bonjour à tous
je me creuse la tete depuis un moment, et j'en suis venu à vous demander de l'aide car je suis bloqué.
vous allez me dire que je suis un psychopathe de la sécurité après ça... lol
j'ai le routeur netgear avec un ssid A + un point d'accès wifi ssid A, wifi avec lequel je masque le ssid + une liste blanche des adresses mac.
j'accède à mes ressources lan depuis ce wifi
maintenant, j'ai créé sur le point d'accès wifi un ssid B réservé aux invités, wifi avec lequel je souhaite leur donner seulement accès au surf.
Comment puis je faire?
Merci d'avance pour votre aide
Cordialement
Mon point d'accès (TP Link) gère aussi 4 SSID sur 4 VLANs différents. Comme mon point d'accès est raccordé sur mon switch manageable qui gère aussi les VLAN, le réseau invité (donc ma sortie réseau de mon switch) est paramétré pour n'avoir accès qu'à internet.
Le vlan est une solution
Le point d'accès wifi le gère
Mais pas le routeur NETGEAR knet
On peut aussi faire un acl mais encore une fois le NETGEAR ne sait pas le faire
Ou alors je change carrément le routeur NETGEAR knet par un routeur wifi cisco
Perso j'ai un switch TP Link SG1016DE car j'ai besoin de nombreux ports RJ45 (et encore il faudrait que je passe sur un 24) et qui gère les VLAN. Après la solution de changer de routeur par un gérant directement les VLAN pourquoi pas.
Sinon pour la question de départ, je ne trouve pas que tu sois un psychopathe de la sécurité. C'est surtout ceux qui ne le font pas qui sont des inconscients ;)
le switch que j'ai gère les vlan
mais tant que le routeur ne sait pas le faire...
J'ai un netgear et ça fonctionne très bien mes VLAN
Je n'en doute pas
Mais la c'est le NETGEAR de knet avec leur firmware
Et impossible de gérer les vlan donc
A moins de le flasher avec le firmware dd-wrt
J'ai le même Netgear que toi, celui de K-Net et il ne gère rien, sauf que ca ne pose aucun souci, car c'est mon switch qui gère les VLAN. Mon Netgear arrive sur un port pour la connexion internet qui est dispatchée sur mon réseau en fonction des différents réglages de mon switch.
Mais je ne suis pas expert en réseau, loin de là.
Ben pour les paranos, vous achetez un AP pro, ca gère de multiples Vlan, multiples SSID, un serveur Radius avec possibilité de faire une identification avec un token RSA, ou par SMS...
Maintenant si vous avez peur que vos invités vous volent vos photos de famille, il y a des solutions comme la 4G (http://www.tvnt.net/forum/images/smilies/Banane01.gif)
PS:Ca sert pas a grand chose de cacher un SSID, ca se trouve en 3 minutes avec le bon soft...
Citation de: miky01 le 19 Août 2017 à 20:11:32
PS:Ca sert pas a grand chose de cacher un SSID, ca se trouve en 3 minutes avec le bon soft...
Et c'est encore moins long si tu es devant chez moi car il n'est pas masqué, j'ai juste effacé sur la photo ;-)
Citation de: miky01 le 19 Août 2017 à 20:11:32
Ben pour les paranos, vous achetez un AP pro, ca gère de multiples Vlan, multiples SSID, un serveur Radius avec possibilité de faire une identification avec un token RSA, ou par SMS...
Maintenant si vous avez peur que vos invités vous volent vos photos de famille, il y a des solutions comme la 4G (http://www.tvnt.net/forum/images/smilies/Banane01.gif)
PS:Ca sert pas a grand chose de cacher un SSID, ca se trouve en 3 minutes avec le bon soft...
c'est pas faux
mais c'est pas tant des invités en lesquels j'ai pas confiance
c'est juste pour me protéger des kikous qui veulent jouer les mister robot en herbe
oui on peut faire de l'usurpation de mac adress, oui on peut trouver un ssid masqué, oui on peut cracker une clé wpa2
et c'est pour ces raisons que je souhaite mettre un minimum de sécurité pour les données accessible sur mon lan, et je parle pas de photos de famille
après rien n'est inviolable, kali linux nous le prouve bien...
Citation de: ShovelHead le 19 Août 2017 à 19:41:44
J'ai le même Netgear que toi, celui de K-Net et il ne gère rien, sauf que ca ne pose aucun souci, car c'est mon switch qui gère les VLAN. Mon Netgear arrive sur un port pour la connexion internet qui est dispatchée sur mon réseau en fonction des différents réglages de mon switch.
Mais je ne suis pas expert en réseau, loin de là.
Faut bien que ton réseau invité soit relié à un routeur, lequel est-il ?
Ton VLAN il doit bien arriver quelque part, sur un routeur qui gère les VLAN
Ou alors tous tes VLAN arrivent untag sur ton routeur et ça ne sert à rien :D
Mon réseau invité (point d'accès TP-Link) est relié à mon switch (port 2 du switch). Le port 1 de mon switch est relié à une sortie de mon routeur. Tout le reste part sur mes prises de la maison. Ce qui est sur le VLAN 1 à accès à tout (internet + réseau, les 16 ports sont untag), alors que le VLAN 2 est tagué 2 et untag 1 (accès internet + point d'accès). Le VLAN 2 n'a donc accès qu'à internet et pas au reste du réseau (et c'est testé fonctionnel depuis longtemps).
Sauf si tu me dis que ça ne devrais pas fonctionner. J'avais suivi un tuto à l'époque pour le paramétrage donc me demande pas maintenant pourquoi j'ai fait comme ça ;D
mais dans ce cas le point d'accès invité ne sert qu'aux invité
mon point d'accès, qui a une IP unique, a 2 SSID, un pour les invités et un pour le foyer
dans l'interface d'admin de ce point d'accès je peux associer un ssid à un vlan (linksys lapn300)
C'est exactement comme moi avec mon TP-Link (voir première photo que j'ai posté).
2 VLAN, un pour chaque SSID, et qui ont des accès différents. Le tout géré par mon switch.
Voir le petit dessin de mon installation (qui fonctionne comme ça depuis un bon moment).
Citation de: ShovelHead le 19 Août 2017 à 23:03:14
Mon réseau invité (point d'accès TP-Link) est relié à mon switch (port 2 du switch). Le port 1 de mon switch est relié à une sortie de mon routeur. Tout le reste part sur mes prises de la maison. Ce qui est sur le VLAN 1 à accès à tout (internet + réseau, les 16 ports sont untag), alors que le VLAN 2 est tagué 2 et untag 1 (accès internet + point d'accès). Le VLAN 2 n'a donc accès qu'à internet et pas au reste du réseau (et c'est testé fonctionnel depuis longtemps).
Sauf si tu me dis que ça ne devrais pas fonctionner. J'avais suivi un tuto à l'époque pour le paramétrage donc me demande pas maintenant pourquoi j'ai fait comme ça ;D
Sur ta capture, tu as les deux VLANs qui arrivent untag sur le même port (le 1), donc tu n'isole rien du tout :/
Et tu n'as pas exclu le port 2 de l'untag du vlan 1, donc ton AP invité communique aussi avec ton réseau local... Rien d'isolé du tout dans cette config :/
En résumé, tes deux réseaux communiquent deux fois : Au niveau du Netgear, et au niveau de ton AP invité.
Si tu voulais isoler parfaitement, il faudrait que le Netgear gère les VLAN. Pour moi tu as un effet placébo parce que les équipements ne sont plus dans le même domaine de broadcast (Ton AP fait surement du NAT) et donc ne sont plus visibles dans la découverte du réseau, mais tente un Ping d'un device de ton réseau local depuis le réseau invité, ça fonctionnera.
Donc pourquoi si je me connecte sur le SSID normal (VLAN1) avec n'importe quel appareil wifi de la maison, j'ai accès à tout mon réseau, et si je me connecte au SSID guest (VLAN), je n'ai accès qu'à internet et pas au reste du réseau ? Testé hier encore.
Celui qui se connecte sur le réseau wifi guest (VLAN 2) n'a pas accès au VLAN 1 (enfin il me semble que c'est le but des VLAN, non ?) ?
Enfin bon, ça fonctionne depuis des années chez moi, les réponses que je donnais au départ à bruce, c'était plus pour l'aider à faire avancer son histoire de sécurisation de son wifi.
Citation de: Hugues le 20 Août 2017 à 13:17:36
Si tu voulais isoler parfaitement, il faudrait que le Netgear gère les VLAN. Pour moi tu as un effet placébo parce que les équipements ne sont plus dans le même domaine de broadcast (Ton AP fait surement du NAT) et donc ne sont plus visibles dans la découverte du réseau, mais tente un Ping d'un device de ton réseau local depuis le réseau invité, ça fonctionnera.
Le ping marche en effet avec mon RPi qui me sert de serveur Wordpress de test mais qui est raccordé sur un des 3 autres ports du routeur directement, mais pas sur mes deux NAS Syno. Et je ne parle pas que du ping, car mes NAS sont inaccessibles tout court via leur IP depuis n'importe où (raccourci ou dans mon navigateur). Mais eux sont raccordés au switch et pas directement au routeur.
J'en déduis donc que les 3 appareils raccordés en direct au routeur sont accessible depuis mon réseau invité, et pas le reste qui est sur le switch.
Mais bref, ce n'est pas ce qui se passe chez moi qui est important, c'est la solution que d'autres pourront apporter à bruce qui l'est.
Et au niveau adressage IP tu es comment?
Normalement le routeur devrait également être dans un vlan pour bien faire
De mon cote le dhcp attribue une IP dynamique pour les invités (ex 191.168.1.10 a 192.168.1.50)
Tous mes devices wifi et lan ont une réservation d'ip (ex de 192.168.1.60 a 192.168.1.90)
Donc mon point d'accès wifi se retrouve avec une plage de la resa
Les routeurs Asus (firmware Merlin mais je suppose d'origine aussi) le font et de mémoire le firmware dd-wrt le fait aussi (en tout cas sur le routeur que j'avais avant).
Je ne parle que de ce que je connais mais ça me semble basique maintenant ce genre de fonction (en tout cas pour un routeur un minimum évolué). Ça me semble compliqué ces histoires de VLAN juste pour ça :o
Après si c'est pour garder le routeur K-Net pour x-raisons, autant désactivé le wifi et prendre un AP wifi qui gère ça non ?
mes collègues du réseau m'ont dit de faire de l'ACL
ça éviterait l'usine à gaz du vlan
la règle de cette acl serait de n'autoriser que le protocole http pour la plage ip dynamique
après faut trouver un routeur qui sache le faire, comme un cisco
en ce qui concerne de désactiver le wifi du routeur et le remplacer par un AP tiers, ça change rien... le ssid invité aura accès à mon lan
et pour des raisons de couverture il me faut 2 AP pour avoir accès à tous mes équipements... un AP unique pour les invités est suffisant.
ensuite vu que dd-wrt est cité, je peux aussi flasher le routeur netgear, c'est le miens avec le firmware k-net.
certain on déja fait ça?
si oui ça reviendra à faire ce qui ce dit dans la rubrique utilisation d'un routeur perso...
ou alors je mets en place un portail captif lol... je plaisante mais l'AP sait le faire
Citation de: ShovelHead le 20 Août 2017 à 13:21:49
Celui qui se connecte sur le réseau wifi guest (VLAN 2) n'a pas accès au VLAN 1 (enfin il me semble que c'est le but des VLAN, non ?) ?
Si tu veux en savoir plus on continue en privé, mais tu as un équipement qui mélange les trames des deux réseaux et qui les fait communiquer dans ta config en gros.
Citation de: Grégory le 20 Août 2017 à 22:31:27
Je ne parle que de ce que je connais mais ça me semble basique maintenant ce genre de fonction (en tout cas pour un routeur un minimum évolué). Ça me semble compliqué ces histoires de VLAN juste pour ça :o
Pour isoler correctement, il faut normalement mettre le réseau invité au même niveau que ton réseau local, et pas relié dessus, pour ça, il faut un routeur qui gère les vlans, après si c'est juste un 2è SSID, oui, tous le font :)