• Pare-feu
  • pfSense
  • 1/5

Sous pfSense, vous pouvez créer des VLANs pour créer plusieurs sous-réseaux sur un même lien réseau (une même interface réseau physique).

Important : pour pouvoir utiliser les VLANs configurés sous pfSense, il faut que votre commutateur (switch physique) auquel votre pare-feu pfSense, ainsi que vos serveurs et/ou des ordinateurs seront connectés soit configuré correctement.

Pour ce tutoriel, nous avons utilisé l'hyperviseur VMware ESXi qui permet de créer des commutateurs (switches) où vous pouvez configurer certains ports pour un VLAN spécifique et d'autres ports en mode trunk (= accepter tous les IDs de VLANs).
Mais, vous verrez comment configurer ceci dans ce tutoriel.

  1. Créer un commutateur virtuel standard (vSS)
  2. Ajouter une carte réseau à pfSense et la connecter
  3. Modifier le sous-réseau de l'interface LAN
  4. Ajouter des VLANs sous pfSense
  5. Assigner des VLANs à des interfaces logiques
  6. Configurer le VLAN 10 sous pfSense
    1. Activer l'interface OPT1 (correspondant à notre VLAN 10)
    2. Activer le serveur DHCP sur l'interface OPT1 (VLAN 10)
    3. Résolveur DNS activé
  7. Configurer le VLAN 20 sous pfSense
    1. Activer l'interface OPT2 (correspondant à notre VLAN 20)
    2. Activer le serveur DHCP sur l'interface OPT2 (VLAN 20)
  8. Autoriser le trafic réseau sous pfSense pour l'interface OPT1 (VLAN 10)
  9. Autoriser le trafic réseau sous pfSense pour l'interface OPT2 (VLAN 20)
  10. Connecter des machines à vos VLANs
  11. Test de capture des IDs de VLAN via Wireshark
  12. Configurer la carte réseau Intel pour ne pas retirer les IDs de VLAN
  13. Capturer les IDs de VLANs grâce à Wireshark
  14. Restaurer la connexion de votre machine connectée à un VLAN

1. Créer un commutateur virtuel standard (vSS)

Si vous avez installé pfSense sur une machine physique, vous devrez configurer le commutateur (switch) physique où vous utiliserez les VLANs.
Mais dans le cas de VMware ESXi, vous devrez créer un nouveau commutateur virtuel standard (vSS) en allant dans : Mise en réseau -> Commutateurs virtuels.
Ensuite, cliquez sur : Ajouter un commutateur virtuel standard.

Note : juste pour infos, notre machine virtuelle pfSense est connectée sur les 2 commutateurs ci-dessous via les groupes de ports :

  • VM Network : pour l'interface WAN de pfSense. Le réseau "VM Network" permet l'accès à notre réseau physique et donc à Internet.
  • pfSense LAN : pour l'interface LAN de pfSense. Ce qui permet de connecter des machines virtuelles au réseau LAN de pfSense, qui est utilisé par défaut.

Nommez votre nouveau commutateur virtuel standard : pfSense VLANs Switch.

Le nouveau commutateur virtuel pfSense VLANs vSwitch a été créé.

Maintenant que votre commutateur virtuel standard a été créé, vous devez créer des ports sur celui-ci.
Pour cela, dans l'onglet "Groupes de ports", cliquez sur : Ajouter un groupe de ports.

Pour le 1er groupe de ports à créer, configurez ces paramètres :

  • Nom : pfSense VLANs Trunk.
  • ID du VLAN : 4095. La valeur "4095" chez VMware est une valeur spéciale indiquant que le mode trunk sera utilisé.
    Ce qui signifie que tous les IDs de VLAN seront conservés et que ce sera à l'OS invité de gérer les paquets tagués avec un ID de VLAN.
    C'est donc sur ce groupe de ports que vous connecterez l'interface physique de pfSense dédié aux VLANs.
  • Commutateur virtuel : pfSense VLANs Switch. Le nom du commutateur virtuel standard que vous venez de créer.

Note : dans le cas d'une installation de pfSense sur une machine physique, vous devrez configurer un port de votre commutateur (switch) en mode trunk.
Vous connecterez ensuite l'interface physique de votre machine pfSense dédiée aux VLANs sur ce port.

Source : Configuration VLAN - VMware Docs.

Votre groupe de ports "pfSense VLANs Trunk" a été créé.

Cliquez à nouveau sur : Ajouter un groupe de ports.

Dans ce tutoriel, nous créerons 2 VLANs sous pfSense : VLAN 10 et VLAN 20.

Créez un groupe de ports pour le VLAN 10 :

  • Nom : pfSense VLAN 10.
  • ID du VLAN : 10.
  • Commutateur virtuel : pfSense VLANs Switch.

Note : dans le cas d'un commutateur physique, vous devrez configurer les ports souhaités avec l'ID de VLAN souhaité.
Dans ce cas-ci, l'ID de VLAN : 10.

Attention : l'ID du VLAN doit être compris entre 1 et 4094 (inclus).

A nouveau, créez un nouveau groupe de ports pour l'autre VLAN.

  • Nom : pfSense VLAN 20.
  • ID du VLAN : 20.
  • Commutateur virtuel : pfSense VLANs Switch.

Pour ce tutoriel, nous avons donc 3 groupes de ports pour la gestion des VLANs sous pfSense :

  • pfSense VLAN 20
  • pfSense VLAN 10
  • pfSense VLANs Trunk

Si vous cliquez sur le nom du commutateur virtuel standard (vSS) créé, vous verrez que celui-ci possède 3 groupes de ports :

  • pfSense VLAN 20 : les machines virtuelles connectées à ce groupe de ports seront placées automatiquement dans le VLAN 20.
  • pfSense VLAN 10 : les machines virtuelles connectées à ce groupe de ports seront placées automatiquement dans le VLAN 10.
  • pfSense VLAN Trunk : les machines virtuelles connectées à ce groupe de ports verront tout le trafic et c'est au système d'exploitation invité de celles-ci de savoir comment gérer ceux-ci grâce à l'ID de VLAN présent sur les paquets.
    Ce groupe de ports permet aussi de transmettre des paquets avec n'importe quel ID de VLAN.

2. Ajouter une carte réseau à pfSense et la connecter

Pour la gestion des VLANs, nous allons ajouter une interface réseau supplémentaire à notre machine virtuelle "pfSense-CE-2.6.0 x64".

Cliquez sur : Ajouter un adaptateur réseau.

Connectez ce nouvel adaptateur réseau au groupe de ports "pfSense VLANs Trunk" et cliquez sur : Enregistrer.

Ensuite, démarrez votre machine pfSense.

3. Modifier le sous-réseau de l'interface LAN

Lorsque vous souhaitez créer des sous-réseaux grâce aux VLANs, il est nécessaire que ceux-ci ne fassent pas partie de sous-réseau qui serait déjà utilisé par pfSense.
Dans notre cas, nous utilisions déjà les sous-réseaux "192.168.1.x" (CIDR : 24) et "10.x.x.x" (CIDR : 8) comme vous pouvez le voir sur la console pfSense visible ci-dessus.

Or, pour ce tutoriel, nous souhaitons créer les sous-réseaux "10.10.0.x" et "10.20.0.x". Ce qui créerait un conflit avec le réseau "10.x.x.x" utilisé sur notre interface LAN.

Nous allons donc modifier d'abord notre interface LAN pour modifier son sous-réseau.
Pour cela, allez dans : Interfaces -> LAN.

La page "Interfaces / LAN" apparait.
Comme vous pouvez le voir, dans notre cas, l'adresse IP de cette interface LAN est définie de manière statique (IPv4 Configuration Type : Static IPv4). Ce qui devrait aussi être le cas chez vous.

Dans la section "Static IPv4 Configuration", vous verrez l'adresse IP de pfSense pour cette interface LAN, ainsi que le masque de sous-réseau utilisé au format CIDR.
Pour le moment, le masque de sous-réseau au format CIDR est "8". Ce qui correspond au masque de sous-réseau "255.0.0.0".
Le sous-réseau utilisé actuellement est donc : 10.x.x.x.

Pour éviter les conflits avec les VLANs que nous créerons plus tard, nous avons changé ce masque de sous-réseau en "24".
Ce qui correspond au masque de sous-réseau "255.255.255.0". Le sous-réseau qui sera utilisé sera donc : 10.0.0.x.

En bas de page, cliquez sur : Save.

Ensuite, en haut de page, cliquez sur : Apply Changes.

Les modifications ont été appliquées.

A voir également

Commentaires

Vous devez être connecté pour pouvoir poster un commentaire

Donnez-nous votre avis

Contenu épinglé

Contact

® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.

Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.