Bonjour,  
 
J'ai un souci réseaux que je n'arrive pas à détortiller, et la hotline Cisco non plus.  
Mon but, c'est d'avoir un réseau WIFI "invité" afin de permettre aux clients d'aller sur internet depuis notre modem / routeur, mais sans pouvoir communiquer avec le reste du réseau. Pour ça, le VLAN est parfait.
 
Voici le problème.
 
J'ai un modem / routeur Cisco SRP527W (192.168.0.254), faisant office de passerelle principale pour notre réseau, et qui contient :  
- 1 VLAN par défaut (N°1) sur le port RJ45 N°4 (qui relie le modem routeur vers mon switch principal HP Procurve Gigabit) -> adresses en 192.168.0.0 / 255.255.255.0
- 1 VLAN (N°3) sur le SSID N°2 correspondant à mon WIFI invité. -> adresses en 10.33.0.0 / 255.255.255.0
- 2 routes statiques -> 192.168.1.0 / 255.255.255.0 et 192.168.3.0 / 255.255.255.0, qui pointent vers 192.168.0.249 (routeur SHDSL vers nos 2 agences extérieures par liaisons VPN).
 
Physiquement, j'ai 3 switchs dans mon entreprise :
- 1 switch HP Procurve 16 ports Gigabit, dont 1 des ports est relié au modem / routeur Cisco SRP527W
- 1 switch HP Procurve 48 ports 100Mbps dont 1 des ports est relié au switch ci-dessus
- 1 switch Accton 48 ports 100Mbps dont 1 des ports est relié au switch HP Gigabit, et un autre port qui est relié au ROuteur SHDSL pour nos agences extérieures
 
Sur la configuration de mon modem / routeur CISCO, j'ai la possibilité de désactiver l'intervlan routing.
Lorsqu'il est activé, tout marche impeccablement bien dans mon entreprise.
 
 
Sauf que le but, c'est que les invités WIFI (SSID N°2) n'accèdent pas à mon réseau, or ici ils peuvent pinguer les machines internes.
Quand je désactive l'intervlan routing, là, le WIFI invité ne peut plus accéder à notre réseau, parfait, mais ça devient aussi du grand n'importe quoi.
 
Aléatoirement, après avoir désactivé l'intervlan, je ne peux plus depuis mon poste réseau situé sur le HP procurve 100Mbps :  
- soit pinguer le routeur de l'agence 1 (192.168.1.254)
- soit pinguer le routeur de l'agence 2 (192.168.3.254)
- soit pinguer des machines à l'interieur de l'agence 2 (192.168.3.100, 192.168.3.7) (remarque : il n'y avait aucune machine présente à pinguer dans l'agence 1)
- soit pinguer quoique ce soit !
 
Dans tous les cas, au bout d'un certains temps (que j'ignore, minutes, heures ?), plus aucun accès n'est possible vers les agences. Je ne ping plus rien.
Étrangement :
- lorsque je vais sur l'interface de configuration de mon switch HP Procurve Gigabit et que je fais un test de ping vers ces machines, elles répondent toutes ?!
- lorsque je me connecte avec un portable directement sur le switch ci-dessus, je ne peux pas pinger ces machines, elles restent injoignables ?
 
 
Et bien sûr, aussitôt que je réactive l'intervlan routing sur le modem / routeur CISCO, tout remarche impeccable.
 
Est-ce que le problème peut provenir du fait que sur mes 3 switchs, aucun VLAN ou Trunk n'est configuré dessus ? Car aujourd'hui, mon modem routeur tag mes paquets comme étant sur le VLAN 1 (sauf pour le WIFI invité évidemment). Est-ce lorsque qu'ils reviennent en transitant sur les switch Gigabit et MbPs, le fait qu'ils soient taggés en vlan 1 les fait automatiquement rejeter ?
 
Merci de votre aide.

Tout cela me parait assez logique et cohérent.

Sur ton Cisco SRP527W les deux routes statiques pointent vers le VLAN 1 (192.168.0.249, le routeur SHDSL, est dans le VLAN 1), donc si tu désactive le routage inter-vlan tu désactives ces deux routes.

Pour le fonctionnement aléatoire, c'est à priori tout aussi cohérent.

En premier lieu tu as activé le routage intervlan, donc lorsqu'un de tes PC (qui est dans le VLAN 1) veut joindre une des deux agences, il envoi sa requête à ton routeur Cisco, qui se rend compte qu'il doit la réinjecter dans le VLAN 1 ce qui est incongru, aussi celui-ci envoi une information (me rappelle plus le nom exact) à la couche IP de ton PC pour lui signaler qu'il peut envoyer le trafic directement à 192.168.0.249 au lieu de passer par un intermédiaire sans plus-value.

Logiquement la couche IP du PC enregistre l'information (jusqu'au prochain reboot ou un éventuel time out) et les fois suivantes, lorsque le PC veut joindre une des agences, il envoi le trafic directement au routeur SHDSL.

Aussi quand tu désactives l'intervlan routing, ça continue à fonctionner un certain temps pour les machines qui avaient accédé aux agences pendant que celui-ci était en fonction.

Même qu'au dessus , tu désactives le routage donc normal que les 2 VLANS ne puissent plus être router entre eux.
Si tu veux garder routage et isolation avec les vlans , tu dois gérer ça via les access-list en input sur l'interface du vlan sur lequel tu dois bloquer les communications.
Donc pour ton cas tu places une access list sur l'interface vlan 3 en input . Et tu bloques ou autorises les communications en prenant comme source le network se trouvant à l'intérieur de ton vlan 3.
Après tu fais la réflexion sur tes autres interfaces vlan si tu dois bloquer ou autoriser les communications vers le vlan 3.
 

Merci pour votre aide. Je comprends effectivement qu'en désactivant le routage intervlan, on empêche la communication entre les 2 zones (vlan 1 et vlan 3). Mais pourquoi ça contamine les 2 routes statiques ?
 
Dans ma partie "static routes", elles n'ont pas d'identifiant de VLAN.
Aussi, en désactivant le routage entre vlan, le wifi ne peux plus communiquer avec mon réseau ; mais pourquoi mon PC fixe, qui se trouve dans le même adressage réseau n'y arrive plus ? je suis dans aucun vlan.
 
Et mon switch gigabit arrive à pinguer les agences distantes alors qu'en étant branché dessus avec un PC portable, cela ne marche pas.
 
Pour le reste des explications, ça me parait très clair. A la limite, si tous mes ports de switch étaient défini en VLAN 2, je comprendrais que mon PC étant en VLAN 2, il n'accède plus aux agences qui sont scindés par le modem / routeur sur le VLAN 1. Mais je n'ai pas de VLAN défini ailleurs que sur le routeur.
 
J'espère être assez clair concernant mes incompréhensions. Merci

Effectivement , si tu perds toute ta connectivité vers l'extérieur en désactivant l'intervlan routing , c'est tout simplement un bug sur ce matériel ou quelque chose de non supporté.
Essaie de voir les nouveaux firmware,
J'ai vu ça en cherchant un peu : ça ressemble un peu à ton problème .  
CSCto77117 When both firewall and interVLAN routing features are disabled,
Internet connectivity is lost.

Bon. Je reviens vers vous désespéré.
J'ai appelé la hotline Cisco, on a essayé 3000 choses, la personne avait le contrôle de mon écran, tout ça. Après 2 semaines, il a créé un lab avec ma configuration, et il m'a dit que chez lui ça fonctionnait. Il a voulu que je change mes paramétrages. Selon lui, sur les routes statiques pour les agences, la gateway ne doit pas être "192.168.0.249" mais "192.168.0.250", à savoir la patte correspondant à ce VLAN. Sauf que moi je lui ai répété 30 fois qu'en faisant ça, comment mon réseau peut-il savoir où diriger les paquets pour les agences ? Mon routeur fait une boucle sur lui même ? Il m'a dit qu'il fallait faire aussi une route statique sur le routeur BINTEC VPN. On a conclu qu'il fallait que je vois avec Oléane (orange).
 
La personne de orange m'a dit que sur le routeur VPN SHDSL (bintec R3800), il n'y avait rien à modifier, que tout était bon et que ça venait pas de ça.
 
Tout ce que je peux vous dire, c'est que :
1) intervlan activé, tout marche bien
2) désactivé, je ne peux plus joindre mes agences (comme dit plus haut par Zostere, je pouvais les joindre parfois car mon PC avait enregistré la route directe lorsque je les avais pingué auparavant, confirmé par un "tracert" -> passant directement par 192.168.0.249. Au bout d'un temps, ça ne fonctionne plus, le principe est donc OK).
3) je n'ai paramétré aucun lien trunk entre mon routeur Cisco, routeur Bintec, mes 3 switch (HP et Accton).
4) Par défaut, il n'y a que le VLAN par défaut (1), et les ports ne sont pas taggués.
 
Voici un extrait de ma table de routage de mon routeur Cisco. Cela vous parait-il cohérent ?

 
192.168.0.249 c'est le routeur BINTEC VPN qui relie mes 2 agences.
L'interface PVC0 c'est Internet
 
Merci pour vos lumières !

Réponse du forum CISCO : sur ce routeur, lorsque l'on désactive le Intervlan, seules les communications LAN -> WAN sont autorisées, pas les connexions LAN -> LAN..
 
Pour m'éviter de racheter du matériel, à part mettre sur chaque firewall de mes serveurs / machines, de rejeter en bloc les adresses 10.33.0.0, y a t'il une autre solution ?