Bonjour,
Pour information, ça n'est pas moi qui ai décidé qu'il n'y aurait pas de
subnet différent pour le réseau invité mais TP-Link.
On ne parle pas d'une solution offrant une souplesse si grande à
l'utilisateur.
Je n'ai pas décidé de me compliquer la vie, je ne suis pas un pro du
réseau mais j'aurais fait autrement pour le réseau invité :)
Autant dire que quand ce matériel me lâchera, je me délesterais d'un
plus gros budget pour aller vers du Unify ou quelque chose de plus
souple mais en attendant, je dois faire avec les décisions uni-latérales
du constructeur qui me dira "Je vous ai compris" quand j'enverrais les
suggestions d'une meilleure configuration réseau ;)
Bonne journée,
Patrick
Le 21/01/2022 à 20:20, Olivier Lange a écrit :
Euh, si t'es en wifi, non. Ton tag est sur tes équipements, et pas sur
les équipements utilisateurs. Sauf si tu fournis un port réseau pour
les visiteurs. Et encore, la tu configure en untag vid visiteur le
port de ton switch.
Olivier
Le ven. 21 janv. 2022 à 14:03, Luc Novales <luc.nova...@enac.fr
<mailto:luc.nova...@enac.fr>> a écrit :
Bonsoir,
Je rajouterai qu'il vaut mieux taguer le VLAN normal. Taguer le
VLAN invité, c'est obliger les invit·és à utiliser une
configuration difficile à mettre en place, voire impossible sur
certains équipements.
Bonne soirée,
Luc.
Le 21/01/2022 à 16:26, Olivier Lange a écrit :
Bonjour
Je pense que tu as une ereur d'architecture. si tu veux avoir un
réseau invité dédié et sécurisé, il te faut un vlan dédié, et un
subnet (/24) dédié. Ce qui va te permettre de mettre en place des
règles spécifiques, autant au niveau 3/4/6 (via ton subnet et ton
routeur) que 2 (via ton vlan).
Tenter de bridger tout ca, au mieux ca devient une usine a gaz
ingérable avec plein de vulnérabilité, au pire ton réseau ne
fonctionnera pas.
C'est mon avis.
Olivier
Le ven. 21 janv. 2022 à 10:06, Patrick ZAJDA <patr...@zajda.fr
<mailto:patr...@zajda.fr>> a écrit :
Bonjour,
Le contexte est le suivant :
J'utilise des TP-Link Deco M5 pour avoir un réseau wifi
maillé et souhaite activé le réseau wifi invité.
La seule chose qui sépare ces réseau c'est un VLAN tagué pour
le réseau invité.
Les adresses IP sont dans le même rang pour les deux réseaux,
les paramètres DHCP sont en tout point similaires pour les
réseau principal et invité. Il n'y a aucun paramètre DHCP
séparé pour le réseau invité.
Sur un Raspberry Pi, j'ai installé Adguard et souhaite donc
l'utiliser comme résolveur au niveau de tout le réseau.
Je pourais très bien spécifier l'adresse IP du Deco principal
comme résolveur et faire en sorte que celui-ci prenne Adguard
comme résolveur mais ça voudrait dire que toutes les requêtes
viendraient de la même adresse IP, ce qui ne convient pas.
Il faudrait donc que ce résolveur soit joignable depuis le
réseau principal comme invité et ce, en utilisant la même
adresse IP.
J'espère avoir pu expliquer clairement pourquoi il n'y a pas
d'autre solution qu'une seule IP qui serait joignable sur les
deux VLAN...
Le 21/01/2022 à 14:10, JUPIN Alain a écrit :
Bonjour,
Je comprends pas trop le concept.
Pour moi l’intérêt des VLAN c'est d'isoler les réseaux (en
utilisant les même équipements réseaux, switch par exemple).
En général on relie les VLAN entre eux par du routage, du
moins j'ai toujours pratiqué de cette manière !
Bridger des VLAN, si c'est pour du test/apprentissage
pourquoi pas, mais pour de la prod je me méfierait des
effets de bords au niveau de la sécurité.
Alain JUPIN
Le 20/01/2022 à 14:51, Patrick ZAJDA a écrit :
Bonjour,
Est-il possible de bridger deux VLAN ?
Le but étant d'avoir une adresse IP commune aux deux VLAN
pour que les deux puissent utiliser le même résolveur entre
les réseaux principal et invité.
Si une autre méthode que le bridge est possible, je reste
bien entendu ouvert aux alternatives :)
Pour le moment, j'ai testé ceci (en anglais) sans succès :
https://www.variantweb.net/blog/creating-vlan-bridges-with-systemd-networkd/
<https://www.variantweb.net/blog/creating-vlan-bridges-with-systemd-networkd/>
Il utilise deux bridges mais le raspberry Pi sur lequel je
le fait ne passe jamais en ligne.
J'ai tenté de n'utiliser qu'un seul bridge, avec le même
résultat.
--
Patrick ZAJDA
--
Patrick ZAJDA
--
Patrick ZAJDA
