Infos routeur

[bartounet]

Hello Bartounet,

Je viens de lire attentivement ton article sur les Vlans. Super détaillé. Merci à toi..
Maintenant, je n'ai plus qu'a trouver un dimanche matin bien calme ou je pourrais tout casser pour mettre ca en place.
Car comme tu le dis : on a vite fait de se casser une patte!
2-3 petites questions :
- Comment tu fais pour qu'un appareil de la DMZ (172.xxx) puisse être accessible depuis le jeedom de ton LAN par ex (en 10.0.xxx) ?
- A quoi sert le switch unifi dans ton install? Moi, j'ai les 2 UAP sur 2 ports du switch netgear.

- Comment tu fais pour que le controleur unifi (installé sur mon NAS) accede bien aux UAP? Ca se fait tout seul via le VLAN 10?

Salut Fwehrle.

Merci pour avoir lu mes articles.
Comme tu le vois, ils me servent plus de pense bête qu'autre chose.

Je vais essayer de répondre à tes questions:

- Comment tu fais pour qu'un appareil de la DMZ (172.xxx) puisse être accessible depuis le jeedom de ton LAN par ex (en 10.0.xxx) ?

Les passerelles des équipements étant le PFSENSE, il suffit de créer des règles de Firewall.
Tu verra qu'en créant tes DMZ, tu aura un onglet par interface dans tes règles de filtrage.

Mes règles sont encore à affiner.
J'ai fait le choix pour l'instant de donner full accès à mon LAN vers la DMZ Interne.
Par contre juste les accès minimum entre la DMZ Interne et le LAN

Le couple client/serveur source/destination à son importance.

Trop de sécurité souvent tue la sécurité; vouloir tout fermer dans l'absolue c'est super, mais il faut que cela reste exploitable.
SI tu dois étudier chaque flux et ouvrir au besoin tu va vite t'arracher les cheveux devant Wireshark

- A quoi sert le switch unifi dans ton install? Moi, j'ai les 2 UAP sur 2 ports du switch netgear.

A toi rien
Pour moi mon AP Wifi est déportée, au centre de ma maison et j'ai d'autre équipements au même endroit. ( et un seul câble réseau vars cette pièce de ma maison)
J'ai donc tu investir dans un autre switch manageable en plus de mon Netgear
Je me suis dit, autant investir dans de l'UNIFI qui me semble être aujourd'hui le meilleur compromis performance / Fonctionnalités / Prix

- Comment tu fais pour que le controleur unifi (installé sur mon NAS) accede bien aux UAP? Ca se fait tout seul via le VLAN 10?

Même réponse que la première question.
Avec des règles de filtrage.
Cependant, il est plus simple de garder tes IP de managements dans ton VLAN DATA. ( pour moi le 10)
L'interêt aussi d'avoir des règles de filtrages assez larges, sans être trop permissif.

[fwehrle]

Merci pour tes réponses. C'est plus clair.
Juste pour les règles de filtrage pour donner accès d'une interface vers une autre, je ne vois rien sur ta copie d'ecran qui permette un accès du LAN vers la DMZ.
Ce sont les règles par défaut que je vois, non?
Ca voudrait dire que par défaut, on peut accèder à une IP de la DMZ depuis le LAN?
Mon idée est de permettre a jeedom de voir mes cameras (qui ne seront pas dans la meme plage IP), mais d'interdire a mes cameras d'avoir acces au LAN (et au WAN)

[poluket]

Pfsense a des fonctions de routage. Il connaît tous les réseaux qui lui sont connectés. Donc si tu as ta dmz , ton wan et ton lan directement connectés sur pfsense, celui ci sais renvoyer le trafic d'un réseau a l'autre pour peu qu'il soit le defaut gateway de tes réseau.

Par défaut, lors de la création d'un nouveau réseau, celui-ci n'est pas autorisé à parler avec les autre réseaux. Il faut faire des règles. Un ou 2 sens en fonction des besoins.

[bartounet]

Voilà exactement si tu veux être rigoureux pose une matrice de flux sur papier sinon ouvre large et régule petit à petit