Re: Bridger deux VLAN avec systemd network

2022-01-22 Par sujet Patrick ZAJDA 

Bonjour,


Pour information, ça n'est pas moi qui ai décidé qu'il n'y aurait pas de 
subnet différent pour le réseau invité mais TP-Link.


On ne parle pas d'une solution offrant une souplesse si grande à 
l'utilisateur.


Je n'ai pas décidé de me compliquer la vie, je ne suis pas un pro du 
réseau mais j'aurais fait autrement pour le réseau invité :)


Autant dire que quand ce matériel me lâchera, je me délesterais d'un 
plus gros budget pour aller vers du Unify ou quelque chose de plus 
souple mais en attendant, je dois faire avec les décisions uni-latérales 
du constructeur qui me dira "Je vous ai compris" quand j'enverrais les 
suggestions d'une meilleure configuration réseau ;)



Bonne journée,


Patrick


Le 21/01/2022 à 20:20, Olivier Lange a écrit :
Euh, si t'es en wifi, non. Ton tag est sur tes équipements, et pas sur 
les équipements utilisateurs. Sauf si tu fournis un port réseau pour 
les visiteurs. Et encore, la tu configure en untag vid visiteur le 
port de ton switch.


Olivier

Le ven. 21 janv. 2022 à 14:03, Luc Novales > a écrit :


Bonsoir,

Je rajouterai qu'il vaut mieux taguer le VLAN normal. Taguer le
VLAN invité, c'est obliger les invit·és à utiliser une
configuration difficile à mettre en place, voire impossible sur
certains équipements.

Bonne soirée,

Luc.


Le 21/01/2022 à 16:26, Olivier Lange a écrit :

Bonjour

Je pense que tu as une ereur d'architecture. si tu veux avoir un
réseau invité dédié et sécurisé, il te faut un vlan dédié, et un
subnet (/24) dédié. Ce qui va te permettre de mettre en place des
règles spécifiques, autant au niveau 3/4/6 (via ton subnet et ton
routeur) que 2 (via ton vlan).

Tenter de bridger tout ca, au mieux ca devient une usine a gaz
ingérable avec plein de vulnérabilité, au pire ton réseau ne
fonctionnera pas.

C'est mon avis.
Olivier

Le ven. 21 janv. 2022 à 10:06, Patrick ZAJDA mailto:patr...@zajda.fr>> a écrit :

Bonjour,


Le contexte est le suivant :

J'utilise des TP-Link Deco M5 pour avoir un réseau wifi
maillé et souhaite activé le réseau wifi invité.

La seule chose qui sépare ces réseau c'est un VLAN tagué pour
le réseau invité.

Les adresses IP sont dans le même rang pour les deux réseaux,
les paramètres DHCP sont en tout point similaires pour les
réseau principal et invité. Il n'y a aucun paramètre DHCP
séparé pour le réseau invité.


Sur un Raspberry Pi, j'ai installé Adguard et souhaite donc
l'utiliser comme résolveur au niveau de tout le réseau.

Je pourais très bien spécifier l'adresse IP du Deco principal
comme résolveur et faire en sorte que celui-ci prenne Adguard
comme résolveur mais ça voudrait dire que toutes les requêtes
viendraient de la même adresse IP, ce qui ne convient pas.


Il faudrait donc que ce résolveur soit joignable depuis le
réseau principal comme invité et ce, en utilisant la même
adresse IP.


J'espère avoir pu expliquer clairement pourquoi il n'y a pas
d'autre solution qu'une seule IP qui serait joignable sur les
deux VLAN...



Le 21/01/2022 à 14:10, JUPIN Alain a écrit :

Bonjour,

Je comprends pas trop le concept.
Pour moi l’intérêt des VLAN c'est d'isoler les réseaux (en
utilisant les même équipements réseaux, switch par exemple).
En général on relie les VLAN entre eux par du routage, du
moins j'ai toujours pratiqué de cette manière !

Bridger des VLAN, si c'est pour du test/apprentissage
pourquoi pas, mais pour de la prod je me méfierait des
effets de bords au niveau de la sécurité.

Alain JUPIN

Le 20/01/2022 à 14:51, Patrick ZAJDA a écrit :


Bonjour,


Est-il possible de bridger deux VLAN ?


Le but étant d'avoir une adresse IP commune aux deux VLAN
pour que les deux puissent utiliser le même résolveur entre
les réseaux principal et invité.

Si une autre méthode que le bridge est possible, je reste
bien entendu ouvert aux alternatives :)


Pour le moment, j'ai testé ceci (en anglais) sans succès :

https://www.variantweb.net/blog/creating-vlan-bridges-with-systemd-networkd/




Il utilise deux bridges mais le raspberry Pi sur lequel je
le fait ne passe jamais en ligne.

J'ai tenté de n'utiliser qu'un seul bridge, avec le même
résultat.


-- 
Patrick ZAJDA


-- 
Patrick ZAJDA



--
Patrick ZAJDA

Re: Bridger deux VLAN avec systemd network

2022-01-21 Par sujet Olivier Lange 
Euh, si t'es en wifi, non. Ton tag est sur tes équipements, et pas sur les
équipements utilisateurs. Sauf si tu fournis un port réseau pour les
visiteurs. Et encore, la tu configure en untag vid visiteur le port de ton
switch.

Olivier

Le ven. 21 janv. 2022 à 14:03, Luc Novales  a écrit :

> Bonsoir,
>
> Je rajouterai qu'il vaut mieux taguer le VLAN normal. Taguer le VLAN
> invité, c'est obliger les invit·és à utiliser une configuration difficile à
> mettre en place, voire impossible sur certains équipements.
>
> Bonne soirée,
>
> Luc.
>
>
> Le 21/01/2022 à 16:26, Olivier Lange a écrit :
>
> Bonjour
>
> Je pense que tu as une ereur d'architecture. si tu veux avoir un réseau
> invité dédié et sécurisé, il te faut un vlan dédié, et un subnet (/24)
> dédié. Ce qui va te permettre de mettre en place des règles spécifiques,
> autant au niveau 3/4/6 (via ton subnet et ton routeur) que 2 (via ton vlan).
>
> Tenter de bridger tout ca, au mieux ca devient une usine a gaz ingérable
> avec plein de vulnérabilité, au pire ton réseau ne fonctionnera pas.
>
> C'est mon avis.
> Olivier
>
> Le ven. 21 janv. 2022 à 10:06, Patrick ZAJDA  a écrit :
>
>> Bonjour,
>>
>>
>> Le contexte est le suivant :
>>
>> J'utilise des TP-Link Deco M5 pour avoir un réseau wifi maillé et
>> souhaite activé le réseau wifi invité.
>>
>> La seule chose qui sépare ces réseau c'est un VLAN tagué pour le réseau
>> invité.
>>
>> Les adresses IP sont dans le même rang pour les deux réseaux, les
>> paramètres DHCP sont en tout point similaires pour les réseau principal et
>> invité. Il n'y a aucun paramètre DHCP séparé pour le réseau invité.
>>
>>
>> Sur un Raspberry Pi, j'ai installé Adguard et souhaite donc l'utiliser
>> comme résolveur au niveau de tout le réseau.
>>
>> Je pourais très bien spécifier l'adresse IP du Deco principal comme
>> résolveur et faire en sorte que celui-ci prenne Adguard comme résolveur
>> mais ça voudrait dire que toutes les requêtes viendraient de la même
>> adresse IP, ce qui ne convient pas.
>>
>>
>> Il faudrait donc que ce résolveur soit joignable depuis le réseau
>> principal comme invité et ce, en utilisant la même adresse IP.
>>
>>
>> J'espère avoir pu expliquer clairement pourquoi il n'y a pas d'autre
>> solution qu'une seule IP qui serait joignable sur les deux VLAN...
>>
>>
>>
>> Le 21/01/2022 à 14:10, JUPIN Alain a écrit :
>>
>> Bonjour,
>>
>> Je comprends pas trop le concept.
>> Pour moi l’intérêt des VLAN c'est d'isoler les réseaux (en utilisant les
>> même équipements réseaux, switch par exemple).
>> En général on relie les VLAN entre eux par du routage, du moins j'ai
>> toujours pratiqué de cette manière !
>>
>> Bridger des VLAN, si c'est pour du test/apprentissage pourquoi pas, mais
>> pour de la prod je me méfierait des effets de bords au niveau de la
>> sécurité.
>>
>> Alain JUPIN
>>
>> Le 20/01/2022 à 14:51, Patrick ZAJDA a écrit :
>>
>> Bonjour,
>>
>>
>> Est-il possible de bridger deux VLAN ?
>>
>>
>> Le but étant d'avoir une adresse IP commune aux deux VLAN pour que les
>> deux puissent utiliser le même résolveur entre les réseaux principal et
>> invité.
>>
>> Si une autre méthode que le bridge est possible, je reste bien entendu
>> ouvert aux alternatives :)
>>
>>
>> Pour le moment, j'ai testé ceci (en anglais) sans succès :
>> https://www.variantweb.net/blog/creating-vlan-bridges-with-systemd-networkd/
>>
>>
>> Il utilise deux bridges mais le raspberry Pi sur lequel je le fait ne
>> passe jamais en ligne.
>>
>> J'ai tenté de n'utiliser qu'un seul bridge, avec le même résultat.
>>
>>
>> --
>> Patrick ZAJDA
>>
>>
>> --
>> Patrick ZAJDA
>>
>

Re: Bridger deux VLAN avec systemd network

2022-01-21 Par sujet Luc Novales 

Bonsoir,

Je rajouterai qu'il vaut mieux taguer le VLAN normal. Taguer le VLAN 
invité, c'est obliger les invit·és à utiliser une configuration 
difficile à mettre en place, voire impossible sur certains équipements.


Bonne soirée,

Luc.


Le 21/01/2022 à 16:26, Olivier Lange a écrit :

Bonjour

Je pense que tu as une ereur d'architecture. si tu veux avoir un 
réseau invité dédié et sécurisé, il te faut un vlan dédié, et un 
subnet (/24) dédié. Ce qui va te permettre de mettre en place des 
règles spécifiques, autant au niveau 3/4/6 (via ton subnet et ton 
routeur) que 2 (via ton vlan).


Tenter de bridger tout ca, au mieux ca devient une usine a gaz 
ingérable avec plein de vulnérabilité, au pire ton réseau ne 
fonctionnera pas.


C'est mon avis.
Olivier

Le ven. 21 janv. 2022 à 10:06, Patrick ZAJDA  a écrit :

Bonjour,


Le contexte est le suivant :

J'utilise des TP-Link Deco M5 pour avoir un réseau wifi maillé et
souhaite activé le réseau wifi invité.

La seule chose qui sépare ces réseau c'est un VLAN tagué pour le
réseau invité.

Les adresses IP sont dans le même rang pour les deux réseaux, les
paramètres DHCP sont en tout point similaires pour les réseau
principal et invité. Il n'y a aucun paramètre DHCP séparé pour le
réseau invité.


Sur un Raspberry Pi, j'ai installé Adguard et souhaite donc
l'utiliser comme résolveur au niveau de tout le réseau.

Je pourais très bien spécifier l'adresse IP du Deco principal
comme résolveur et faire en sorte que celui-ci prenne Adguard
comme résolveur mais ça voudrait dire que toutes les requêtes
viendraient de la même adresse IP, ce qui ne convient pas.


Il faudrait donc que ce résolveur soit joignable depuis le réseau
principal comme invité et ce, en utilisant la même adresse IP.


J'espère avoir pu expliquer clairement pourquoi il n'y a pas
d'autre solution qu'une seule IP qui serait joignable sur les deux
VLAN...



Le 21/01/2022 à 14:10, JUPIN Alain a écrit :

Bonjour,

Je comprends pas trop le concept.
Pour moi l’intérêt des VLAN c'est d'isoler les réseaux (en
utilisant les même équipements réseaux, switch par exemple).
En général on relie les VLAN entre eux par du routage, du moins
j'ai toujours pratiqué de cette manière !

Bridger des VLAN, si c'est pour du test/apprentissage pourquoi
pas, mais pour de la prod je me méfierait des effets de bords au
niveau de la sécurité.

Alain JUPIN

Le 20/01/2022 à 14:51, Patrick ZAJDA a écrit :


Bonjour,


Est-il possible de bridger deux VLAN ?


Le but étant d'avoir une adresse IP commune aux deux VLAN pour
que les deux puissent utiliser le même résolveur entre les
réseaux principal et invité.

Si une autre méthode que le bridge est possible, je reste bien
entendu ouvert aux alternatives :)


Pour le moment, j'ai testé ceci (en anglais) sans succès :
https://www.variantweb.net/blog/creating-vlan-bridges-with-systemd-networkd/


Il utilise deux bridges mais le raspberry Pi sur lequel je le
fait ne passe jamais en ligne.

J'ai tenté de n'utiliser qu'un seul bridge, avec le même résultat.


-- 
Patrick ZAJDA


-- 
Patrick ZAJDA

Re: Bridger deux VLAN avec systemd network

2022-01-21 Par sujet Olivier Lange 
Bonjour

Je pense que tu as une ereur d'architecture. si tu veux avoir un réseau
invité dédié et sécurisé, il te faut un vlan dédié, et un subnet (/24)
dédié. Ce qui va te permettre de mettre en place des règles spécifiques,
autant au niveau 3/4/6 (via ton subnet et ton routeur) que 2 (via ton vlan).

Tenter de bridger tout ca, au mieux ca devient une usine a gaz ingérable
avec plein de vulnérabilité, au pire ton réseau ne fonctionnera pas.

C'est mon avis.
Olivier

Le ven. 21 janv. 2022 à 10:06, Patrick ZAJDA  a écrit :

> Bonjour,
>
>
> Le contexte est le suivant :
>
> J'utilise des TP-Link Deco M5 pour avoir un réseau wifi maillé et souhaite
> activé le réseau wifi invité.
>
> La seule chose qui sépare ces réseau c'est un VLAN tagué pour le réseau
> invité.
>
> Les adresses IP sont dans le même rang pour les deux réseaux, les
> paramètres DHCP sont en tout point similaires pour les réseau principal et
> invité. Il n'y a aucun paramètre DHCP séparé pour le réseau invité.
>
>
> Sur un Raspberry Pi, j'ai installé Adguard et souhaite donc l'utiliser
> comme résolveur au niveau de tout le réseau.
>
> Je pourais très bien spécifier l'adresse IP du Deco principal comme
> résolveur et faire en sorte que celui-ci prenne Adguard comme résolveur
> mais ça voudrait dire que toutes les requêtes viendraient de la même
> adresse IP, ce qui ne convient pas.
>
>
> Il faudrait donc que ce résolveur soit joignable depuis le réseau
> principal comme invité et ce, en utilisant la même adresse IP.
>
>
> J'espère avoir pu expliquer clairement pourquoi il n'y a pas d'autre
> solution qu'une seule IP qui serait joignable sur les deux VLAN...
>
>
>
> Le 21/01/2022 à 14:10, JUPIN Alain a écrit :
>
> Bonjour,
>
> Je comprends pas trop le concept.
> Pour moi l’intérêt des VLAN c'est d'isoler les réseaux (en utilisant les
> même équipements réseaux, switch par exemple).
> En général on relie les VLAN entre eux par du routage, du moins j'ai
> toujours pratiqué de cette manière !
>
> Bridger des VLAN, si c'est pour du test/apprentissage pourquoi pas, mais
> pour de la prod je me méfierait des effets de bords au niveau de la
> sécurité.
>
> Alain JUPIN
>
> Le 20/01/2022 à 14:51, Patrick ZAJDA a écrit :
>
> Bonjour,
>
>
> Est-il possible de bridger deux VLAN ?
>
>
> Le but étant d'avoir une adresse IP commune aux deux VLAN pour que les
> deux puissent utiliser le même résolveur entre les réseaux principal et
> invité.
>
> Si une autre méthode que le bridge est possible, je reste bien entendu
> ouvert aux alternatives :)
>
>
> Pour le moment, j'ai testé ceci (en anglais) sans succès :
> https://www.variantweb.net/blog/creating-vlan-bridges-with-systemd-networkd/
>
>
> Il utilise deux bridges mais le raspberry Pi sur lequel je le fait ne
> passe jamais en ligne.
>
> J'ai tenté de n'utiliser qu'un seul bridge, avec le même résultat.
>
>
> --
> Patrick ZAJDA
>
>
> --
> Patrick ZAJDA
>

Re: Bridger deux VLAN avec systemd network

2022-01-21 Par sujet Patrick ZAJDA 

Bonjour,


Le contexte est le suivant :

J'utilise des TP-Link Deco M5 pour avoir un réseau wifi maillé et 
souhaite activé le réseau wifi invité.


La seule chose qui sépare ces réseau c'est un VLAN tagué pour le réseau 
invité.


Les adresses IP sont dans le même rang pour les deux réseaux, les 
paramètres DHCP sont en tout point similaires pour les réseau principal 
et invité. Il n'y a aucun paramètre DHCP séparé pour le réseau invité.



Sur un Raspberry Pi, j'ai installé Adguard et souhaite donc l'utiliser 
comme résolveur au niveau de tout le réseau.


Je pourais très bien spécifier l'adresse IP du Deco principal comme 
résolveur et faire en sorte que celui-ci prenne Adguard comme résolveur 
mais ça voudrait dire que toutes les requêtes viendraient de la même 
adresse IP, ce qui ne convient pas.



Il faudrait donc que ce résolveur soit joignable depuis le réseau 
principal comme invité et ce, en utilisant la même adresse IP.



J'espère avoir pu expliquer clairement pourquoi il n'y a pas d'autre 
solution qu'une seule IP qui serait joignable sur les deux VLAN...




Le 21/01/2022 à 14:10, JUPIN Alain a écrit :

Bonjour,

Je comprends pas trop le concept.
Pour moi l’intérêt des VLAN c'est d'isoler les réseaux (en utilisant 
les même équipements réseaux, switch par exemple).
En général on relie les VLAN entre eux par du routage, du moins j'ai 
toujours pratiqué de cette manière !


Bridger des VLAN, si c'est pour du test/apprentissage pourquoi pas, 
mais pour de la prod je me méfierait des effets de bords au niveau de 
la sécurité.


Alain JUPIN

Le 20/01/2022 à 14:51, Patrick ZAJDA a écrit :


Bonjour,


Est-il possible de bridger deux VLAN ?


Le but étant d'avoir une adresse IP commune aux deux VLAN pour que 
les deux puissent utiliser le même résolveur entre les réseaux 
principal et invité.


Si une autre méthode que le bridge est possible, je reste bien 
entendu ouvert aux alternatives :)



Pour le moment, j'ai testé ceci (en anglais) sans succès : 
https://www.variantweb.net/blog/creating-vlan-bridges-with-systemd-networkd/



Il utilise deux bridges mais le raspberry Pi sur lequel je le fait ne 
passe jamais en ligne.


J'ai tenté de n'utiliser qu'un seul bridge, avec le même résultat.


--
Patrick ZAJDA



--
Patrick ZAJDA

Re: Bridger deux VLAN avec systemd network

2022-01-21 Par sujet JUPIN Alain 

Bonjour,

Je comprends pas trop le concept.
Pour moi l’intérêt des VLAN c'est d'isoler les réseaux (en utilisant les 
même équipements réseaux, switch par exemple).
En général on relie les VLAN entre eux par du routage, du moins j'ai 
toujours pratiqué de cette manière !


Bridger des VLAN, si c'est pour du test/apprentissage pourquoi pas, mais 
pour de la prod je me méfierait des effets de bords au niveau de la 
sécurité.


Alain JUPIN

Le 20/01/2022 à 14:51, Patrick ZAJDA a écrit :


Bonjour,


Est-il possible de bridger deux VLAN ?


Le but étant d'avoir une adresse IP commune aux deux VLAN pour que les 
deux puissent utiliser le même résolveur entre les réseaux principal 
et invité.


Si une autre méthode que le bridge est possible, je reste bien entendu 
ouvert aux alternatives :)



Pour le moment, j'ai testé ceci (en anglais) sans succès : 
https://www.variantweb.net/blog/creating-vlan-bridges-with-systemd-networkd/



Il utilise deux bridges mais le raspberry Pi sur lequel je le fait ne 
passe jamais en ligne.


J'ai tenté de n'utiliser qu'un seul bridge, avec le même résultat.


--
Patrick ZAJDA

Re: Bridger deux VLAN avec systemd network

2022-01-21 Par sujet Patrick ZAJDA 

Bonjour,



Le 20/01/2022 à 19:05, didier gaumet a écrit :


1) tu as redémarré le servive après les modifs?
# systemctl restart systemd-networkd


Oui, et juste après le Raspberry Pi passe hors ligne.



2) le wiki Debian avertit d'une particularité qui peut poser problème:
"Hint: in Debian Buster (probably also previous versions) systemd-
networkd may assign a different MAC-Address to the bridge than your
physical interface has. This may cause connection issues if your
service provider uses some kind of MAC-filtering when routing your
traffic. To circumvent such problems you may assign a MAC-address to
your bridge (probably the same as your physical device, replace the
'xx' with valid MAC): "
https://wiki.debian.org/SystemdNetworkd




Pas de filtrage particulier au niveau adresse MAC, tout au plus un bail DHCP 
statique assigné à la MAC de l'interface réseau.


J'essayerais d'assigner la MAC au bridge au cas où...


Merci beaucoup pour les pistes :)

--
Patrick ZAJDA

Re: Bridger deux VLAN avec systemd network

2022-01-20 Par sujet didier gaumet 


> 
avertissement: je n'y connais rien

1) tu as redémarré le servive après les modifs?
# systemctl restart systemd-networkd

2) le wiki Debian avertit d'une particularité qui peut poser problème:
"Hint: in Debian Buster (probably also previous versions) systemd-
networkd may assign a different MAC-Address to the bridge than your
physical interface has. This may cause connection issues if your
service provider uses some kind of MAC-filtering when routing your
traffic. To circumvent such problems you may assign a MAC-address to
your bridge (probably the same as your physical device, replace the
'xx' with valid MAC): "
https://wiki.debian.org/SystemdNetworkd

ne m'en demande pas plus ou plus pertinent, je sais pas faire :-)

Bridger deux VLAN avec systemd network

2022-01-20 Par sujet Patrick ZAJDA 

Bonjour,


Est-il possible de bridger deux VLAN ?


Le but étant d'avoir une adresse IP commune aux deux VLAN pour que les 
deux puissent utiliser le même résolveur entre les réseaux principal et 
invité.


Si une autre méthode que le bridge est possible, je reste bien entendu 
ouvert aux alternatives :)



Pour le moment, j'ai testé ceci (en anglais) sans succès : 
https://www.variantweb.net/blog/creating-vlan-bridges-with-systemd-networkd/



Il utilise deux bridges mais le raspberry Pi sur lequel je le fait ne 
passe jamais en ligne.


J'ai tenté de n'utiliser qu'un seul bridge, avec le même résultat.


--
Patrick ZAJDA