Hello,
 
j'envisage de remplacer ma freebox par un mini-pc avec Opnsense. Il devrait donc assurer le rôle de firewall et routeur. La freebox étant en bridge, je vais avoir besoin de mettre en place un nouveau point d'accès WIFI.  
N'ayant que 4 ports ethernet disponibles en plus d'un port WAN sur le mini-pc, je vais aussi avoir besoin de ports ethernet supplémentaires.
 
Est-ce que c'est bien possible pour Opnsense d'attribuer un VLAN différent pour chacune des mes interfaces LAN (sous réserve que la carte réseau soit compatible 802.1q) ?
 
Internet <----> Freebox <----> Mini-PC Opnsense <----> Serveur Web (VLAN X)
                                                                         <----> ?? Switch/Routeur ?? <----> PC Fixe, Laptop, etc. (VLAN Y)
                                                                                                                   <----> Raspberry PI (VLAN Z)
                                                                                                                                                       
 
Je voudrais cloisonner différents réseaux, au moins 3 pour l'instant : serveur web exposé, ordis et la domotique qui repose entre autres sur un Raspberry pi.
 
Voulant mettre en place un point d'accès WIFI, je n'ai pas trouvé de switch basique faisant office de point d'accès WIFI. Ca n'existe pas ?
 
J'ai lu que l'on peut mettre un routeur faisant office de point d'accès WIFI : par exemple un Netgear WAC124.  
Dans ce cas, si je veux utiliser le WAC124 pour avoir le WIFI AP et des ports ethernet supplémentaires, je dois désactiver ses fonctions de routage ?
Comment pourrais-je attribuer des VLAN aux devices qui lui sont connectés ?
 
Voyez-vous une autre façon de procéder ?

 
il n'y a pas forcément besoin de 802.1q
et si tu veux faire du 802.1q il faut que l'équipement en face (switch, AP wifi) sache en faire aussi.
 

 
oui en général ça consiste simplement à désactiver le serveur DHCP et à ne pas utiliser le port WAN du routeur.
 

 
il faut déjà voir s'il supporte les vlans et 802.1q, je pense que c'est loin d'être systématique sur les équipements pour la maison.
 

 
si tu peux contenir tous tes vlans sauf un au niveau des ports de ton firewall, et propager seulement le dernier vlan jusqu'à ton LAN/wifi ça simplifiera les choses (pas de 802.1q, pas de vlans à configurer ailleurs que sur ton firewall).

Hello !
 
Merci de ton aide
 
Si je comprends bien, si mon firewall attribue un VLAN à un port connecté à un switch non 802.1q, tous les devices connectés au switch recevront des trames avec le tag VLAN défini par le fw ?
Si je veux pouvoir faire passer différents tags VLAN sur un port du fw, il faut que le switch soit compatible 802.1q et que je mette en place un lien de type "Trunk" entre le fw et le switch ?
 
A priori, je peux gérer mes VLAN avec les 4 ports du firewall. Le 802.1q serait une solution plus flexible pour la suite mais peut-être pas indispensable à l'instant T.
 
D'un point de vue budget, on dirait que ca revient moins cher de prendre un routeur wifi que de prendre un switch + un point d'accès wifi.
 
J'ai quelques difficultés à trouver des routeurs WIFI compatibles 802.1q. Mes recherches via moteurs de recherche ou sur différents sites de revendeurs ne donnent rien.  
J'ai aussi l'impression qu'un certain nombre de routeurs peuvent gérer les tags VLAN avec un firmware non natif, genre DD-WRT.
 
Y'a t-il un autre mot clef ou une autre spécification qui me permettrait de les identifier ? La fonction QoS des routeurs n'implique pas nécessairement l'implémentation de la norme 802.1q ?

 
si le port est en mode 802.1q au niveau du firewall, le switch va (ou en tout cas devrait) dropper les trames.
si le port est en mode non-taggé au niveau du firewall, les devices connectées au switch les recevront (le switch n'a dans ce cas aucune connaissance des vlans, et les machines connectées dessus non plus)
 
 

 
oui.
 

 
Une autre option pour avoir des vlans en restant sur du switch cheap est simplement d'avoir plusieurs switches. Par contre forcément ça te "mange" un port de firewall à chaque fois, mais si tu n'as que 2 ou 3 vlans ça peut être une option quand même.
 
 

 
Oui je pense que c'est bien ça. Comme ce n'est pas un besoin courant sur du matos perso, en général ce n'est pas supporté. Faut regarder soit les firmwares alternatifs, soit le matos semi-pro/PME genre ubiquiti ou mikrotik, soit le matos pro d'occasion je pense.
 

 
non c'est bien 802.1q.  
Et effectivement la QoS ça n'a rien à voir.

 
Bonjour,
 
Quel est le moyen par lequel le mini-PC possède quatre ports Ethernet supplémentaires ? Est-ce que tu as installé une carte réseau du genre Intel I350-T4v2 ?
 
Si c'est le cas, tu n'as pas besoin de tags 802.1Q sauf pour le port Ethernet sur lequel tu as besoin d'un trunk VLAN.
 
 
A ma connaissance, un switch Ethernet non manageable fera son boulot sans tenir aucun compte d'un éventuel tag 802.1Q.
Un PC sur lequel les VLANs ne sont pas configurés fera de même. Il traitera les trames Ethernet qu'il y ai un tag ou non.

@Ivy gu : merci pour tes précisions
 
@Anonymous Coward : J'ai ajouté une carte IBM Intel i340-t4. Cela change quelque chose par rapport à la I350-T4v2 ?

Il y a une page chez Intel qui dit qu'il n'y a quasiment aucune différence entre la I350 et sa v2.
 
Pour ton installation, tu peux donc utiliser une interface Ethernet de ton OPNsense pour une seule machine sans switch, avec un switch non manageable mais en te privant des VLANs, ou un switch manageable.
 
Tu dois pouvoir trouver un switch manageable ET fanless à prix raisonnable en occasion Cisco gamme SG250 (8 ou 26 ports) ou un TP-Link T1700G-28TQ neuf, par exemple.
Il y a moins cher mais je ne conseille pas. Il y a aussi plus cher.
 
Comme point d'accès, tu peux t'orienter vers des points d'accès entreprise comme dit précédemment. Sinon, un routeur WiFi (ou autre) sur lequel mettre OpenWrt c'est généralement super.