Bridge Linux VLAN <-> LAN
Bridge Linux VLAN <-> LAN - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 08-04-2014 à 22:45:15
Pourquoi ne pas plutôt mettre ta machine linux en coupure avec 2 interfaces eth entre ton switch wifi le reste de ton réseau ?
Il est de toute façon nécessaire pour le fonctionnement de cette partie de réseau, donc autant le mettre en coupure.
Marsh Posté le 09-04-2014 à 08:50:13
Because ce n'est "pas possible" physiquement. Le schéma est simplifié. Il était là pour présenter le problème. Les AP sont multiples derrière plusieurs switch unmanaged et je n'ai pas la possibilité de tirer de cable entre eux et le PC.
Peut être la catégorie Linux et OS Alternatifs/réseaux et sécurité est elle plus appropriée ?
Marsh Posté le 09-04-2014 à 20:17:57
Quand je disais coupure, je ne voulais pas dire physiquement mais logiquement, c'est à dire une interface en untagged, une seconde taggued VLAN5/10 voir une 3eme pour séparer les 2 VLAN.
Ensuite, plutôt que faire du bridge (je ne vois pas l'intérêt ici), juste faire du routage pour le VLAN5 et du NAT pour le 10.
Sujets relatifs:
- Demande de conseils : Architecture, VLAN
- Question VLAN ... on avance !
- [RESOLU] Serveur NTP et double VLAN
- cloisonnement de ports - VLAN HP
- Serveur LInux-Windows
- Modification Vlan de réplication distante baies N / NetApp
- VLAN Dynamiques Switch HP
- Routeur multi Lan
- [Résolu] Configuration DHCP inter-vlan
Marsh Posté le 08-04-2014 à 11:15:23
Bonjour,
J'essaye de mettre en place un réseau avec un double SSID/VLAN et le routage/bridge qui va bien. J'essaye d'utiliser une machine linux (avec module 8021q, bridge, ebtables) comme routeur/passerelle entre les VLAN et le LAN :
Le GW (gateway) internet ne sait pas faire de VLAN et ne connait qu'un seul net LAN (pas de routage coté LAN)
J'ai un acces wifi guest sur le VLAN 5 qui a accès à internet via le routeur linux et NAT : ca marche : il peut accéder à internet sans voir notre réseaux corporate.
J'ai accès wifi corporate sur le VLAN 10 (le routeur oblige à le mettre sur un VLAN) qui doit voir le reste de mon réseau corporate et avoir accès à internet. J'ai donc fait un bridge sur mon routeur linux avec un brin sur eth0 pour avoir accès au reste du réseau corporate et un autre brin sur le eth0.10 (tagged VLAN 10) pour faire le pont entre le VLAN10 et le réseau LAN.
Le problème est que dès que j'insère le eth0.10 dans le bridge et que je fait un peut de traffic sur eth0 le réseau en entier "explose" (paquets qui se perdent, machines non visible, ...). Si je retire le VLAN5 ca ne change rien. J'arrive même à des panic sur certaine distrib.
La question : qu'est-ce que j'ai loupé comme principe de base ?
Merci
ebtable:
*filter
:INPUT ACCEPT
:FORWARD ACCEPT
:OUTPUT ACCEPT
*broute
:BROUTING ACCEPT
-A BROUTING -p 802_1Q -i eth0 --vlan-id 10 -j DROP
iptable:
#
# NAT
#
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 192.168.5.0/24 -d 192.168.0.0/23 -j ACCEPT
-A POSTROUTING -s 192.168.5.0/24 -j MASQUERADE
COMMIT
#
# JOB
#
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
sysctl.conf:
# Kernel sysctl configuration file for Red Hat Linux
# Disable IPV6
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
# Controls IP packet forwarding
net.ipv4.ip_forward = 1
# Controls source route verification
net.ipv4.conf.default.rp_filter = 1
# bridging passing throug iptable
net.bridge.bridge-nf-call-arptables = 0
net.bridge.bridge-nf-call-iptables = 0
net.bridge.bridge-nf-call-ip6tables = 0
net.bridge.bridge-nf-filter-pppoe-tagged = 0
net.bridge.bridge-nf-filter-vlan-tagged = 1