Bonjour,
J'essaye de mettre en place un réseau avec un double SSID/VLAN et le routage/bridge qui va bien. J'essaye d'utiliser une machine linux (avec module 8021q, bridge, ebtables) comme routeur/passerelle entre les VLAN et le LAN :
Le GW (gateway) internet ne sait pas faire de VLAN et ne connait qu'un seul net LAN (pas de routage coté LAN)
J'ai un acces wifi guest sur le VLAN 5 qui a accès à internet via le routeur linux et NAT : ca marche : il peut accéder à internet sans voir notre réseaux corporate.
J'ai accès wifi corporate sur le VLAN 10 (le routeur oblige à le mettre sur un VLAN) qui doit voir le reste de mon réseau corporate et avoir accès à internet. J'ai donc fait un bridge sur mon routeur linux avec un brin sur eth0 pour avoir accès au reste du réseau corporate et un autre brin sur le eth0.10 (tagged VLAN 10) pour faire le pont entre le VLAN10 et le réseau LAN.
Le problème est que dès que j'insère le eth0.10 dans le bridge et que je fait un peut de traffic sur eth0 le réseau en entier "explose" (paquets qui se perdent, machines non visible, ...). Si je retire le VLAN5 ca ne change rien. J'arrive même à des panic sur certaine distrib.
La question : qu'est-ce que j'ai loupé comme principe de base ?
Merci
ebtable:
*filter
:INPUT ACCEPT
:FORWARD ACCEPT
:OUTPUT ACCEPT
*broute
:BROUTING ACCEPT
-A BROUTING -p 802_1Q -i eth0 --vlan-id 10 -j DROP
|
iptable:
#
# NAT
#
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 192.168.5.0/24 -d 192.168.0.0/23 -j ACCEPT
-A POSTROUTING -s 192.168.5.0/24 -j MASQUERADE
COMMIT
#
# JOB
#
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT |
sysctl.conf:
# Kernel sysctl configuration file for Red Hat Linux
# Disable IPV6
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
# Controls IP packet forwarding
net.ipv4.ip_forward = 1
# Controls source route verification
net.ipv4.conf.default.rp_filter = 1
# bridging passing throug iptable
net.bridge.bridge-nf-call-arptables = 0
net.bridge.bridge-nf-call-iptables = 0
net.bridge.bridge-nf-call-ip6tables = 0
net.bridge.bridge-nf-filter-pppoe-tagged = 0
net.bridge.bridge-nf-filter-vlan-tagged = 1 |