Logo GNT
Actualités Tests & Guides Bons Plans
Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11
Entraide Matériel Réseaux et Internet IP Probleme de routage entre VLANs

Probleme de routage entre VLANs

31 réponses
Avatar
xavier
Bonjour,

Le réseau de mon nouveau taf est assez (et amha inutilement) complexe.

Le coeur de réseau est composé de Nortels Baystack dans chaque bâtiment, avec des VLANs
définis comme suit :

| VLAN 1 admininstration (des switches) 192.168.1.0/24
| VLAN 10 bâtiment central 172.16.214.0/24
| VLAN 20 bâtiment 2 192.168.0.0/24
| VLAN 30 batiment 3 10.75.2.0/24
| VLAN 40 (reserved for future use ;-)
| VLAN 100 VoIP 10.75.3.0/24

Je pique un port où tous les VLANs sont présents sur le Nortel, et je crée les
interfaces VLAN sur la passerelle :

| gateway_enable="YES"
| default_router="10.75.2.1"
| cloned_interfaces="vlan0 vlan1 vlan2 vlan3 vlan4"
| ifconfig_fxp0="up"
| ifconfig_vlan0="inet 192.168.1.251 netmask 255.255.255.0 vlan 1 vlandev fxp0"
| ifconfig_vlan1="inet 172.16.214.251 netmask 255.255.255.0 vlan 10 vlandev fxp0"
| ifconfig_vlan2="inet 192.168.0.251 netmask 255.255.255.0 vlan 20 vlandev fxp0"
| ifconfig_vlan3="inet 10.75.2.251 netmask 255.255.255.0 vlan 30 vlandev fxp0"
| ifconfig_vlan4="inet 10.75.3.251 netmask 255.255.255.0 vlan 100 vlandev fxp0"

Depuis la passerelle elle-même, tous les réseaux répondent, un nmap me l'a prouvé.

D'ailleurs, sa table de routage me semble nickel :

| Destination Gateway Flags Refs Use Netif Expire
| default 10.75.2.1 UGS 0 13742 vlan3
| 192.168.1.0/24 link#9 U 5 234765 vlan0
| 172.16.214.0/24 link#10 U 4 395054 vlan1
| 192.168.0.0/24 link#11 U 1 4659 vlan2
| 10.75.2.0/24 link#12 U 0 3361 vlan3
| 10.75.3.0/24 link#13 U 0 2716 vlan4


Par contre, depuis mon poste, qui est sur le réseau 172.16.214.0/24, avec 172.16.214.251
défini en gateway, ça ne marche qu'à moitié :

| [xavier@imac-xav ~]$ traceroute 192.168.1.4
| traceroute to 192.168.1.4 (192.168.1.4), 64 hops max, 52 byte packets
| 1 gateway (172.16.214.251) 5.416 ms 0.176 ms 0.152 ms
| 2 arcades-sw (192.168.1.4) 5.105 ms 1.103 ms 1.144 ms

Donc le routage de VLAN 10 vers VLAN 1, ça passe.

Mais, si je veux atteindre la passerelle de sortie :

| [xavier@imac-xav ~]$ traceroute 10.75.2.1
| traceroute to 10.75.2.1 (10.75.2.1), 64 hops max, 52 byte packets
| 1 gateway (172.16.214.251) 0.460 ms 0.217 ms 0.145 ms
| 2 * * *
| 3 * * *
| 4 * * *

De VLAN 10 vers VLAN 30, rien ne passe. Ca pourrait presque sembler logique, le VLAN 1
étant non taggué, ça passe, vers les autres non....

Qu'ai-je oublié de si évident que je ne le verrais pas ?

Merci,

--
Xav
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
Signaler un problème avec ce contenu

10 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
1 2 3 4
Avatar
Pascal Hambourg
Xavier a écrit :

Donc, mon routeur ne route pas CQFD...



Mais si, il route. La preuve : tcpdump sur l'interface vlan3 montrait
que les paquets de traceroute de ton poste qu'il recevait sur
l'interface vlan1 étaient bien retransmis. Mais il ne peut router que ce
qu'il reçoit.

Dans un premier temps, tu pourrais tester en activant le NAT source
(masquerading) sur toutes les interfaces de ta passerelle. Si ça passe,
alors ce n'est pas un problème de couche liaison.



Euh... Je procède comment ? Avec PF ? Pour l'instant, mon fichier ne
contient que "set skip on [pour toutes les interfaces]"



Sais pas, désolé. Je ne connais que Linux et iptables.

Sinon, le test inverse :
Tu dis que tous les sous-réseaux répondent au ping/traceroute/nmap
depuis la passerelle. Tu peux réessayer mais en forçant l'adresse source
avec celle d'une autre interface que celle du sous-réseau de
destination. Par exemple, pour un ping vers 10.75.2.1, forcer l'adresse
source 172.16.214.251. Si ça ne passe plus, c'est un problème de routage
retour et ta passerelle n'y est pour rien (ou bien de filtrage sur la
passerelle mais je pense que tu serais au courant).
Avatar
GuiGui
Xavier a écrit :


Je me suis peut-être mal exprimé, ou bien ma connaissance des VLANs est
incomplète, mais le VLAN 1 est toujours non taggué, puisque c'est celui
par défaut, il me semble ?




Ben non, tu peux définir comme vlan natif celui que tu veux.

Je sais pas sous bsd, mais sous linux j'ai mes interfaces eth (eth0,
eth1) qui sont non tagguées et ethx.y (eth1.10, eth1.20,...) qui sont
tagguées et sur mes switchs je peux définir pour chaque interface son
"native vlan" qui est le vlan non taggué sur cette interface.
Avatar
GuiGui
GuiGui a écrit :


Ben non, tu peux définir comme vlan natif celui que tu veux.



Je précise : sur un port taggué tu peux définir quel vlan ne sera pas
taggué, mais ce n'est pas nécessairement le même pour tous les ports.
Avatar
xavier
Pascal Hambourg wrote:

Tu dis que tous les sous-réseaux répondent au ping/traceroute/nmap
depuis la passerelle. Tu peux réessayer mais en forçant l'adresse source
avec celle d'une autre interface que celle du sous-réseau de
destination. Par exemple, pour un ping vers 10.75.2.1, forcer l'adresse
source 172.16.214.251. Si ça ne passe plus, c'est un problème de routage
retour et ta passerelle n'y est pour rien (ou bien de filtrage sur la
passerelle mais je pense que tu serais au courant).



J'essaye ça demain, merci beaucoup. Mais tu as raison, c'est sans doute
une histoire de route retour, j'ai déja été confronté au problème.

--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
Avatar
xavier
GuiGui wrote:

Je précise : sur un port taggué tu peux définir quel vlan ne sera pas
taggué, mais ce n'est pas nécessairement le même pour tous les ports.



A ce sujet, pour ceux à qui l'OS Nortel cause, voilà la conf complète :

<http://www.groumpf.org/Vrac/ConfigNodal.txt>

--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
Avatar
xavier
GuiGui wrote:

Je précise : sur un port taggué tu peux définir quel vlan ne sera pas
taggué, mais ce n'est pas nécessairement le même pour tous les ports.



A ce sujet, pour ceux à qui l'OS Nortel cause, voilà la conf complète :

<http://www.groumpf.org/vrac/ConfigNodal.txt>

--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
Avatar
Pascal Hambourg
Xavier a écrit :

J'essaye ça demain, merci beaucoup.



Alors, du nouveau ?
J'aimerai bien connaître le fin mot de l'histoire.
Avatar
xavier
Pascal Hambourg wrote:

> J'essaye ça demain, merci beaucoup.

Alors, du nouveau ?
J'aimerai bien connaître le fin mot de l'histoire.



Pas u encore le temps, malheureusement, il y avait d'autres choses à
faire avant...

--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
Avatar
xavier
Xavier wrote:

> Alors, du nouveau ?
> J'aimerai bien connaître le fin mot de l'histoire.

Pas u encore le temps, malheureusement, il y avait d'autres choses à
faire avant...



Bon, j'ai l'impression que je ne sais tout simplement plus configurer
une passerelle :-(

J'ai un problème similaire chez moi, où je veux essayer d'utiliser un AP
autre que le Wifi Free.

---- /etc/rc.conf
defaultrouter="192.168.100.254" # Freebox
hostname="aragorn.groumpf.org"
ifconfig_fxp0="inet 192.168.100.16 netmask 255.255.255.0"
ifconfig_em0="inet 192.168.0.254 netmask 255.255.255.0"
gateway_enable="YES"



les routes semblent OK :

netstat -rn | grep -v lo0
Internet:
Destination Gateway Flags Refs Use Netif Expire
default 192.168.100.254 UGS 0 172 fxp0
192.168.0.0/24 link#2 U 1 4708 em0
192.168.100.0/24 link#1 U 3 59289 fxp0



Juste une chose me titille, je n'ai pas d'entrée avec leq flags UHL pour
l'AP2.168.0.16, comme c'est le cas pour les tables de routage des
autres serveurs de mon réseau.

et l'AP :

get config
IP Address: 192.168.0.50
IP Mask: 255.255.255.0
Host IP Address: 0.0.0.0
Gateway IP Address: 192.168.0.254



La passerelle pinge l'AP, l'AP pinge la passerelle, mais ça ne va pas
plus loin : LAN inacessible depuis l'AP, AP inacessible depuis le LAN

Mais bon sang de bonsoir, pourquoi plus aucun de mes FreeBSD ne veut
router ????

Deviendrais-je gâteux, et bon pour la retraite anticipée ? Vu qu'il
faut que j'attende 67 ans pour ça, j'aimerais mieux comprendre...

--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
(Jethro Tull)
Avatar
TeXitoi
(Xavier) writes:

La passerelle pinge l'AP, l'AP pinge la passerelle, mais ça ne va pas
plus loin : LAN inacessible depuis l'AP, AP inacessible depuis le LAN

Mais bon sang de bonsoir, pourquoi plus aucun de mes FreeBSD ne veut
router ????

Deviendrais-je gâteux, et bon pour la retraite anticipée ? Vu qu'il
faut que j'attende 67 ans pour ça, j'aimerais mieux comprendre...



Y'a pas un sysctl à changer sous FreeBSD pour router ? Enfin, je sais
juste qu'il y en a un sous OpenBSD.

--
Guillaume Pinot http://www.irccyn.ec-nantes.fr/~pinot/

« Les grandes personnes ne comprennent jamais rien toutes seules, et
c'est fatigant, pour les enfants, de toujours leur donner des
explications... » -- Antoine de Saint-Exupéry, Le Petit Prince

() ASCII ribbon campaign -- Against HTML e-mail
/ http://www.asciiribbon.org -- Against proprietary attachments
1 2 3 4