acces wifi limité surf

Démarré par bruce, 19 Août 2017 à 16:21:06

« précédent - suivant »

0 Membres et 2 Invités sur ce sujet

#15
Citation de: ShovelHead le 19 Août 2017 à 23:03:14
Mon réseau invité (point d'accès TP-Link) est relié à mon switch (port 2 du switch). Le port 1 de mon switch est relié à une sortie de mon routeur. Tout le reste part sur mes prises de la maison. Ce qui est sur le VLAN 1 à accès à tout (internet + réseau, les 16 ports sont untag), alors que le VLAN 2 est tagué 2 et untag 1 (accès internet + point d'accès). Le VLAN 2 n'a donc accès qu'à internet et pas au reste du réseau (et c'est testé fonctionnel depuis longtemps).
Sauf si tu me dis que ça ne devrais pas fonctionner. J'avais suivi un tuto à l'époque pour le paramétrage donc me demande pas maintenant pourquoi j'ai fait comme ça  ;D


Sur ta capture, tu as les deux VLANs qui arrivent untag sur le même port (le 1), donc tu n'isole rien du tout :/

Et tu n'as pas exclu le port 2 de l'untag du vlan 1, donc ton AP invité communique aussi avec ton réseau local... Rien d'isolé du tout dans cette config :/

En résumé, tes deux réseaux communiquent deux fois : Au niveau du Netgear, et au niveau de ton AP invité.

Si tu voulais isoler parfaitement, il faudrait que le Netgear gère les VLAN. Pour moi tu as un effet placébo parce que les équipements ne sont plus dans le même domaine de broadcast (Ton AP fait surement du NAT) et donc ne sont plus visibles dans la découverte du réseau, mais tente un Ping d'un device de ton réseau local depuis le réseau invité, ça fonctionnera.

Donc pourquoi si je me connecte sur le SSID normal (VLAN1) avec n'importe quel appareil wifi de la maison, j'ai accès à tout mon réseau, et si je me connecte au SSID guest (VLAN), je n'ai accès qu'à internet et pas au reste du réseau ? Testé hier encore.
Celui qui se connecte sur le réseau wifi guest (VLAN 2) n'a pas accès au VLAN 1 (enfin il me semble que c'est le but des VLAN, non ?) ?
Enfin bon, ça fonctionne depuis des années chez moi, les réponses que je donnais au départ à bruce, c'était plus pour l'aider à faire avancer son histoire de sécurisation de son wifi.

#18
Citation de: Hugues le 20 Août 2017 à 13:17:36
Si tu voulais isoler parfaitement, il faudrait que le Netgear gère les VLAN. Pour moi tu as un effet placébo parce que les équipements ne sont plus dans le même domaine de broadcast (Ton AP fait surement du NAT) et donc ne sont plus visibles dans la découverte du réseau, mais tente un Ping d'un device de ton réseau local depuis le réseau invité, ça fonctionnera.

Le ping marche en effet avec mon RPi qui me sert de serveur Wordpress de test mais qui est raccordé sur un des 3 autres ports du routeur directement, mais pas sur mes deux NAS Syno. Et je ne parle pas que du ping, car mes NAS sont inaccessibles tout court via leur IP depuis n'importe où (raccourci ou dans mon navigateur). Mais eux sont raccordés  au switch et pas directement au routeur.
J'en déduis donc que les 3 appareils raccordés en direct au routeur sont accessible depuis mon réseau invité, et pas le reste qui est sur le switch.

Mais bref, ce n'est pas ce qui se passe chez moi qui est important, c'est la solution que d'autres pourront apporter à bruce qui l'est.

#19
Et au niveau adressage IP tu es comment?
Normalement le routeur devrait également être dans un vlan pour bien faire

De mon cote le dhcp attribue une IP dynamique pour les invités (ex 191.168.1.10 a 192.168.1.50)
Tous mes devices wifi et lan ont une réservation d'ip (ex de 192.168.1.60 a 192.168.1.90)
Donc mon point d'accès wifi se retrouve avec une plage de la resa

Les routeurs Asus (firmware Merlin mais je suppose d'origine aussi) le font et de mémoire le firmware dd-wrt le fait aussi (en tout cas sur le routeur que j'avais avant).

Je ne parle que de ce que je connais mais ça me semble basique maintenant ce genre de fonction (en tout cas pour un routeur un minimum évolué). Ça me semble compliqué ces histoires de VLAN juste pour ça :o

Après si c'est pour garder le routeur K-Net pour x-raisons, autant désactivé le wifi et prendre un AP wifi qui gère ça non ?

#21
mes collègues du réseau m'ont dit de faire de l'ACL
ça éviterait l'usine à gaz du vlan
la règle de cette acl serait de n'autoriser que le protocole http pour la plage ip dynamique
après faut trouver un routeur qui sache le faire, comme un cisco

en ce qui concerne de désactiver le wifi du routeur et le remplacer par un AP tiers, ça change rien... le ssid invité aura accès à mon lan
et pour des raisons de couverture il me faut 2 AP pour avoir accès à tous mes équipements... un AP unique pour les invités est suffisant.

ensuite vu que dd-wrt est cité, je peux aussi flasher le routeur netgear, c'est le miens avec le firmware k-net.
certain on déja fait ça?
si oui ça reviendra à faire ce qui ce dit dans la rubrique utilisation d'un routeur perso...

ou alors je mets en place un portail captif lol... je plaisante mais l'AP sait le faire

Citation de: ShovelHead le 20 Août 2017 à 13:21:49
Celui qui se connecte sur le réseau wifi guest (VLAN 2) n'a pas accès au VLAN 1 (enfin il me semble que c'est le but des VLAN, non ?) ?
Si tu veux en savoir plus on continue en privé, mais tu as un équipement qui mélange les trames des deux réseaux et qui les fait communiquer dans ta config en gros.

Citation de: Grégory le 20 Août 2017 à 22:31:27
Je ne parle que de ce que je connais mais ça me semble basique maintenant ce genre de fonction (en tout cas pour un routeur un minimum évolué). Ça me semble compliqué ces histoires de VLAN juste pour ça :o
Pour isoler correctement, il faut normalement mettre le réseau invité au même niveau que ton réseau local, et pas relié dessus, pour ça, il faut un routeur qui gère les vlans, après si c'est juste un 2è SSID, oui, tous le font :)