Bonjour,
 
Configuration réseau actuelle :
Switche HP stackés (3)
Réseau local 192.168.1.0/24
Netasq U250S-A en firewall (192.168.1.1) sur une fibre Orange
 
J'ai configuré un deuxième Vlan dans notre entreprise (Vlan10)
Le switche stacké sert de routeur pour les deux Vlan (192.168.1.0 et 192.168.10.0)
Je ping sans problème chaque vlan de n'importe quelle machine du réseau  
Par contre je bloque sur la création du routage sur le Netasq pour permettre aux membres du Vlan10 de sortir sur internet
J'ai créé une route statique du groupe 192.168.10.0/24 vers la passerelle du switche (192.168.1.2) et une route statique sur le switche 0.0.0.0 vers la passerelle 192.168.1.1
J'ai une borne Wifi sur le Vlan10 en ip fixe qui distribue bien aux clients les adresses de mon serveur DHCP Windows lui aussi sur le Vlan10 (autre carte réseau sur le Vlan1)
Mais rien n'y fait, pas de connexion internet.
 
Sur un site Lab Test, avec le même principe, pas de souci. J'ai entré la route statique dans ma LiveBox orange Pro et les deux Vlans se parlent et vont sur internet.
 
Si quelqu'un a une idée
 
Merci.

Bonsoir,
 
sinon il y a aussi un truc simple qui pourrait fonctionner : tu prends une interface libre du netasq, tu lui donnes une adresse ip qui correspond au reseau de ton vlan , tu cables ton interface netasq sur ton vlan et tu crées une règle de filtrage dans le netasq qui autorise ton interface à sortir sur le net. et pour finir tu dis a ton dhcp de donner en passerelle l'adresse ip de la deuxieme interface du netasq. Bon on va dire que c'est un plan B, c'est juste pas très conventionnel
 
Pour ta route statique je comprends pas pourquoi tu routes vers ton switch, c'est lui qui est routeur, donc qui reçoit l'interface de sortie vers internet ?

Qd tu crées une route sur le Netasq vers 192.168.10.0/24 via 192.168.1.2, tu définies bien la bonne interface (IN probablement) ?
 
Si la OUT du Netasq a une IP publique, est ce que tu NAT bien le 192.168.10.0/24 sur la OUT ?
 
Au niveau du filtrage le 192.168.10.0/24 a bien le droit de sortir ?

Bonjour Gimea,
 
Pour le premier, oui 192.168.10.0/24 via 192.168.1.2 est bien sur l'interface IN avec le symbole bouclier
La Out a bien une IP Publique, je n'ai pas natté cet objet sur la Out et pas de filtrage non plus. Ce matériel étant récent chez nous et la formation succincte, je vais d'abord me renseigner sur la manière de faire.
Donc je m'y mets et test tout ça
Et te tiens au courant
Merci

Fais toi payer une formation stormshield administrateur, c'est cool .  
 

Bonjour,
 
J'avais pensé à cette possibilité mais si je créé 15 Vlan je vais manquer de ports
Pour la route statique, c'est pour que le switche fasse la passerelle sur chaque Vlan et que chaque Vlan puisse se voir aussi en interne.
Mais ta solution semble cohérente, je la garde sous le coude
Merci.

Si t'as pas fais de translation sur la OUT pour le vlan10, c'est pour ça que ça fonctionne pas.
 
Rajoute juste une règle de translation pour ce réseau. T'en as déjà forcement une pour le vlan1.  
 
Et autorise également le vlan10 à sortir dans le filtrage, car tout ce qui n'est pas explicitement autorisé est forcément bloqué.

tout depend comment il a fait sa règle, si il a mis any@network_in normalement ça sort, reste a voir la translation d'adresse, de toutes façons je pense que dans ce cas la route statique n'a aucun intérêt puisqu'il y a un trunk sur le switch d'après notre ami. Il faut aussi que les machines sur vlan10 aient la bonne passerelle ...  
 
 

Son switch est un switch niveau 3 si j'ai bien compris.
Il faut bien la route statique sur le netasq et sur le switch.
 
Il ne parle pas de trunk (au sens Cisco). le Netasq est surement sur un port en access dans le vlan1.
 
Concernant le filtrage, network_in va correspondre au réseau de l'int. IN et donc 192.168.1.0 /24.
 
Apres c'est sur s'il a any / any / any ca fonctionne forcement niveau filtrage mais c'est pas la peine d'avoir un FW.
 
Mais sans translation du 192.168.10.0 /24 sur la OUT ça ne peut pas marcher (vers Internet).

Bonjour et Bonne Année
 
Concernant mon problème et grâce à vos différentes remarques judicieuses et utiles, cela semble résolu :
 
J'ai connecté le port 3 Lan du Netasq à mon switche hp A5120-EI en topologie IRF (3 membres) et mis le port sur le vlan10 en access
J'ai créé une route sur le Netasq sur mon objet réseau wifi (car c'est un réseau wifi dédié à la base que je souhaitais créer) (objet défini sur le réseau 192.168.10.0/24) vers l'interface dmz1 (mon port 3 du netasq)
J'ai créé une règle de filtrage, source reseau_wifi sur interface dmz1, destination Internet, port Any, IPS + filtrage url
Puis enfin, j'ai créé une règle Nat, trafic original, source reseau_wifi, destination Internet interface Out, Port dest. Any, trafic après translation, source Firewall_Out, destination Any
 
La passerelle devient l'adresse ip attribuée à l'interface dmz1 (192.168.10.1) et plus celle du switche (192.168.10.2)
Mon serveur dhcp est sur le vlan10 et 1 et distribue donc les plages 192.168.1.0 sur le vlan1 et 192.168.10.0 sur le vlan10
Mes deux bornes wifi sont sur le vlan10
Internet passe sur le vlan10
 
Merci pour votre participation.
 
Question du nouvel an : peut-on mettre en Trunk une connexion fibre entre deux switches sans mettre le bazar ?
 
Encore Bonne Année

Meme si ça marche, c'est assez degueu d'un point de vu archi et sécu ce que tu as fais.

Commentaire assez facile et léger, pour la sécu dis-moi quel est le problème ?

Je vois pas non plus quel problème ça pose, ça fonctionne, le netasq est prévu pour ça donc ...

Si je me base sur la description initiale :
 
Un switch L3 qui route entre les VLANs. Un FW Netasq qui assure la protection du LAN.
Le souhait de faire le routage avec le switch L3 et la proba future de rajouter des VLANs.
Pas de souhait d'isoler avec un équipement de filtrage L7 (le Netasq) le VLAN10 du reste du LAN, type DMZ.
 
Et finalement ce n'est pas ce qui a été fait.
 
Si tu rajoutes des vlans ? Certains routés par le SW d'autre par le FW mais sans logique ?
Qd ça va p-e tomber panne ?
 
Et puis niveau secu le vlan10 qui a un accès à Internet vers any ports ... ?
 
D'un point de vu des perfs et si on part du principe qu'un U250 c'est déjà une machine relativement onéreuse si on compte l'achat plus les maintenances annuelles. Ou p-e est elle en location ?
Mais c'est pas un produit pour une PME des 15 postes. Quel est la taille du LAN derrière ? Pas mal de PC et de serveurs ? Donc il faut un peu que ça tourne, non ?
 
Mais si y a juste qqs PCs, un U250 est il justifié ?
 
Derrière le LAN a p-e besoin de perf. Mais le FW avec l'IPS activé doit avoir un débit en routage considérablement moindre que le switch.
De plus l'IPS est souvent pointilleux et nécessite des réglages.
 
Si ça se trouve il y a tjrs sur le SW l'interface L3 pour le vlan10 (192.168.10.2).
Ce VLAN peut également être routé par le SW donc.
 
La description du résultat donne l'impression que c'est "tombé en marche".
 
Je ne vois pas ce que mon commentaire avait de facile et léger. Ce n'est que mon avis.
 
Après on est d'accord que si ça  marche et que ça te convient, tu peux laisser comme ça.
Ça conviendrait pas à tout le monde, c'est tout.

Je suis pas complétement d'accord avec toi :
 
- Tu nous dit que le fw avec ips activé doit avoir un débit en routage moindre que le switch : tu as des chiffres à ce sujet ?
-L'ips est souvent pointilleux et necessite des réglages : tu as plutôt raison, cependant le matériel est déjà en place, on peut donc supposer que les politiques ips (incoming et outgoing ) sont déjà configurées, donc pas vraiment de problème côté sécu si bien fait dès le départ.  
 
Concernant le fait que ce vlan soit sur une dmz, elle n'a de dmz que le nom puisqu'il applique une politique de filtrage url / ips . Néanmoins je te rejoins sur le fait qu'il parait hasardeux de laisser sortir sur tous les ports, il serait peut-être plus juste de limiter strictement aux ports nécessaires sur ce lan ( http et https ? ) .  
 
Donc pour moi il n'y a pas de grosses erreurs dans sa config.
 
En tous cas c'est intéressant d'avoir des sujets avec des participations comme la tienne et je pense que PG27700 peut te remercier car tu as surement apporté beaucoup d'informations à son problème .  

 
Bonjour,
 
Je vous ai remercié tous les deux dans mon message précédent et suis conscient que ce paramétrage est temporaire et améliorable, c'est vrai.
Alors, merci encore à toi Gimea pour tes precieuses remarques et ne m'en veut pas de m'être un peu emporté (l'âge sûrement )