Tag: VLAN

Configuration DMZ dans pfSense

Oleksandr

Dans le tutoriel précédent, nous avons créé plusieurs VLANs avec pfSense pour séparer les usages du réseau.
Aujourd’hui, on passe à l’étape suivante : ajouter une DMZ et y tester l’accès à un serveur web (un Raspberry Pi sous NGINX).
À quoi sert la DMZ, en vrai ? À exposer ce qui doit l’être sans donner de passe-droit au reste du réseau. On y place typiquement un site web, un serveur mail, un reverse proxy ou un petit service maison. Si l’un de ces services est mal configuré ou compromis, il reste enfermé dans la DMZ : pas d’accès direct aux postes, partages de fichiers, sauvegardes, ni aux autres VLANs. On obtient ainsi un espace « vitrine sur l’extérieur » contrôlé, idéal pour publier un service tout en gardant le cœur du réseau au frais.
Pour rendre la tâche plus difficile, nous n’allons pas simplement ajouter un VLAN de plus, mais couper un VLAN existant et réserver une partie de ses adresses pour cette zone. Concrètement, nous allons scinder le VLAN20 en deux sous-réseaux /27 :

  • la moitié basse 172.16.1.64/27 devient VLAN100_DMZ (passerelle 172.16.1.65),
  • la moitié haute 172.16.1.96/27 reste le VLAN20 (passerelle 172.16.1.97).

Le Raspberry Pi recevra une IP fixe en DMZ et sera joignable depuis le WAN grâce à un NAT sur les ports 80/443, tandis que le LAN et les autres VLANs resteront invisibles depuis cette zone. Continue reading

Configuration VLAN sur pfSense

Oleksandr

Dans le tutoriel précédent, je vous ai montré comment réaliser la configuration initiale de pfSense en mode graphique, avec quelques notions de dépannage et de configuration en mode texte.

Aujourd’hui, nous allons passer à l’étape suivante : la mise en place de VLANs sur pfSense.

Pourquoi est-ce important ? Parce qu’un réseau unique où tout le monde est mélangé n’est ni pratique ni sécurisé. Les VLAN permettent de diviser le réseau en segments logiques (IT, comptabilité, employés, etc.) et d’appliquer des règles de sécurité adaptées à chaque usage.

Avec cette approche, il est aussi possible de créer une zone DMZ pour héberger des serveurs accessibles depuis Internet, ou encore un réseau séparé pour les clients/visiteurs, totalement isolé du réseau de l’entreprise. Tout cela peut fonctionner en utilisant un seul port LAN de pfSense, à condition de le relier à un switch L2 capable de gérer le 802.1Q (VLAN tagging).

C’est une fonctionnalité qu’on retrouve dans toutes les entreprises, mais qui peut être tout aussi utile dans une petite structure ou même dans un labo d’apprentissage.

Et surtout, dans ce tutoriel je vais utiliser pfSense, une solution open source qui joue le rôle de routeur/pare-feu professionnel — une excellente alternative gratuite face aux solutions propriétaires comme Cisco.

Continue reading

Configuration du Routage Inter-VLAN avec un Switch L3

Oleksandr

Le routage inter-VLAN est une méthode essentielle permettant à des équipements situés dans différents VLAN de communiquer entre eux. Dans un précédent tutoriel, j’ai expliqué comment configurer le routage inter-VLAN en utilisant la méthode Router-on-a-Stick, où un routeur est utilisé pour gérer la communication entre les VLANs. Cependant, cette approche peut parfois engendrer un goulot d’étranglement, car tout le trafic inter-VLAN passe par une seule interface physique.
Une alternative plus efficace est d’utiliser un switch de niveau 3 (L3), qui intègre des fonctionnalités de routage comme un routeur traditionnel, mais avec des performances améliorées grâce au traitement matériel du trafic. Dans ce tutoriel, nous allons voir comment configurer le routage inter-VLAN avec un switch L3 en utilisant Cisco Packet Tracer.

Remarque : la configuration présentée ici est volontairement minimale afin d’illustrer le principe. Dans un environnement de production, il est indispensable de renforcer la sécurité et de configurer vos switches de manière appropriée.

Continue reading