conseils pour nouvelle config réseau

03 janv. 2024, 20:12

Bonjour,
je vais enfin avoir la fibre dans quelques semaines, et je vais avoir un switch ZYXEL ES-2924
Afin de réduire le cablage ethernet, et de conserver un partie de l'existant voici ce que j'envisage

Cette configuration est liée à la config de ma maison (1 sous réseau par étage).
Seul le routeur, le décodeur, et la freeTV sont sur l'IP de la box (en mode transparent, en direct sur le internet)

Ce que j'ai compris:
- chaque réseau sera dans un VLAN, affectation des VLAN par port du switch
- le routeur debian fera le lien entre les 2 sous réseaux (VLAN)
- la TV doit étre traité à part (boitier free TV) car si j'ai bien compris, il vaut mieux la relier directement à la box
- je veux mettre le décodeur canal en DMZ par rapport aux 2 VLAN

Ce que je n'ai pas encore compris
- le routeur debian doit étre sur un port associé aux 2 Vlan (je pense avoir compris la config coté debian, avec 2 interfaces virtuelles). Je vais chercher dans la doc du routeur (équivalent du mode trunk chez CISCO)
- comment gérer le décodeur canal . Est ce qu'il faut que je laisse la box en mode routeur et que je connecte le décodeur et la free TV sur les ports de la box ? Ou bien je crée un VLAN pour ces 2 boitiers ?

Toute idée ou conseils sont les bienvenus

04 janv. 2024, 07:04

Salut Piratabab,

Sympa ton installation.

Le Switch est "manageable" non ? Pourquoi mettre un routeur Debian pour gérer les VLans puisque le Switch est capable de le faire ?
Pour le décodeur et le TV je les mettraient sur un des deux VLan existant pour simplifier. Si tu veux "isoler" il faut en créer un troisième.

04 janv. 2024, 12:19

Oui, le switchest manageble (c'est de la récup).
Le routeur debian sert a faire transiter les paquets entre les réseaux 192.168.0.0/24 et 192.168.1.0/24.
Seul le réseau 192.168.0.0/24 est connecté directement à internet via la box.
Je ne maîtrise pas complètement la notion de VLAN, en particulier les avantages/inconvénient par rapport à un sous réseau derrière un routeur.

04 janv. 2024, 14:39

piratebab a écrit : ↑04 janv. 2024, 12:19 Oui, le switchest manageble (c'est de la récup).
Le routeur debian sert a faire transiter les paquets entre les réseaux 192.168.0.0/24 et 192.168.1.0/24.
Seul le réseau 192.168.0.0/24 est connecté directement à internet via la box.
Je ne maîtrise pas complètement la notion de VLAN, en particulier les avantages/inconvénient par rapport à un sous réseau derrière un routeur.

Hello, si le Switch est "manageable" tu n'as donc normalement pas besoin de routeur supplémentaire tu paramètre dans le switch si les VLANs peuvent communiquer entre eux ou pas.

https://fr.strephonsays.com/vlan-and-vs-subnet-5913

Après tu peux peut-être te passer de vlan et utiliser un masque réseau qui te permette d'utiliser différentes plage et ainsi simplifier le routage.
J'utilise par exemple le réseau 10.9.8.0/22 qui me permet d'utiliser des IP dans 10.9.8.0 / 10.9.9.0 / 10.9.10.0 et 10.9.11.0
Et toutes les machines communiquent entre elle sans routage particulier.

04 janv. 2024, 15:24

Ce serait plus simple, mais je dois faire avec l'existant.
J'ai déja les 2 sous réseaux, qui communiquent via wifi. Un panda board fait entre autre office de routeur (via le wifi d'un coté, et u port ethernet relié à un switch basique de l'autre). Je voudrais éviter de reconfigurer tout ce sous réseau (principalemet la videosurveillance avec des cam ip et zone minder). Je veux que ce sous réseau soit vraiment isolé d'internet. Seul 1 des sous réseau à accès au net, et quelques unes de ces machines seulement sous accessibles depuis l'internet.
Si j'arrive à mettre la main sur un 2eme routeur manageable, je vais encore mieux optimiser le câblage de la maison, et avoir de l'ethernet quasiment partout, avec une bon cloisonnement entre groupe de machines. Et pourquoi pas en profiter pour mettre en place une gestion centralisée des configs (pupett, chef ...)! De belles nuits blanches en perspective ....

04 janv. 2024, 15:34

Re,
Dans ce cas là => VLans
Et gestion des IPs qui peuvent communiquer entre elles.
Ton Switch devrait savoir gérer ça sans nécessité d'un routeur supplémentaire (à moins que ça t'amuse évidemment !

)

04 janv. 2024, 20:03

Pour faire dialoguer les 2 sous réseaux, je vais devoir définir une route avec 2 bonds; le switch, puis routeur. Pas certain que ce soit possible de configurer ça dans les routeurs (le debian et l'openwrt)
autre solution, mettre l'entrée du routeur sur le réseau 192.168.1.0/24, mais du coup j'aurais 2 NAT depuis 192.168.0.0 vers internet (le routeur debian et la box). Alors que je souhaitait l'inverse à l'origine pour bien séparer le 192.168.0.1/24 du net.
Sinon il faut tirer un cable de la sortie du routeur (192.168.0.0/24) vers un port du switch. ça perd de son interet de réduction de câblage.

05 janv. 2024, 06:13

Salut,
je ne suis pas certain de te suivre...
Si le Switch est "intelligent", pas besoin de routeur supplémentaire comme je te le disais.
Une fois paramétré Le Switch fera le routage pour toi entre 192.168.0 et 192.168.1

PS: Passe à des réseaux en 10 plutôt que 192, c'est plus rapide à écrire...

05 janv. 2024, 11:19

Je dois faire avec l'existant. Les sous réseaux existent, le routeur debian existe. La sécurité est basée sur le fait qu'un réseau est caché d'internet pat l'autre, (protégé par un routeur openwrt) il n'est donc pas spécialement protégé. L routeur debian ne fait que du routage de paquets, pas de regle iptable
Et je ne fais pas confiance aux box des FAI pour assurer une bonne protection. La solution serait peut être de mettre un routeur openwrt entre la box et le switch pour assurer un premier niveau d'isolation.