Bridge Linux VLAN <-> LAN

Bridge Linux VLAN <-> LAN - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 08-04-2014 à 11:15:23    

Bonjour,
J'essaye de mettre en place un réseau avec un double SSID/VLAN et le routage/bridge qui va bien. J'essaye d'utiliser une machine linux (avec module 8021q, bridge, ebtables) comme routeur/passerelle entre les VLAN et le LAN :
http://support.cimel.fr/down/mynet.png
Le GW (gateway) internet ne sait pas faire de VLAN et ne connait qu'un seul net LAN (pas de routage coté LAN)
J'ai un acces wifi guest sur le VLAN 5 qui a accès à internet via le routeur linux et NAT : ca marche : il peut accéder à internet sans voir notre réseaux corporate.
J'ai accès wifi corporate sur le VLAN 10 (le routeur oblige à le mettre sur un VLAN) qui doit voir le reste de mon réseau corporate et avoir accès à internet. J'ai donc fait un bridge sur mon routeur linux avec un brin sur eth0 pour avoir accès au reste du réseau corporate et un autre brin sur le eth0.10 (tagged VLAN 10) pour faire le pont entre le VLAN10 et le réseau LAN.
 
Le problème est que dès que j'insère le eth0.10 dans le bridge et que je fait un peut de traffic sur eth0 le réseau en entier "explose" (paquets qui se perdent, machines non visible, ...). Si je retire le VLAN5 ca ne change rien. J'arrive même à des panic sur certaine distrib.
La question : qu'est-ce que j'ai loupé comme principe de base ?
Merci
ebtable:

*filter
:INPUT ACCEPT
:FORWARD ACCEPT
:OUTPUT ACCEPT
 
*broute
:BROUTING ACCEPT
-A BROUTING -p 802_1Q -i eth0 --vlan-id 10 -j DROP


iptable:

#
# NAT
#
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 192.168.5.0/24 -d 192.168.0.0/23 -j ACCEPT
-A POSTROUTING -s 192.168.5.0/24 -j MASQUERADE
COMMIT
#
# JOB
#
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT


sysctl.conf:

# Kernel sysctl configuration file for Red Hat Linux
# Disable IPV6
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
# Controls IP packet forwarding
net.ipv4.ip_forward = 1
# Controls source route verification
net.ipv4.conf.default.rp_filter = 1
# bridging passing throug iptable
net.bridge.bridge-nf-call-arptables = 0
net.bridge.bridge-nf-call-iptables = 0
net.bridge.bridge-nf-call-ip6tables = 0
net.bridge.bridge-nf-filter-pppoe-tagged = 0
net.bridge.bridge-nf-filter-vlan-tagged = 1


Reply

Marsh Posté le 08-04-2014 à 11:15:23   

Reply

Marsh Posté le 08-04-2014 à 22:45:15    

Pourquoi ne pas plutôt mettre ta machine linux en coupure avec 2 interfaces eth entre ton switch wifi le reste de ton réseau ?  
 
Il est de toute façon nécessaire pour le fonctionnement de cette partie de réseau, donc autant le mettre en coupure.

Reply

Marsh Posté le 09-04-2014 à 08:50:13    

Because ce n'est "pas possible" physiquement. Le schéma est simplifié. Il était là pour présenter le problème. Les AP sont multiples derrière plusieurs switch unmanaged et je n'ai pas la possibilité de tirer de cable entre eux et le PC.
Peut être la catégorie Linux et OS Alternatifs/réseaux et sécurité  est elle plus appropriée ?

Reply

Marsh Posté le 09-04-2014 à 20:17:57    

Quand je disais coupure, je ne voulais pas dire physiquement mais logiquement, c'est à dire une interface en untagged, une seconde taggued VLAN5/10 voir une 3eme pour séparer les 2 VLAN.
Ensuite, plutôt que faire du bridge (je ne vois pas l'intérêt ici), juste faire du routage pour le VLAN5 et du NAT pour le 10.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed