Contenu | Rechercher | Menus

Annonce

Si vous rencontrez des soucis à rester connecté sur le forum (ou si vous avez perdu votre mot de passe) déconnectez-vous et reconnectez-vous depuis cette page, en cochant la case "Me connecter automatiquement lors de mes prochaines visites".
Test de l'ISO d'Ubuntu francophone : nous avons besoin de testeurs pour la version francophone d'Ubuntu 14.04. Liens et informations ici.

#1 Le 19/02/2013, à 11:30

sinbad83

Séparation/Isolement sous-réseau

Bonjour à tous,
dans une association, j'ai deux groupes  d'utilisateurs, l'administration et un atelier ouvert au public. Je cherche à isoler l'administration. Le réseau est composé de deux baies informatiques reliées ensemble. La solution de protection par routeur ne convient pas, deux postes-administration sont reliés à la seconde baie et l'un des postes de l'atelier a besoin d'accéder à la fois à l'administration et à l'atelier.
Comment résoudre le problème ?

Dernière modification par sinbad83 (Le 22/02/2013, à 13:48)


La connaissance n'est pas une denrée rare, il faut la partager avec les autres.
Linux registered #484707
Site: www.coursinforev.org/doku.php
Desktop Quad8800 Ubuntu 14.04.1 et Seven,  Samsung N150 U14.04.1 et Seven, HP Pavillon G6 U14.04.1 et Seven, Serveurs Ubuntu 14.04.1, Serveur virtualisation Proxmox

Hors ligne

#2 Le 19/02/2013, à 12:11

tiramiseb

Re : Séparation/Isolement sous-réseau

Je ne vois pas d'autre solution que de faire deux réseaux séparés et un routeur entre les deux.

Tu peux très bien permettre à un poste particulier de communiquer sur les deux réseaux, par des règles sur le routeur...


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXème siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

#3 Le 19/02/2013, à 12:33

sinbad83

Re : Séparation/Isolement sous-réseau

tiramiseb, je comprends bien un routeur dans la baie 1 pour séparer la majeure partie de l'administration, OK. Mais comment donner ensuite accès au serveur à ceux de la baie 2 qui ne sont pas reliés à ce routeur et qui doivent aussi imprimer ? Comment donner double accès au poste qui en a besoin dans l'atelier ?

Dernière modification par sinbad83 (Le 19/02/2013, à 12:34)


La connaissance n'est pas une denrée rare, il faut la partager avec les autres.
Linux registered #484707
Site: www.coursinforev.org/doku.php
Desktop Quad8800 Ubuntu 14.04.1 et Seven,  Samsung N150 U14.04.1 et Seven, HP Pavillon G6 U14.04.1 et Seven, Serveurs Ubuntu 14.04.1, Serveur virtualisation Proxmox

Hors ligne

#4 Le 19/02/2013, à 12:42

tiramiseb

Re : Séparation/Isolement sous-réseau

Il faut que les deux réseaux soient connectés sur le même routeur, que le routeur fasse du routage entre les deux réseaux.

Sans filtrage, les deux réseaux pourront communiquer entre eux sans problème.

Ensuite, il faut mettre du filtrage pour interdire les communications entre les deux réseaux, sauf pour les cas où c'est nécessaires (imprimante, poste particulier...)


Le plus flexible est de configurer des VLAN sur tes réseaux, placer les différents PC dans des VLANs séparés, et les communications entre les VLANs se font par le routeur.
Seconde possibilité, avoir deux routeurs, un dans chaque baie. Mais c'est compliqué à gérer.


Et si tu ne peux mettre ni VLAN ni deux routeurs, alors vu que tu as deux postes "admin" connectés sur la baie 2 il faut mettre le routeur dans la baie 2, connecter la baie 1 sur un switch spécifique auquel sont également connectés les postes "admin" de la baie 2, ensuite le routeur et ensuite le réseau "atelier".

Un schéma vaut mieux qu'un long discours, donc voici la description schématique de cette dernière proposition :

        PCs admin
            |
Baie 1    switch
            |
            |
----------------------
            |
            |
          switch --- PCs admin
Baie 2      |
         routeur
            |
          switch
            |
        PCs atelier

Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXème siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

#5 Le 19/02/2013, à 13:18

sinbad83

Re : Séparation/Isolement sous-réseau

tiramiseb, merci pour ta réponse. La troisième solution m'étonne. Qu'est-ce-qui empêche les postes Atelier d'accéder à la partie Admin ? Le routeur fonctionne dans l'autre sens, ce sont les autres qui ne peuvent pas y accéder.
Je ne connaissais pas VLAN, je sens qu'il va falloir m'y mettre. A moins que l'utilisation de 2 routeurs ne soit pas si compliquée.
J'avais oublié, tous les postes sont Windows sauf le serveur.

Dernière modification par sinbad83 (Le 19/02/2013, à 13:19)


La connaissance n'est pas une denrée rare, il faut la partager avec les autres.
Linux registered #484707
Site: www.coursinforev.org/doku.php
Desktop Quad8800 Ubuntu 14.04.1 et Seven,  Samsung N150 U14.04.1 et Seven, HP Pavillon G6 U14.04.1 et Seven, Serveurs Ubuntu 14.04.1, Serveur virtualisation Proxmox

Hors ligne

#6 Le 19/02/2013, à 13:24

tiramiseb

Re : Séparation/Isolement sous-réseau

Qu'est-ce-qui empêche les postes Atelier d'accéder à la partie Admin ?

Le routeur est situé entre le réseau "admin" et le réseau "atelier". Le routeur sait filtrer les paquets. Donc le routeur peut empêcher les ordis du réseau "atelier" d'accéder au réseau "admin".
Sauf si quelqu'un va tout seul brancher son PC "atelier" sur le switch "admin". Mais une baie est fermée à clef, normalement... smile


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXème siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

#7 Le 19/02/2013, à 15:54

sinbad83

Re : Séparation/Isolement sous-réseau

D'après ton schéma, le routeur est dans la baie#2, à l'entrée de l'Atelier. Admin ne peut donc pas y entrer, alors que les postes Atelier en sortent et peuvent aller partout en amont du routeur et donc dans Admin.
Le routeur ne peut pas être entre Admin et Atelier, il est forcément branché en aval de l'un et en amont de l'autre.
Une configuration à deux routeurs n'apporterait pas grand-chose. De toute façon, il y a déjà un routeur double WAN en sortie de Box.


La connaissance n'est pas une denrée rare, il faut la partager avec les autres.
Linux registered #484707
Site: www.coursinforev.org/doku.php
Desktop Quad8800 Ubuntu 14.04.1 et Seven,  Samsung N150 U14.04.1 et Seven, HP Pavillon G6 U14.04.1 et Seven, Serveurs Ubuntu 14.04.1, Serveur virtualisation Proxmox

Hors ligne

#8 Le 19/02/2013, à 16:12

tiramiseb

Re : Séparation/Isolement sous-réseau

Il me semble que tu as mal compris le schéma, notamment vu la phrase suivante :

Le routeur ne peut pas être entre Admin et Atelier, il est forcément branché en aval de l'un et en amont de l'autre.

Il n'y a pas d'amont ou d'aval à un routeur. Il y a juste un certain nombre de pattes réseau, auxquelles sont connectés des réseaux.
Dans ce cas, le routeur est au milieu, il sépare les réseaux ; des règles de filtrage empêchent la circulation de paquets entre les deux réseaux (quel qu'en soit le sens), des exceptions à ce filtrage permettent aux flux autorisés de passer, et uniquement ceux-là.

J'ai l'impression que pour toi, un routeur c'est "un appareil avec un côté WAN et un côté LAN". Ce n'est pas ça un routeur : c'est juste un équipement qui permet d'interconnecter plusieurs réseaux et d'y router des paquets.

Si tu veux que le routeur serve aussi à la connexion à Internet (dans ce cas-là on peut éventuellement dire qu'il y a un amont (Internet) et deux avals (les réseaux)), ça donne :

        PCs admin
            |
Baie 1    switch
            |
            |
----------------------
            |
            |
          switch --- PCs admin
Baie 2      |
         routeur ----- modem ----- Internet
            |
          switch
            |
        PCs atelier

... oui, si on tourne le schéma (tu comprendras peut-être mieux comme ça) :

                                            Internet
                                               |
                          |                  modem
                          |                    |
PCs admin --- switch -----|----- switch --- routeur --- switch --- PCs atelier
                |         |        |                       |
            PCs admin     |    PCs admin              PCs atelier
                          |
        Baie 1            |                   Baie 2

Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXème siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

#9 Le 19/02/2013, à 17:03

sinbad83

Re : Séparation/Isolement sous-réseau

Effectivement, je ne pratiquais pas ce genre de configuration.
L'arrivée Internet est dans la baie#1 qui alimente l'Admin, une interconnexion va ensuite sur la baie2 où sont branchés 2 autres postes Admin et les postes Atelier. Pour simplifier, je supprime le besoin pour l'un des postes Atelier d'avoir double accès (sinon, il lui faudrait 2 cartes réseau branchées sur 2 prises murales Eth), il n'ira que sur Admin. Donc 3 postes Admin sur la baie#2, les autres vers Atelier.
Pour séparer les groupes de travail, il faut donc un routeur dans la baie#2.
La nouveauté pour moi est de configurer différemment les 2 sorties du routeur.

Dernière modification par sinbad83 (Le 19/02/2013, à 17:07)


La connaissance n'est pas une denrée rare, il faut la partager avec les autres.
Linux registered #484707
Site: www.coursinforev.org/doku.php
Desktop Quad8800 Ubuntu 14.04.1 et Seven,  Samsung N150 U14.04.1 et Seven, HP Pavillon G6 U14.04.1 et Seven, Serveurs Ubuntu 14.04.1, Serveur virtualisation Proxmox

Hors ligne

#10 Le 19/02/2013, à 17:07

tiramiseb

Re : Séparation/Isolement sous-réseau

L'arrivée Internet est dans la baie#1

Tire un second câble Ethernet entre les deux baies, si possible.
Sinon, le plus simple serait de faire des VLAN...


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXème siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

#11 Le 19/02/2013, à 17:10

sinbad83

Re : Séparation/Isolement sous-réseau

Impossible de tirer un autre câble entre les 2 baies (~ 100 m  de distance).
Nos réponses se sont croisées, je faisais une correction.

Dernière modification par sinbad83 (Le 19/02/2013, à 17:11)


La connaissance n'est pas une denrée rare, il faut la partager avec les autres.
Linux registered #484707
Site: www.coursinforev.org/doku.php
Desktop Quad8800 Ubuntu 14.04.1 et Seven,  Samsung N150 U14.04.1 et Seven, HP Pavillon G6 U14.04.1 et Seven, Serveurs Ubuntu 14.04.1, Serveur virtualisation Proxmox

Hors ligne

#12 Le 19/02/2013, à 17:19

tiramiseb

Re : Séparation/Isolement sous-réseau

Pour simplifier, je supprime le besoin pour l'un des postes Atelier d'avoir double accès (sinon, il lui faudrait 2 cartes réseau branchées sur 2 prises murales Eth)

Bah non. Tu le branches sur un seul réseau et tu l'autorise à aller sur l'autre réseau par le routeur...


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXème siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

#13 Le 19/02/2013, à 18:15

sinbad83

Re : Séparation/Isolement sous-réseau

Peux-tu m'indiquer comment paramétrer le routeur dans la baie#2 pour séparer les 2 groupes de travail ?


La connaissance n'est pas une denrée rare, il faut la partager avec les autres.
Linux registered #484707
Site: www.coursinforev.org/doku.php
Desktop Quad8800 Ubuntu 14.04.1 et Seven,  Samsung N150 U14.04.1 et Seven, HP Pavillon G6 U14.04.1 et Seven, Serveurs Ubuntu 14.04.1, Serveur virtualisation Proxmox

Hors ligne

#14 Le 19/02/2013, à 18:31

tiramiseb

Re : Séparation/Isolement sous-réseau

Il faut simplement associer une patte ethernet du routeur à chaque réseau, afin d'avoir deux réseaux isolés... Cela signifie bien sûr que ce sera deux plages d'adresses IP différentes...


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXème siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

#15 Le 19/02/2013, à 20:13

sinbad83

Re : Séparation/Isolement sous-réseau

J'ai sous la main un routeur Netgear RP614, il y a bien un onglet Router Status qui donne l'IP d'entrée (en fonction du réseau amont), mais LAN IP Setup ne donne que l'IP de sortie. Il n'y a pas de configuration individuelle séparée pour 2 sous-réseaux.
Le routeur Cisco RV082 qui est sur place, n'a pas l'air non plus d'avoir de fonction pour différencier des réseaux en aval.


La connaissance n'est pas une denrée rare, il faut la partager avec les autres.
Linux registered #484707
Site: www.coursinforev.org/doku.php
Desktop Quad8800 Ubuntu 14.04.1 et Seven,  Samsung N150 U14.04.1 et Seven, HP Pavillon G6 U14.04.1 et Seven, Serveurs Ubuntu 14.04.1, Serveur virtualisation Proxmox

Hors ligne

#16 Le 19/02/2013, à 20:40

tiramiseb

Re : Séparation/Isolement sous-réseau

Ces deux équipements sont des routeurs très limités, ils ne permettent que de mettre en place une connexion entre un réseau local et un lien WAN vers Internet.

Je n'arrive pas à trouver de vrai routeur sur les sites grand-public, c'est hallucinant.

À la limite tu peux mettre un petit PC sous Linux avec deux ou trois cartes réseau pour faire routeur/firewall : moi j'aime bien faire ça, comme ça je maîtrise de bout en bout...


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXème siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

#17 Le 20/02/2013, à 09:44

sinbad83

Re : Séparation/Isolement sous-réseau

La solution d'un PC pour faire le routage me conviendrait. Quelles fonctions faudrait-il y implémenter ? Une deuxième carte-réseau suffit-elle ? ou en faut-il 3 pour avoir une entrée et deux sorties ?
N'y aurait-il pas une autre solution en passant tout l'Admin en VPN ? Bien que un peu long à faire sur tous les postes.

Dernière modification par sinbad83 (Le 20/02/2013, à 09:49)


La connaissance n'est pas une denrée rare, il faut la partager avec les autres.
Linux registered #484707
Site: www.coursinforev.org/doku.php
Desktop Quad8800 Ubuntu 14.04.1 et Seven,  Samsung N150 U14.04.1 et Seven, HP Pavillon G6 U14.04.1 et Seven, Serveurs Ubuntu 14.04.1, Serveur virtualisation Proxmox

Hors ligne

#18 Le 20/02/2013, à 09:55

tiramiseb

Re : Séparation/Isolement sous-réseau

Si tu veux que ce PC fasse "firewall central" et qu'il gère l'accès à Internet (c'est ce que je préconise, j'aime bien centraliser ces choses-là, ça simplifie la gestion), alors il faut trois interfaces réseau. Ça peut être trois cartes, ça peut aussi utiliser des cartes bi-port voire quadri-port. Le schéma est celui de mon message #8.

Mais si tu n'as pas le choix et que l'accès à Internet est obligatoirement dans la baie 1, deux interfaces réseau suffisent, tu mettras alors un routeur sur le réseau "admin" et tu géreras correctement les accès sur le PC qui fera routeur.
Dans ce cas, le schéma serait le suivant :

             Internet
                |
          modem-routeur   |
                |         |
PCs admin --- switch -----|----- switch --- PC routeur --- switch --- PCs atelier
                |         |        |                          |
            PCs admin     |    PCs admin                 PCs atelier
                          |
        Baie 1            |                      Baie 2

En terme de fonctions à implémenter, c'est assez simple : il faut juste correctement configurer le firewall de la machine (qui sera, bien sûr, sous la dernière Debian ou sous la dernière Ubuntu Server LTS) pour qu'il route les paquets que tu souhaites et qu'il bloque ceux qu'il faut bloquer. Dans les deux cas (3 interfaces réseau et connexion directe à Internet OU 2 interfaces réseau et utilisation d'un routeur sur le réseau admin) tu pourrais faire les restrictions dont tu as besoin.
Pour ma part je préconise d'utiliser le logiciel Shorewall pour configurer ce firewall : il demande un peu d'apprentissage, mais après cette phase d'apprentissage la gestion du firewall est très simplifiée.


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXème siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

#19 Le 20/02/2013, à 14:45

sinbad83

Re : Séparation/Isolement sous-réseau

tiramiseb a écrit :

Dans les deux cas (3 interfaces réseau et connexion directe à Internet OU 2 interfaces réseau et utilisation d'un routeur sur le réseau admin) tu pourrais faire les restrictions dont tu as besoin.

Peux-tu préciser ? Dans la baie #1, en entrée de tout le réseau, il y a déjà le routeur Cisco, donc pas besoin d'un autre. Dans la baie #2, le PC-Routeur est branché à la fois sur le réseau-Admin et sur l'Atelier. Il n'y a besoin que de 2 prises Ethernet ? pas de 3 ?


La connaissance n'est pas une denrée rare, il faut la partager avec les autres.
Linux registered #484707
Site: www.coursinforev.org/doku.php
Desktop Quad8800 Ubuntu 14.04.1 et Seven,  Samsung N150 U14.04.1 et Seven, HP Pavillon G6 U14.04.1 et Seven, Serveurs Ubuntu 14.04.1, Serveur virtualisation Proxmox

Hors ligne

#20 Le 20/02/2013, à 14:50

tiramiseb

Re : Séparation/Isolement sous-réseau

le PC-Routeur est branché à la fois sur le réseau-Admin et sur l'Atelier. Il n'y a besoin que de 2 prises Ethernet ? pas de 3 ?

Comme tu l'as écrit : le PC est branché sur "admin" et sur "atelier". Ça fait 2... C'est ce qui est représenté sur mon schéma en #18.


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXème siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

#21 Le 22/02/2013, à 01:21

sinbad83

Re : Séparation/Isolement sous-réseau

A défaut de configuration de PC-routeur que je ne vois pas bien, je commande pour le moment un routeur TP Link Tl-WE740 qui doit se paramétrer. J'aurai alors certainement besoin de choses à préciser.

Dernière modification par sinbad83 (Le 22/02/2013, à 01:33)


La connaissance n'est pas une denrée rare, il faut la partager avec les autres.
Linux registered #484707
Site: www.coursinforev.org/doku.php
Desktop Quad8800 Ubuntu 14.04.1 et Seven,  Samsung N150 U14.04.1 et Seven, HP Pavillon G6 U14.04.1 et Seven, Serveurs Ubuntu 14.04.1, Serveur virtualisation Proxmox

Hors ligne

#22 Le 05/03/2013, à 17:50

sinbad83

Re : Séparation/Isolement sous-réseau

Finalement, j'opte pour une configuration avec deux routeurs derrière la Box pour séparer  les réseaux. Les sorties des deux vont sur un switch de fusion alimentant une partie du réseau (1.1) et la connexion vers la baie #2. Dans la baie #2, les flux sont orientés vers leur destination finale en fonction de leur IP (postes en IP statiques). Les deux routeurs doivent être aussi en IP statiques.
Le schéma de principe est donné par le lien suivant http://www.fichier-pdf.fr/2013/03/05/se … n-reseaux/

Dernière modification par sinbad83 (Le 05/03/2013, à 17:55)


La connaissance n'est pas une denrée rare, il faut la partager avec les autres.
Linux registered #484707
Site: www.coursinforev.org/doku.php
Desktop Quad8800 Ubuntu 14.04.1 et Seven,  Samsung N150 U14.04.1 et Seven, HP Pavillon G6 U14.04.1 et Seven, Serveurs Ubuntu 14.04.1, Serveur virtualisation Proxmox

Hors ligne

#23 Le 05/03/2013, à 17:56

tiramiseb

Re : Séparation/Isolement sous-réseau

As-tu configuré tes switches avec des VLAN ?

Si tu n'as pas fait de VLAN, alors tu n'as là absolument aucune isolation des réseaux...


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXème siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

#24 Le 05/03/2013, à 19:33

sinbad83

Re : Séparation/Isolement sous-réseau

Je n'ai pas mis de VLAN, je vérifie le fonctionnement sur place à la prochaine occasion


La connaissance n'est pas une denrée rare, il faut la partager avec les autres.
Linux registered #484707
Site: www.coursinforev.org/doku.php
Desktop Quad8800 Ubuntu 14.04.1 et Seven,  Samsung N150 U14.04.1 et Seven, HP Pavillon G6 U14.04.1 et Seven, Serveurs Ubuntu 14.04.1, Serveur virtualisation Proxmox

Hors ligne

#25 Le 05/03/2013, à 20:21

tiramiseb

Re : Séparation/Isolement sous-réseau

Deux réseaux sur le même switch = aucune sécurité et des gros risques de conflits (notamment avec les paquets en broadcast ou en multicast).

Il suffit de changer l'adresse IP d'un poste (ce qui est hyper facile dès qu'on a accès physique dessus : quand on a accès physique à une machine on peut tout y faire) ou d'ajouter une seconde adresse dans l'autre réseau, et le tour est joué.

Ce n'est pas pour rien que je t'ai parlé de switch différents ou de VLANs smile


Sébastien Maccagnoni-Munch - administrateur Linux depuis le XXème siècle
Consultant informatique indépendant - http://www.smm-informatique.fr
Geek et tout plein d'autres choses - http://www.tiramiseb.fr

Hors ligne

Haut de page ↑