communication entre VLAN

[jjacques68 600]

@Lazer, j'ai essayé de mettre à jour le plan avec les infos que j'ai trouvé... 

 

Cette config est en place depuis plusieurs années maintenant.

Et fait ce que je lui demande... le wifi pour les invités avec l'option Client Isolation fonctionne très bien. Ils ne voient rien de mon réseau local.

Les caméras sont bien séparées sur leur VLAN.

Mais maintenant, avec cette histoire de routage inter VLAN, je me pose quand même des questions...

 

Je souhaite faire cela car actuellement, pour accéder à mes caméra depuis la maison (wifi) je dois passer par l'IP public et la redirection de port du coup...

Idem quand la HC2 accède aux caméras (je pilote les patrouilles avec la HC2). Toutes les commandes et flux passent par le net.

Aors je me dis que si je peux autorisé mon téléphone et la HC2 a accéder au VLAN des caméras, ce serait top !!!

 

 

 

[Dgille 107]

En premiere lecture, tu vehicules les vlan 3 et 1018 inutilement sur le port 1. Verifie que le inter vlan routing est coché sur le vlan source et le vlan destination.

[Lazer 8 473]

Sur le port 27 de ton switch FS728TP, je vois :

- PVID = 1 et les paquets du VLAN 1 ne sont pas taggués

- on laisse aussi passer les VLANS 3 et 1048, qui sont taggués

En revanche, on ne connait pas la config coté routeur UTM25 pour le port 2.

 

Par ailleurs, je n'ai peut être pas suivi, est-ce que le PC de test dans dans le VLAN 3 sur le port 3 du routeur peut bien pinguer les caméras et le NVR ?

[jjacques68 600]

@Dgille : oui bien vu, la remarque est bonne, je pourrais l'enlever ?

 

@Lazer :

 

- faut-il que je tag le VLAN 1 dans le switch ?

- concernant le port 2, je ne peux pas configurer un port spécifiquement, mais je peux créer un VLAN et dire sur quel port il doit se trouver.

  Donc en gros, sur le port 2 du routeur, transit les 3 VLAN. (c'est une sorte de Tag j'imagine...)

- Concernant le PC de test du port 3 (VLAN 3) oui je ping sans soucis les caméras et le NVR.

 

Voici 2 print screen :

 

paramètre LAN :

 

page de config du VLAN 3...

 

 

Merci messieurs pour votre patience !

 

[pepite 1 272]

Joli schéma ;-)

 

Suis d'accord avec toi @Lazer, le souci c'est nous ;-). On veut toujours aller plus vite que la musique ;-) et le réseau cela ne s'invente pas ;-) .

1 seul VLAN à domicile ca marche bien aussi ;-)

[Lazer 8 473]

Merci @jjacques68

 

Alors ton 1er screenshot donne une information importante que tu n'avais pas encore fourni il me semble : l'adresse IP des interfaces du routeur sur chaque VLAN. Donc c'est du .1 (on pouvait s'en douter vu que c'est aussi l'adresse des serveurs DHCP et DNS)

Par conséquent, il faut absolument que tes caméras et serveur NVR utilisent bien cette adresse IP comme passerelle par défaut : 192.168.3.1.

 

Par contre le port 2 du routeur reste pour moi un mystère... avec tes captures d'écran, on pourrait supposer que le routeur taggue les paquets du VLAN 1, tandis qu'on a vu précédemment que le port 27 du switch ne les taggue pas (puisque PVID = 1)

Mais pas certain que ça soit en rapport avec ton problème de routage....

[Dgille 107]

@Lazer, tu mets le doigt sur les limites de ces matériels, on ne sait effectivement pas facilement coté switch et coté routeur si le vlan par défaut est taggé ou non (voir ci dessous)

@jjacques68, sur le port 1, tu peux effectivement retirer le port membership sur les vlan non utilisés.

On voit bien que tu as coché l'intervlan routing sur le vlan vidéo, est ce le cas sur le vlan 1 ? en fait, il manque une partie de ton premier print  screen, qui indique les vlan par défaut des ports.

cf la doc Netgear, pages 98,99 et 100 (tout y est) http://www.downloads.netgear.com/files/GDC/UTM10/UTM_RM_15Oct2012.pdf

[jjacques68 600]

Désolé, ai pas du tout eu le temps de faire quoi que ce soit aujourd'hui...

 

@Lazer

- Les caméras et le NVR ont la bonne passerelle.

- Je peux s'il le faut tagguer le VLAN 1 sur le port 27 du switch !!

- Je pense aussi que le routeur Tag lui même les paquets

- D'après mes dernière lecture, ce routeur ferait du VLAN par sous réseau IP ? c'est ça ?

 

@Dgille

- Je vais en effet virer les VLAN qui ne servent pas du port 1

- Tous les VLAN inter routing sont cochés

- Et oui cette doc je l'ai bouffé dans tous les sens  

- voilà le print screen que tu voulais ?

 

Encore merci les gars !!

 

[Dgille 107]

Je vois un pb pour tes tests, le default vlan du port 3 est dans vlan 1.  Si tu mets un pc de test, le flux est non tagges, donc le default vlan doit etre le 3, c est pour cela que tu ne pingues rien. Refait tes tests avec cette modifcation.

[jjacques68 600]

Le pc de test branché sur le port 3 - vlan 3 ping tous les équipements sur le vlan 3 !

C’est le Ping d’un vlan à l’autre qui bloque !

Mais il me semblait avoir compris que ces options dans cette page de configuration définissaient le vlan par défaut si aucun paquet n’était taggué...


Envoyé de mon iPhone en utilisant Tapatalk Pro

[jjacques68 600]

De plus dans les propriétés de la carte réseau de ce PC, j’ai spécifié manuellement le vlan 3... ça je sais pas si j’ai bien fait par contre...


Envoyé de mon iPhone en utilisant Tapatalk Pro

[Nico 2 155]

Pourquoi forcer cela sur le PC ?

[Dgille 107]

C'est l'un ou l'autre. De base ,le pc ne taggue pas, donc le port de connexion doit être dans un vlan par défaut (le bon de préférence). Tu ne nous avais pas dit que le pc était configuré dans le vlan3, donc tes flux  sortent taggés et donc le port du routeur doit être taggé, ce qui devait être ta conf précédente.

Le Tag contient (entre autres) le numéro de VLAN. Le Default VLAN (PVID) est le vlan dans lequel les trames non taggées sont déversées.

Quand deux équipements communiquent, il faut une correspondance parfaite des ports des deux équipements entre le PVID et les vlans véhiculés. Les problèmes de comptabilité viennent généralement du fait que certains matériels veulent (ou non) un vlan par défaut taggés.

Modifié 15 mai 2018 par Dgille

[Dgille 107]

Pour identifier une bonne fois pour toute si ton routeur route entre les vlan et écarter les problèmes de Trunk, tu positionnes le port 3 dans le vlan 3 par défaut.

Tu positionnes une ressources sur le port 1 dans le vlan 1 et une ressource dans le vlan 3 sur le port 3 (Pas une caméra, deux pc en DHCP, firewall désactivé) . Si tu arrives à pinger ces deux machines, le problème vient des swtichs derrière.

Si tu ne pingues toujours pas, le problème est le routeur, vérifie que tes machines, si elles sont référencées dans les Lan groups, sont bien attachés au bon VLAN. Pingue ta passerelle par défaut et la passerelle de l'autre VLAN (ex, depuis une machine en 192.168.3.x, teste la 192.168.3.1 et la 192.168.1.1) et tiens nous au courant.

 

 

 

 

[jjacques68 600]

alors j'ai fait :

 

- enlever le VLAN par défaut déclarer en dur dans les config de la carte réseau du PC de test sur le VLAN 3.

- fixer le VLAN 3 par défaut sur le port 3.

- enlever les VLAN inutiles du port 1 (c'est à dire le 1048 et le 3).

- j'ai bien un PC (celui que j'utilise) dans le VLAN 1 (port 1 du routeur) et mon PC de test dans le VLAN 3 (port 3).

- les IP sont réservées, je n'utilise pas de groupes (tous dans le groupe 1) mais par contre ils ont TOUS le bon Profil Name = VLAN

 

Donc là, on passe pas par le switch !

 

Et bien ça veut toujours pas pinger !!!  

 

J'arrive par contre à pinger la passerelle de l'autre VLAN ! je sais pas si ça veut dire qqch...

 

 

Modifié 15 mai 2018 par jjacques68

[Dgille 107]

Regarde d ou vient le profil name, dans la doc, c est le vlan,  pour moi, les lan groups devrait etre different’, mais je ne suis pas sur de cepoint

cote logs du firewall, tu confirmes qu ils sont en en accept ?

 

[jjacques68 600]

C'est incompréhensible !

 

voici les logs :

 

[Dgille 107]

Cote firewall, ajoute deux regles qui autorisent le 192.168.2.0/24 vers le 192.168.3.0/24 et l inverse.

[jjacques68 600]

voilà ce que j'ai actuellement :

:

 

 

[Dgille 107]

Met une source et une destination plus large. Tu te limites actuellement a tes deux pc, donc pas de traffic sur les gateway. Il faut une source et destination en /24 ou 255.255.255.0

[jjacques68 600]

ok voilà, je peux pas donner l'adresse de réseau...

[jjacques68 600]

j'ai essayer d'ajouter des routes, mais comme disait @Lazer, c'est pas utile et puis ça marche pas mieux ...

[Dgille 107]

Pas une route, une regle de filtrage cote firewall. Ton utm connait les deux vlan, donc pas besoin de route. Tu confonds les deux.

[jjacques68 600]

oui suis d'accord, c'était pour essayer...

[Dgille 107]

Je suis tombe sur un truc , p 154, si c est cela, c est bien du netgear. Peux tu desactiver l intervlan routing sur les deux vlan ?

je sais,  c est pas logique, mais tente...