Passerelle/Routeur + Dhcp Vlanisé

Chico008 · Le 02/09/2024, à 16:42

Bonjour

je suis ingé informatique et je bosse dans une administration.
on gère notamment les écoles.

Afin de sécuriser ces dernières, nous souhaiterions mettre en place un DHCP en liste blanche, pour autoriser que les matériel connu a avoir des adresse IP, le reste non.
ces écoles disposent d'une box internet grand publique, mais dont le DHCP est limité.
Sans compter qu'on ne peut changer l'adresse IP par défaut des box.

enfin, nous avons un cas de 3 établissements partageant le même accès, d’où la nécessité pour ce dernier de faire du Vlan pour bien séparer les flux, éviter que l’établissement A voit les équipements de l’établissement B par exemple, mais que les 2 accèdent quand même a internet.

Nous disposons de vieux serveur scolaires sous une ancienne solution plus maintenant, cependant ces mini PC/serveur nous appartiennent, et je suis en train de me poser la question de les recycler, avec un Ubuntu serveur par exemple, qui permettrait de faire office de passerelle/routeur, + serveur DHCP
+ DHCP sur différent Vlan pour notre cas spécifique.

Première question : est-ce bien possible (je pense que oui, mais je préfère être sur)
> des modop a suggérer ?
2nd question : bien que je puisse me débrouiller avec un linux en ligne de commande, c'est très loin d’être le cas de mes collègues (je suis le seul linuxien), du coup existerait-il un moyen de mettre en place une administration web du serveur, pour gérer routage, dhcp vlan ?

pour le cas spécifique, on peut paramétrer les vlan nous même sur les Switch sans soucis, il faudra juste que le serveur soit capable de gérer le dhcp selon le vlan concerné, et garantir l’accès internet aux 3 vlan, sans que ces derniers ne puissent se voir.
J'essaierais de me monter un labo sur un esx pour faire des tests.

Bonus à plus long terme, que ce serveur puisse faire office de DNS "filtré", via la liste de l'academie de Toulouse https://dsi.ut-capitole.fr/blacklists/
> mais ça c'est pour plus tard, pour le moment on a une solution tierce qui s'en occupe sur les PC des enseignants et les tablettes éducatives.

Merci à vous.

Chico008 · Le 05/09/2024, à 14:12

Hello
petit point

DOnc, j'ai installer un Ubuntu serveur, sur un petit materiel qui possède 2 cartes réseaux
1 carte est sur notre réseau avec acces internet.
le serveur peut bien sortir sur le net.

L'autre carte sera pour la partie privée, avec un Dhcp en mode list blanche.

Afin de simplifier l'administration, j'ai installer Webmin.
le DHCP est installé et configurer.
j'ai tester un PC derrière, il recupère bien une IP prévue, un PC inconnu ne recupère rien.

par contre, impossible de reussir a faire que le PC coté Lan n'accès a internet.
il peut pinguer la carte lan du serveur, la carte wan du serveur, mais ne peut pas aller plus loins.

Dans Webmin je ne parvient pas a trouver le reglage qui permettrait de faire que ca passe.

une petite aide svp ?

jplemoine · Le 05/09/2024, à 14:36

Je pense que le plus simple est d'utiliser une distribution spécifique au lieu de d’embêter avec un Ubuntu server.
A l'époque (#2005), on avait utiliser une distribution (je crois basé sur BSD [donc Unix]) nommée Smoothwall (ou un truc approchant).
Il y avait un code couleur pour les cartes réseaux et un "cliquodrome" pour la gestion.
A voir si ça existe toujours ou s'il y a eu un fork.

Chico008 · Le 05/09/2024, à 16:02

je comprend pas en quoi utiliser une distribution specifique me depannera.
j'ai été sur Ubuntu car c'est le plus souple/complet, pour de futurs besoin.

J'ai a peu pres trouver des choses.
j'ai fait un reset du firewall et autoriser la sortie du traffic sur la carte Wan

depuis un Pc coté Lan, je peut piguer tout ce qui est coté Wan + des ip internet.
par contre, Surf internet via navigateur toujours KO

jplemoine · Le 05/09/2024, à 16:22

Chico008 a écrit :

je comprend pas en quoi utiliser une distribution specifique me depannera.

Ca évite juste de "réinventer la roue"... C'est une distribution qui fait exactement ce que tu veux.
- Une carte réseau qui va vers internet
- Une (ou plusieurs) vers le réseau local.
de mémoire :
- une interface verte (les PC "gentils")
- une interface d'une autre couleur (x?) (les PC "méchants" [par exemple : salle de formation, PC publics,..] )
- les interfaces vertes et x? peuvent aller vers internet. Les verts peuvent aller vers les x? mais les x? ne peuvent pas aller vers les verts

Et avec une interface web pour gérer tout ça

Après si tu veux garder la solution d'Ubuntu serveur et "jouer" avec les iptables...

Chico008 · Le 05/09/2024, à 16:32

Oui, mais comme j'ai dit, je part sur ubuntu, car a terme j'aurais peut etre besoin de faire du filtrage dns, ou heberger un petit serveur de fichier.

jplemoine · Le 05/09/2024, à 17:12

Chico008 a écrit :

Oui, mais comme j'ai dit, je part sur ubuntu, car a terme j'aurais peut etre besoin de faire du filtrage dns,

Je ne comprends pas ce que tu appelles filtrage dns.
- Si c'est pour que les personnes puisse accéder à certains sites et par d'autres --> Voir la solution d'un proxy type Squid/Squid-Guard.
A voir si on peut l'installer sur la distribution spécifique ou s'il y a déjà ce genre de produit.
- Si c'est pour que les postes inconnus ne puissent pas se connecter, à voir mais c'est plus compliqué que de jouer avec le dhcp car le poste peut connecter en adresse fixe.

--> Ne pas réinviter la roue (en moins bien).

Chico008 a écrit :

ou heberger un petit serveur de fichier.

Surtout pas sur le poste qui sera accessible par tous les postes.

Chico008 · Le 06/09/2024, à 08:41

Ecoute, je cherche un support sur Ubuntu, car je cherche aussi a me former dessus, donc si ta seule réponse c'est de dire de prendre autre chose, pas besoin.

pour le serveur de fichier obligation que ce soit le meme materiel, les baie info pour les ecoles sont minuscule, on ne peut pas y caller beaucoup de materiel : deja qu'avec la box internet un switch et les rack réseau c'est très limite, casé un mini PC qui fera routeur/serveur va être tendu, on peut pas avoir un nieme materiel en plus.
enfin ce serveur de fichier sera plus la par commodité pour les enseignants qui crament/perde sans arrêt leur clé usb.

Pour le filtrage on vera, deja que j'arrive a faire la base que le surf normal fonctionne correctement.
on pensait par DNS justement pour eviter le proxy qui pose soucis sur certains poste/tablettes.
en gros le serveur ferais serveur Dns relais, en interdisant la réponse pour certains site qu'on veut filtrer, mais a etudier plus tard.

krodelabestiole · Le 06/09/2024, à 09:00

je ne comprends pas trop l'idée...

au cas où ce ne serait pas clair (dis-moi si je me trompe) choisir d'attribuer ou pas une adresse IP est facilement faisable en n'appliquant que des bails permanents en fonction de l'adresse mac par ex., mais ce réglage n'empêche personne de rejoindre le réseau. il suffit de connaître certaines IPs ou de le scanner et de s'attribuer n'importe quelle IP fixe appartenant au sous-réseau, donc je ne vois pas trop l'intérêt.

pareil pour le "filtrage DNS" (mise en place d'un DNS menteur) : ça n'empêche personne de consulter ce qu'il veut. il suffit de spécifier un autre serveur DNS manuellement. et par défaut les appareils android par ex. utilisent ceux de Google et ne seront donc pas du tout concernés par cette "limitation". c'est aussi le cas pour d'autres systèmes.

c'est bien pour ça qu'on s'embête à utiliser un vrai proxy comme squid sur n'importe quelle structure sur laquelle on souhaite avoir un certain "contrôle".

Chico008 · Le 07/09/2024, à 18:44

c'est pour les ecoles qu'on cherche a mettre ca en place.
on sait que certains profs savent changer leur adresse IP, mais pas plus
le but etant de les empecher d'utiliser leur materiel perso par securité.

D'ou le besoin de mettre en place un DHCP filtré, puis dns menteur a terme.

le serveur de fichier sera un bonus si ils sont interessé, mais pour ca faudrait deja que j'arrive a faire passer le surf sans dns menteur :s

krodelabestiole · Le 07/09/2024, à 19:25

Chico008 a écrit :

le but etant de les empecher d'utiliser leur materiel perso par securité.

avec les techniques que tu prévois tu n'empêches personne de quoi que ce soit.
donc de mon point de vue c'est un problème XY : aucune des deux solutions que tu envisages ne répond à tes besoins.

pour un serveur de fichiers et autres besoins en travail collaboratif, entre autre dans un cadre scolaire, nextcloud est très certainement la meilleure solution libre actuelle (et indépendante de ces choix de configuration réseau).

Dernière modification par krodelabestiole (Le 07/09/2024, à 20:49)

NicoApi73 · Le 07/09/2024, à 20:16

Bonjour,

krodelabestiole a écrit :

avec les techniques que tu prévois tu n'empêches personne de quoi que ce soit.

+1

krodelabestiole a écrit :

donc de mon point de vue c'est un problème XY : aucune des deux solutions que tu envisages ne répond pas à tes besoins.

+1 : tu n'exprime pas tes besoins et les problèmes rencontrés, mais tu viens avec une solution que tu ne sais pas mettre en oeuvre, qui ne correspond fort probablement pas au réel besoin.

Reviens à l'analyse de tes besoins et exprime les, en indiquant en plus l'infra-structure existante. Par exemple, tu ne nous as même pas indiqué comment ce fait l'accès au réseau : RJ45 et/ou WiFi...

kro a indiqué également ce qui est mis en place habituellement : un proxy. Pour utiliser les listes de filtrage, un redirecteur d'url te sera nécessaire.

jplemoine · Le 07/09/2024, à 21:14

Pour squid, tu as la liste de via la liste de l'academie de Toulouse. Elle fonctionne super bien.
Et perso, je maintiens ce que j'avais dit : il faut une machine dédiée à la "sécurité".
Et une autre pour ce qui est du besoin secondaire (serveur de fichier par exemple).
+1 pour Nextcloud.

Et d'accord avec krodelabestiole et NicoApi73: "tu n'exprime pas tes besoins et les problèmes rencontrés, mais tu viens avec une solution que tu ne sais pas mettre en oeuvre, qui ne correspond fort probablement pas au réel besoin."

Chico008 · Le 08/09/2024, à 08:53

sauf que depuis un moment j'exprime mon problème de routage via le serveur, pour le reste pour le moment, deja dit, on s'en fou c'est secondaire
et peut importe les besoins et les problèmatique, c'est une solution qui nous convient pour nous pour le moment, peut importe les avis generaux.

Donc je cherche a faire que le serveur fasse du routage.
j'ai une carte avec un acces wan qui fonctionne
l'autre carte fait du Lan avec DHCP

les PC coté Lan peuvent pinguer l'exterieur, mais pas naviguer.
pourquoi et comment resoudre, pour le moment c'est ca le besoin, c'est vous qui partez dans tout les sens.

Bref, vous voulez pas aider, pas de soucis, j'irais voir ailleur.

jplemoine · Le 08/09/2024, à 09:47

Quel est le besoin (niveau utilisateur avec des mots de "tous les jours") ?
Tu parles de serveur, routage : c'est de la technique.

Astrolivier · Le 08/09/2024, à 12:49

bonjour,

on peut faire du routage avec ubuntu avec nftables et il faut activer l'ip forward dans sysctl
https://wiki.nftables.org/wiki-nftables … tion_(NAT)

on peut demander de passer ou bloquer ce qu'on veut suivant ip, mac address, ports, interface (eth0 eth1 etc...)

je ne connais pas d'interface graphique pour le faire, et mon conseil c'est de bien regarder la syntaxe nftables, comprendre les hook (prerouting, postrouting, forward, etc...) ça prend un peu de temps mais c'est plus clair.

tu peux faire un serveur dhcp et le configurer pour différent vlan. voici une réponse chatgpt (parce que j'ai jamais fait)
perso je suis pas fan de netplan et préfère de loin netorkManager 'il suffit de dire à netplan d'utiliser nm

autre conseil pour configurer nftable et apprendre à t'en servir : demande a chatgpt, il t'expliquera chaque ligne et tu pourras adapter les règles à ta sauce. il fait des erreurs, mais tu essaies et modifie.

---------

Voici la réponse formatée en BBCode pour le forum Ubuntu-fr.org :

```bbcode
Configurer un serveur DHCP pour plusieurs VLAN sur un serveur Ubuntu implique plusieurs étapes. Le principe de base consiste à associer chaque VLAN à un sous-réseau, et à configurer le serveur DHCP pour distribuer des adresses IP spécifiques à chaque VLAN. Voici les étapes détaillées pour réaliser cela :

Prérequis
- Un serveur Ubuntu avec un serveur DHCP installé (`isc-dhcp-server`).
- Un commutateur gérant le routage inter-VLAN, ou un routeur configuré pour gérer les VLAN.
- Les interfaces réseau sur le serveur Ubuntu configurées avec le support VLAN.

Étape 1 : Installer le serveur DHCP

Sur votre serveur Ubuntu, installez le serveur DHCP :

sudo apt update
sudo apt install isc-dhcp-server

Étape 2 : Configurer les interfaces réseau avec VLAN

Si votre serveur DHCP est connecté à plusieurs VLAN via une seule interface physique, vous devez configurer les interfaces VLAN sur Ubuntu. Utilisez `netplan` ou `/etc/network/interfaces` pour ajouter les interfaces VLAN.

Exemple avec Netplan :
1. Modifiez votre fichier de configuration `netplan` (situé dans `/etc/netplan/`, le nom du fichier peut varier).
2. Ajoutez les interfaces VLAN. Exemple pour une interface physique `enp3s0` associée aux VLAN 10 et 20 :

network:
  version: 2
  ethernets:
    enp3s0:
      dhcp4: no
  vlans:
    vlan10:
      id: 10
      link: enp3s0
      addresses: [192.168.10.2/24]
    vlan20:
      id: 20
      link: enp3s0
      addresses: [192.168.20.2/24]

3. Appliquez la configuration :

sudo netplan apply

Cela crée deux interfaces logiques `vlan10` et `vlan20` sur le serveur.

Étape 3 : Configurer le serveur DHCP

Le fichier de configuration du serveur DHCP est situé dans `/etc/dhcp/dhcpd.conf`.

1. Ouvrez ce fichier avec un éditeur de texte, par exemple :

sudo nano /etc/dhcp/dhcpd.conf

2. Ajoutez les sous-réseaux correspondant à vos VLAN. Chaque VLAN doit être défini avec un bloc `subnet` spécifique.

Voici un exemple de configuration pour deux VLANs : VLAN 10 (192.168.10.0/24) et VLAN 20 (192.168.20.0/24) :

# Configuration pour le VLAN 10
subnet 192.168.10.0 netmask 255.255.255.0 {
    range 192.168.10.100 192.168.10.200;
    option routers 192.168.10.1;
    option subnet-mask 255.255.255.0;
    option domain-name-servers 8.8.8.8, 8.8.4.4;
    option domain-name "vlan10.local";
}

# Configuration pour le VLAN 20
subnet 192.168.20.0 netmask 255.255.255.0 {
    range 192.168.20.100 192.168.20.200;
    option routers 192.168.20.1;
    option subnet-mask 255.255.255.0;
    option domain-name-servers 8.8.8.8, 8.8.4.4;
    option domain-name "vlan20.local";
}

- **range** : La plage d'adresses IP que le serveur DHCP attribuera.
- **option routers** : L'adresse IP du routeur ou de la passerelle pour ce VLAN.
- **option domain-name-servers** : Les serveurs DNS que les clients recevront.

Étape 4 : Configurer l'interface du serveur DHCP

Ensuite, configurez les interfaces réseau que le serveur DHCP doit écouter. Cela se fait dans le fichier `/etc/default/isc-dhcp-server`.

1. Ouvrez le fichier :

sudo nano /etc/default/isc-dhcp-server

2. Modifiez la ligne `INTERFACESv4` pour spécifier les interfaces VLAN que vous avez configurées :

INTERFACESv4="vlan10 vlan20"

Étape 5 : Redémarrer le serveur DHCP

Redémarrez le service DHCP pour appliquer la nouvelle configuration :

sudo systemctl restart isc-dhcp-server

Étape 6 : Vérifier le bon fonctionnement

Vérifiez que le serveur DHCP fonctionne correctement et attribue les adresses IP aux différents VLANs :

- Assurez-vous que le routage inter-VLAN est correctement configuré sur votre routeur ou commutateur.
- Testez avec un client connecté à chaque VLAN pour voir s'il obtient une adresse IP dans la plage correcte.

Vous pouvez également vérifier les journaux du serveur DHCP pour voir si des requêtes DHCP sont reçues et traitées :

sudo tail -f /var/log/syslog

Conclusion

En suivant ces étapes, vous devriez être en mesure de configurer un serveur DHCP sur Ubuntu pour gérer plusieurs VLANs. Assurez-vous que votre infrastructure réseau (commutateur, routeur) est correctement configurée pour gérer les VLANs et faire passer les paquets entre eux.
```

jplemoine · Le 08/09/2024, à 13:52

Au vu de la réponse d'Astrolivier, ChatGPT est mieux que l'expérience de plusieurs personnes.

Donc, je propose que Astrolivier (et ChatGPT) continue ce "dépannage".

Astrolivier · Le 08/09/2024, à 14:46

jplemoine a écrit :

Au vu de la réponse d'Astrolivier, ChatGPT est mieux que l'expérience de plusieurs personnes.

gné !? au moins chatgpt économise d'une leçon de morale.

krodelabestiole · Le 08/09/2024, à 22:02

Chico008 a écrit :

Bref, vous voulez pas aider

c'est ta façon de voir les choses, je la trouve regrettable et étriquée.

te fournir un bête support technique dans cette direction aboutirait à une situation dangereuse, dans laquelle on peut très facilement envisager des fuites de données personnelles, usurpation d'identité, ou que sais-je.

Chico008 a écrit :

peut importe les avis generaux.

ce ne sont pas des "avis", c'est un fait : une infra qui se base sur le postulat que les gens sont incapables de s'attribuer une IP fixe n'assure pas la sécurité de ses utilisateurs ni la confidentialité des données. c'est open bar.
un avis serait par ex. de remarquer que ce postulat est aussi signe d'une certaine déconsidération pour les administrés.

tu remarqueras quand-même que tu as commencé ton message par :

Afin de sécuriser ces dernières

oublions donc ce projet.

par ailleurs réinventer la roue ça peut avoir du sens dans un cadre didactique, pour un apprentissage, pas sur un terrain professionnel. ubuntu server est conçu pour mettre en place un serveur, les autres variantes sont des bureaux, aucune version n'est particulièrement pensée pour remplir la fonction de routeur, ni serveur DHCP ou DNS, alors que comme te l'a judicieusement signalé jplemoine, d'autres outils sont prévus spécifiquement pour, et apporteront beaucoup plus facilement et confortablement un grand nombre de fonctionnalités pertinentes, de manière sécurisée.

pour des réponses basses du front :
la doc pour le routage sur ubuntu est là : https://doc.ubuntu-fr.org/routage

Chico008 a écrit :

Première question : est-ce bien possible (je pense que oui, mais je préfère être sur)

oui

Chico008 a écrit :

> des modop a suggérer ?

on l'a déjà fait, je ne vais pas insister, tu es ingénieur, donc au courant de l'évidence qu'est l'importance du choix des outils et des méthodes appropriées ¿

Chico008 a écrit :

une administration web du serveur, pour gérer routage, dhcp vlan ?

webmin (mais ce n'est pas un outil professionnel : https://www.reddit.com/r/linuxadmin/com … roduction/)
https://doc.ubuntu-fr.org/webmin

ou proxmox si on fait de la virtualisation, ce qui serait la solution professionnelle ici.

// edit : je viens de voir que j'avais survolé le #2 beaucoup trop en diagonale.
il faudrait plus d'infos pour qu'on puisse te dépanner sur webmin.. un sujet spécifique aurait plus de visibilité pour trouver quelqu'un qui l'utilise sur le forum,
ou tu ferais sûrement mieux de te rapprocher de la communauté webmin : https://forum.virtualmin.com/c/webmin/12

Dernière modification par krodelabestiole (Le 08/09/2024, à 22:37)

Chico008 · Le 09/09/2024, à 09:30

Sujet a clore donc

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 02/09/2024, à 16:42

Passerelle/Routeur + Dhcp Vlanisé

#2 Le 05/09/2024, à 14:12

Re : Passerelle/Routeur + Dhcp Vlanisé

#3 Le 05/09/2024, à 14:36

Re : Passerelle/Routeur + Dhcp Vlanisé

#4 Le 05/09/2024, à 16:02

Re : Passerelle/Routeur + Dhcp Vlanisé

#5 Le 05/09/2024, à 16:22

Re : Passerelle/Routeur + Dhcp Vlanisé

#6 Le 05/09/2024, à 16:32

Re : Passerelle/Routeur + Dhcp Vlanisé

#7 Le 05/09/2024, à 17:12

Re : Passerelle/Routeur + Dhcp Vlanisé

#8 Le 06/09/2024, à 08:41

Re : Passerelle/Routeur + Dhcp Vlanisé

#9 Le 06/09/2024, à 09:00

Re : Passerelle/Routeur + Dhcp Vlanisé

#10 Le 07/09/2024, à 18:44

Re : Passerelle/Routeur + Dhcp Vlanisé

#11 Le 07/09/2024, à 19:25

Re : Passerelle/Routeur + Dhcp Vlanisé

#12 Le 07/09/2024, à 20:16

Re : Passerelle/Routeur + Dhcp Vlanisé

#13 Le 07/09/2024, à 21:14

Re : Passerelle/Routeur + Dhcp Vlanisé

#14 Le 08/09/2024, à 08:53

Re : Passerelle/Routeur + Dhcp Vlanisé

#15 Le 08/09/2024, à 09:47

Re : Passerelle/Routeur + Dhcp Vlanisé

#16 Le 08/09/2024, à 12:49

Re : Passerelle/Routeur + Dhcp Vlanisé

#17 Le 08/09/2024, à 13:52

Re : Passerelle/Routeur + Dhcp Vlanisé

#18 Le 08/09/2024, à 14:46

Re : Passerelle/Routeur + Dhcp Vlanisé

#19 Le 08/09/2024, à 22:02

Re : Passerelle/Routeur + Dhcp Vlanisé

#20 Le 09/09/2024, à 09:30

Re : Passerelle/Routeur + Dhcp Vlanisé

Pied de page des forums