Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
1004 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Stormshield (netasq) / VLAN / VPN

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Stormshield (netasq) / VLAN / VPN

n°147359
kornfr
Posté le 15-06-2017 à 16:33:39  profilanswer
 

Bonjour,
 
je possède sur le site n°1 un VLAN_5 (192.168.5.0/24)
je possède sut le site n°2 un VLAN_5 (192.168.5.0/24)
 
J’ai un VPN qui existe entre les 2 sites, malheureusement, je n'arrive pas a faire communiquer mes 2 VLAN ensemble.
 
Dans la partie VPN des 2 stormshield
j'ai bien : reseau local : Network_5  - reseau distant : reseau_5
 
Dans la partie Filtrage et Nat des 2 stormshield
j'ai une règle :
"passer - source : reseau_5 - destination Network_5 "
"passer - source Network_5 - reseau_5"
 
sur un switch HP du site n°1, j'arrive a pinger un host sur le VLAN_5 situé sur le site n°1
sur un switch HP du site n°2, j'arrive à pinger un host  du VLAN_5 situé sur le site n°2
 
En revanche, je n'arrive pas à pinger un host du VLAN_5 situé sur le site n°2 à partir du VLAN_5 situé sur site n°1 et inversement.
 
il doit me manquer un truc :(
auriez vous une idée ?
 
Merci


Message édité par kornfr le 15-06-2017 à 16:33:55
mood
Publicité
Posté le 15-06-2017 à 16:33:39  profilanswer
 

n°147361
Je@nb
Modérateur
In ze cloud
Posté le 15-06-2017 à 16:45:01  profilanswer
 

avec le même réseau ça va être difficile...

n°147365
schmosy
Posté le 15-06-2017 à 16:52:40  profilanswer
 

Bonjour
 
Tu dois changer ton réseau sur un site. Selon moi, ton stormshield sur le site n°1 sait que son réseau 192.168.5.0 est sur son interface LAN par exemple.
 
Tu peux pas avoir le même réseau sur deux interfaces différentes (ici l'interface LAN et WAN/VPN de ton watchguard). Si un poste sur le site 1 veut joindre un poste sur le site 2, le stormshield ne pourra pas savoir que le poste sur le site 2 est sur l'interface WAN/VPN parce-que pour lui le 192.168.5.0 est sur son interface LAN.
 
Pour moi tu dois rechanger le réseau d'un des sites, et faire les bonnes règles de routage dans les stormshield.
 
Grosso merdo site 1 192.168.5.0 site 2 192.168.6.0


Message édité par schmosy le 15-06-2017 à 16:53:00
n°147366
Gimea
So, get rid of noise.
Posté le 15-06-2017 à 17:03:07  profilanswer
 

Changer le subnet d'un coté ou bien résoudre le problème avec des translations si option 1 pas possible (le site 2 a virtuellement 192.168.6.0/24 + NAT before VPN par ex).

n°147384
kornfr
Posté le 15-06-2017 à 20:22:55  profilanswer
 

Bonsoir
 
donc je change ainsi :  
 
Site n°1 un VLAN_5 (192.168.6.0/24)  
site n°2 un VLAN_5 (192.168.5.0/24)  
et je rajoute une règle dans le NAT qui la translations entre les 2 réseaux.
 
Est-ce que cela va poser des problèmes à mon serveur DHCP qui se trouver sur le site n°1 et qui doit fournir des adresses aux 2 sites ?
 
Merci

n°147386
Gimea
So, get rid of noise.
Posté le 15-06-2017 à 20:48:49  profilanswer
 

Soit tu changes sur ton site 2 le subnet. Tu le changes réellement on va dire et ce site passe en 192.168.6.0 /24 et la tu n'as plus de problème et tu n'as pas besoin de translations. C'est le cas idéal.

 

Soit tu n'as pas la possibilité de changer le subnet sur aucun des 2 sites et alors tu attribues "virtuellement" d'autres subnet à chacun des sites et tu translates au bon moment IP source et IP dest.
Site 1 et site 2 restent en 192.168.5.0/24 mais par exemple site 1 est "virtuellement" 192.168.6.0 pour site 2, et site 2 est 192.168.7.0 pour site 1.

 

Mais a bien relire faudrait qd même expliquer pourquoi tu gères les firewall des 2 cotés + le DHCP et pourquoi tu pourrais pas attribuer un nouveau subnet au site 2 ?


Message édité par Gimea le 15-06-2017 à 20:53:10
n°147395
kornfr
Posté le 16-06-2017 à 09:33:22  profilanswer
 

Merci à tous et particulièrement à @Gimea
Merci @Gimea
 
Est-ce-que cela pourrait etre fiable :
 
site n°1 : 10.5.0.0/24
sites n°2 : 192.168.5.0/24
 
serveur DHCP  sur le site n°1
 
 
j'ajoute des règles filtrages qui autorise le réseau site n°1 a accès au site n°2 et inversement

n°147397
schmosy
Posté le 16-06-2017 à 09:54:16  profilanswer
 

Pour du multisite, j'aime bien rester sur le même type d'adresse (et pas mélanger des 192.168.0.0 avec du 10.0.0.0) après je comprends que c'est pas forcément possible de tous bouger au niveau des IP.
 
Du genre :
 
Site A vlan 5: 10.5.5.0
Site B vlan 5 : 10.6.5.0
Site A vlan 10 : 10.5.10.0
Site B vlan 10 : 10.6.10.0
 
Le deuxième octet c'est pour différencier le site, le troisième pour le vlan. C'est plus cohérent et tu t'y retrouves plus facilement.
 
Après tu peux très bien utiliser de 192.168.1.0 à 192.168.10.0 pour ton site A et tes différents vlans, et utiliser de 192.168.11.0 à 192.168.20.0 pour ton site B. Essaye de faire quelque chose de logique pour te repérer plus facilement.


Message édité par schmosy le 16-06-2017 à 09:55:18
n°147401
kornfr
Posté le 16-06-2017 à 10:32:14  profilanswer
 

Donc  
VLAN_5 site n°1 : 192.168.6.0/24 (avec serveur DHCP)
VLAN_5 site n°2 : 192.168.5.0/24 (existant)  
VLAN_1 site n°1 : 10.0.0.0 /16 (existant)
VLAN_1 site n°2 : 10.1.0.0/16 (existant)  
 
ca marche ?

n°147412
schmosy
Posté le 16-06-2017 à 20:18:39  profilanswer
 

Oui c'est bon


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Stormshield (netasq) / VLAN / VPN

 

Sujets relatifs
Connexion / téléchargement lents sous le VPN d'OperaInternet vlan sur Cisco
VPN, Bureau Distant et passerelles multiples ...Recherche DHCP sur plusieurs VLAN
VPN L2TP/IPSec PSK Windows 2008 et clients Android/IOsWDS + MDT par VPN
Routeur Cisco 877, problème d'inter-vlan[HP] Routage inter-vlan et relais DHCP
Vpn OpenVPN (impression)VPN IPSec entre 1 modem-routeur et 1 routeur
Plus de sujets relatifs à : Stormshield (netasq) / VLAN / VPN



Copyright © 1997-2016 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR