur du port sur le HP jusqu'au netasq....Tu dois vérifier que le netasq est compatible 802.1Q , notamment la carte réseau (on rajoute 4 octets dans la trame et toutes les cartes réseaux ne savent pas les lire...)Sur le HP : mets en mode TAG le port auquel est connecté le netasq, tu le mets en TAG pour tous les VLANS qu'il doit desservir.Tu actives le mode trunk (ou en TAG) sur le netasq (je ne connais pas ce produit, je ne peux pas t'aider sur ce point), et tu  mets 3 adresses IP (sur le netasq pour la meme interface (notion de sous interfaces).Ces 3 IP's doivent etre en corrélation avec l'id de réseau des VLANS, ces adresses seront les passerelles par défaut de chaque vlan.D'autre part c'est normal que des postes entre différents vlans en puissent pas se pinguer, puisque c'est le but de les isoler...Dans ton cas aucun passerelle n'est donnée aux postes des différents vlans....pas de routage, pas de communication ....a+

Titou69 · Answer

Le hp est "normalement" pas trop mal configuré!Les tag sont bien mis en place.Ma question était plus sur le Netasq car j'ai bien rajouté sur le IN les vlan avec leur ID et leur IP mais cela ne fonctonne pas!Je pense que je dois rajouter des trucs dans le routage (car le in et le out ne sont pas en bridge) mais je ne sais pas trop comment faire.Je vous remercie pour votre aide!

kelux · Answer

Je ne connais pas les produits netasq...Mais as tu vérifié si tu as configuré l'encapsulation dot1q pour l'interface du netasq ?Le netasq doit aussi avoir une adresse IP pour chaque VLAN sur la meme interface réseau. Si tu n'as pas cela, ne cherche pas plus loin pour l'instant. Pas de passerelle pour les vlans = pas de routage = pas de communication inter-vlan.Que donnes tu comme passerelle par défaut pour les clients de chaque VLAN ?

kelux · Answer

Pas de news ?

Titou69 · Answer

Salut,je me suis bien renseigné sur le matos que MON COMMERCIAL!!! avait commandé et je ne peux pas faire de routage à cause de la version des procurve!Le 2524 n'est pas de niveau 3 et c'est obligé que mon switch le soit!Mon super commercial va donc commander un 2626 ou un zyxel ES2024!Bref, merci le commercial, j'avais vraiment tu tempa à perdre!Merci les gars, je reposterai surement qd j'aurai reçu le bon matos!

kelux · Answer

Salut effectivement un procurve 2524 est niveau 2, comme la plupart des switchs, maintenant certains font niveau 3.Doumache !!Moi j'aurai dit que c'était la faute du netasq car il ne prend pas en charge le tagging !! (ca se trouve il le fait vraiment :) )a+ :)

Titou69 · Answer

Dans la config "reseau" du netasq on peut ajouter des vlans sur "in" ou "out" et ajouter l'ID de ce vlan! Donc j'imagine qu'il doit savoir gérer les taggs!!Enfin j'espere lol!

kelux · Answer

Est ce que tu peux alors créer des sous interfaces ? Mettre des IP's pour tes Vlans ?

Titou69 · Answer

Je peux mettre des IP oui

kelux · Answer

Je veux dire , mettre des ip's en tant qu'interface du netasq, pas une ip pour un filtre de firewall ...As tu essayé de configurer une sous interface par vlan sur le netasq ?Ca se trouve il activera le dot.1q automatiquement.

bob · Answer

Oui le netasq prends en charge les vlan au sens 802.1q (tag dans les trames ethernet)

Le plus simple pour faire du debug dans ce genre de cas c'est encore les dumps reseaux ("tcpdump -i fxp0" ou "tcpdump -i vlan0", voir manuel de tcpdump sur le net) depuis un accès en SSH

Comme cela tu sauras rapidement si la config du switch est ok (tu vera si tu reçois des paquets avec le bon tag)

Tu peux aussi voir dans le moniteur temps réel du netasq si celui-ci a bien détectée les machines du VLAN sur ton interface vlan fraîchement crée 

PS: L'admin suite doit être dispo sur l'espace client du site netasq