Créer et utiliser des VLANs sous pfSense 2.6

  • Pare-feu
  • pfSense
  • 5/5

12. Configurer la carte réseau Intel pour ne pas retirer les IDs de VLAN

Si Wireshark ne voit pas les IDs de VLANs présents sur les paquets, c'est simplement parce que les cartes réseau Intel (dont celle émulée par défaut par VMware) enlève les IDs de VLAN lorsqu'elle reçoit les paquets réseau.
Pour vérifier le modèle de votre carte réseau, tapez "Connexions réseau" dans le menu démarrer de Windows 10 et cliquez sur : Afficher les connexions réseau.

Sources :

Comme vous pouvez le voir, pour Windows 10 en tant que système d'exploitation invité, VMware émule par défaut une carte réseau "Intel 82574L Gigabit Network Connection".

Pour régler le problème, il suffit de modifier une clé de registre spécifique qui est liée au pilote de cette carte réseau Intel.
Ouvrez le registre et allez dans la clé de registre "HKEY_LOCAL_MACHINE \SYSTEM\ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}\00xx".
Pour savoir de quel dossier "00xx" il s'agit dans votre cas, regardez la description du pilote (DriverDesc). Dans notre cas, il s'agit de notre carte réseau Intel(R) 82574L Gigabit Network Connection.

Attention : modifier le registre peut être risqué si vous ne savez pas ce que vous faites. D'autant plus qu'il s'agit d'une clé de registre liée à un pilote (driver) dans ce cas-ci.
Une mauvaise manipulation dans le registre peut empêcher votre ordinateur de démarrer voire de fonctionner normalement.
La seule raison de le faire ici est que c'est le fabricant qui vous indique quoi faire pour son propre pilote. Il n'y a donc pas de risque dans ce cas-ci si vous ne modifiez que les propriétés citées ci-dessus.

Source : Mon renifleur ne voit pas les trames étiquetées VLAN, 802.1 q ou QoS.

Comme expliqué sur le site d'Intel, vous devez ajouter 2 valeurs DWORD dans cette clé de registre.
Pour cela, faites un clic droit dans l'espace vide (à droite) et cliquez sur : Nouveau -> Valeur DWORD 32 bits.

Créez ces 2 valeurs DWORD, puis faites un double clic sur celles-ci pour leur donner la valeur 1 à chacune.

  • MonitorMode : 1
  • MonitorModeEnabled : 1

Ensuite, fermez l'éditeur du registre et redémarrez votre ordinateur pour que le pilote Intel utilise ces nouveaux paramètres.

13. Capturer les IDs de VLANs grâce à Wireshark

Maintenant que le pilote de la carte réseau Intel est correctement configuré, vous relancez Wireshark et vous vous apercevez que rien ne s'affiche dans la colonne "Vlan".

En effet, les machines connectées sur un port avec un ID de VLAN spécifique ne reçoivent pas l'ID de VLAN correspondant.
En fait, le commutateur l'utilise pour savoir à qui envoyer les paquets réseau, mais celui-ci envoi le paquet à la machine SANS l'ID de VLAN qui s'y trouvait.
Il est donc normal que Wireshark ne voie pas les IDs de VLAN sur les machines connectées à des ports avec un ID de VLAN spécifique.

Pour voir les IDs de VLAN avec Wireshark, vous devez connecter une machine sur le groupe de ports "pfSense VLANs Trunk".
En effet, étant donné que tous les IDs de VLANs sont acceptés sur un port en mode Trunk, les paquets seront transmis avec leur ID de VLAN respectif.

Source : Introduction to port-based VLAN - HPE.

Pour l'exemple, nous allons utiliser notre machine "Client Win 10 - VLAN 10" où nous avons installé Wireshark précédemment.

Nous connectons cette machine sur le groupe de ports "pfSense VLANs Trunk".

Comme vous le remarquerez peut-être, Windows vous indiquera que vous n'avez pas accès au réseau / à Internet.
En effet, votre machine virtuelle ne recevra pas d'adresse IP automatiquement sur cette interface.

Ce qui est normal étant donné que l'interface physique de pfSense où les VLANs ont été créés n'est pas assignée à une interface logique.
Par contre, étant donné que les 2 VLANs (VLAN 10 et VLAN 20) se trouvent sur cette interface "vmx2", Wireshark sera en mesure de voir les paquets de ces VLANs (même si Windows n'a pas reçu d'adresse IP valide).

Lancez Wireshark et faites un double clic sur votre connexion réseau "Ethernet0".

Pour générer des paquets dans Wireshark, déconnectez, puis reconnectez la carte réseau de votre machine virtuelle connectée sur un de vos VLAN.
Dans notre cas, la machine virtuelle "Client Win 10 - VLAN 20".

La machine virtuelle a été reconfigurée.

Reconnectez sa carte réseau.

Ceci a simplement pour but de générer du broadcast facilement et étant donné que les paquets de broadcast sont envoyés à toutes les machines du réseau, vous verrez des paquets avec des IDs de VLAN apparaitre dans Wireshark.
Comme vous pouvez le voir, dans notre cas, de nombreux paquets de broadcast pour les machines du VLAN 20 apparaissent.

Notez que par défaut, seuls les paquets de broadcast apparaissent dans Wireshark.
Pour voir aussi les paquets spécifiques aux machines de vos VLANs apparaitre, tels que des paquets utilisant le protocole TCP, ... vous devez activer le mode promiscuité sur le groupe de ports "pfSense VLANs Trunk" où votre machine avec Wireshark se trouve.

Cette fois-ci, vous verrez aussi apparaitre des paquets pour le protocole TCP ciblant spécifiquement vos machines virtuelles présentes sur vos VLANs.
Si vous sélectionnez une ligne où un ID de VLAN apparait dans la colonne "Vlan", vous verrez qu'une section "802.1Q Virtual LAN" est apparue en bas à gauche.
Si vous la déployez, vous pourrez voir la priorité (Priority) et l'ID du VLAN concerné par ce paquet.

14. Restaurer la connexion de votre machine connectée à un VLAN

Maintenant que cette démonstration est terminée, n'oubliez pas de reconnecter votre machine virtuelle avec Wireshark sur le bon VLAN.
Dans notre cas, il s'agit de notre machine virtuelle "pfSense - Client Win 10 - VLAN 10".

Nous reconnectons cette machine virtuelle sur notre groupe de ports "pfSense VLAN 10".

A voir également

Commentaires

Pas de commentaire

Donnez-nous votre avis

Contenu épinglé

Contact

® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.

Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.