[Résolu]Isoler deux réseaux LAN et permettre le partage d'une imprimante

[silversmarty]

Bonjour à tous,

J'ai actuellement un rt2600ac qui me permet de gérer deux réseaux LAN :

• 192.168.0.XX qui est mon réseau principal, sur lequel est branché une imprimante en wifi (192.168.0.106)
• 196.168.3.XX qui est le réseau Kids, pour les enfants

J'aimerai que les enfants puissent accéder à l'imprimante qui se trouve sur l'autre LAN.

J'ai beau avoir quelques rudiments de réseau, avoir suivi scrupuleusement le guide de Synology (ici) en créant les trois règles de pare-feu et en vérifiant que les réseaux ne sont pas "isolés", ça ne marche toujours pas : lorsque je suis sur le réseau Kids, je n'ai pas accès à l'imprimante ! (note : je compte faire la même chose pour mon NAS, ainsi que pour le raspberry qui gère la domotique). Je me suis perdu dans les NAT, dans les tables de routage statique, dans les configurations du pare-feu, ... sans succès !

Est-ce que l'un d'entre vous a réussi à faire cela ? Si oui, comment ? Help !

 

Merci de tout coeur !

[church]

Hello !

La démarche est documentée chez Synology.

J'ai suivi scrupuleusement les instructions fournies sur :

https://kb.synology.com/fr-fr/SRM/tutorial/how_to_best_configure_network_isolation_and_firewall

J'ai une configuration similaire avec un réseau principal et un réseau IoT sur lequel se trouve ma domotique et mes enceintes et devices Alexa

Mon imprimante est sur mon réseau principal mais je souhaite que les enceintes et l'assistant vocal intégré puisse accéder à l'imprimante : imprimer des listes de courses et de taches, les enfants doivent pouvoir imprimer à la voix le résultat de certaines recherches ou déclencher des scan ou photocopies.

Note : ces deux réseaux sont sur des VLAN distincts propagés sur le réseau domestique grâce à des switch managés.

J'ai donc appliqué les instructions mentionnées plus haut en adaptant simplement les plages d'IP et réseaux concernés.

[silversmarty]

Merci pour ton témoignage, @church !

Je n'ai pas configuré de VLAN (je n'ai pas de switch managé, juste un switch simple qui est derrière le routeur Synology) : ça pourrait être la solution ? Quelle est la nécessité d'avoir des VLAN par rapport à deux LAN distincts ? 

[church]

Dans le fonctionnement actuel de SRM, à partir du moment ou tu as créé deux réseaux locaux distincts, tu les as donc placés sur des VLAN différents (en les associant éventuellement à un SSID de réseaux wifi particulier)

Un VLAN te permet de segmenter ton réseau domestique en plusieurs réseaux : les paquets adressés à un réseau particulier seront "taggés" afin qu'ils soient acheminés et délivrés aux périphériques appartenant à ce réseau.

Je pense que ton problème vient peut-être de là : les taches d'impression envoyées depuis un appareil situé sur Kids n'arriveront pas à l'imprimante puisque cet appareil est placé sur un VLAN différent et les paquets associés ne sont pas traités par ton switch non managé.

De même, ton imprimante et les devices du réseau kids sont sur des plans d'adressage d'IP différents et n'ont, par défaut, aucune raison de se voir. Il est donc normal de ne pas pouvoir atteindre l'interface web de ton imprimante depuis un appareil situé sur le réseau Kids.

 

 

 

[silversmarty]

Merci @church

Mhm, certains points ne sont pas encore très clairs pour moi : 

• En effet je dois avoir 2 VLAN distincts (puisque j'ai 2 LAN distincts, qui sont définis en fonctions des prises Ethernet du rt2600ac, et/ou des SSID Wifi). C'est un peu comme monsieur Jourdain qui fait de la prose sans le savoir ... Et donc mon imprimante est sur un plan d'adressage différent de mon réseau Kids.
• En revanche, cela ne devrait pas être un point bloquant puisque
  • La procédure Synology indique clairement qu'on peut faire communiquer les appareils malgré cela
  • Tu es dans la même situation, et je comprends que chez toi, ça fonctionne

Je n'ai pas de switch managé, mais je n'en ai pas besoin puisque tous les appareils reliés au Switch appartiennent au même LAN (et ça me va très bien).

Du coup, je ne vois toujours pas ce qui peut bloquer ...

[church]

Hello !

Tu peux nous faire un screen de cette page, stp ? Centre de réseau > réseau local > balises VLAN

Il y a 4 heures, silversmarty a dit :

Je n'ai pas de switch managé, mais je n'en ai pas besoin puisque tous les appareils reliés au Switch appartiennent au même LAN (et ça me va très bien).

 

Sauf que, sauf erreur de ma part, les appareils rattachés au réseau Kids (connectés via le Wifi sur un SSID dédié, j'imagine) et situés sur un autre VLAN avec un autre plan d'adressage IP, ne communiqueront pas avec tout ce qui est relié derrière le switch non managé qui ne doit laisser passer que les trames du réseau principal non taggé.

Objectivement, la seule différence entre ta config et la mienne semble bien être la présence d'un switch managé, donc...

Je laisse éventuellement d'autres que moi plus calés apporter leur science !

[silversmarty]

Et voici : 

 

Le switch (non managé, sur le Port Ethernet 1) et tous les équipements qui sont dessus sont sur le réseau des enfants (GallaKids), le réseau principal est lui sur les ports 2,3,4.

Merci

[church]

Ton imprimante est branché sur un des ports 2,3,4 ou en wifi sur un SSID affecté au réseau principal ?

Pour moi, dans cette configuration, tout ce qui est branché sur le port 1 et donc sur le switch non managé peut communiquer avec tout ce qui se trouve sur ce segment de réseau mais est actuellement isolé du réseau principal. En effet, les trames issues des autres périphériques du réseau principal connectées sur les ports 2,3,4 et à destination de Gallakids sont taggées avec un VLAN ID 10 que ton switch non managé ne laissera pas passer.

Pour moi tu as deux solutions :

- avoir un switch managé supportant les VLAN qui pourra acheminer tous les paquets/trames taggés et assurer une gestion fine en segmentant ton réseau.

- n'avoir qu'un seul réseau principal, avec éventuellement plusieurs SSID associés, et mettre ta couche de filtrage pour l'accès internet des enfants à un autre niveau : Safe Acces (profil par enfant en fonction de son âge par exemple et pour chacun de ses appareils, catégories de site autorisés, planification horaire et quotas), Wifi Connect (planification et disponibilité d'un réseau wifi, portail), DNS publics ou personnalisés avec contrôle parental (NextDNS, Adguard, CleanBrowsing, Cloudflare, OpenDNS/Umbrella, DNS0.eu). Il est parfaitement possible de combiner ces dispositifs pour renforcer le contrôle parental.

Je laisse une autre bonne âme apporter son avis.

Modifié le 29 septembre 2023 par church

[silversmarty]

L'imprimante est en Wifi sur le réseau principal (sur un SSID dédié au réseau principal, donc).

Lors de mes tests, j'utilise mon PC :

• En Wifi sur le réseau principal : j'accède bien à la page web de l'imprimante sur http://192.168.0.196
• En Wifi sur le réseau Kids : la page ne se charge jamais

Dans la mesure où je fais tout en WiFi, je sors de la problématique de ports ethernet/VLAN que tu évoques, il me semble... Plus j'y pense, et plus je me dis que le problème doit être ailleurs (mais où ?). Pour aider, voici mon réseau (simplifié) :

• Bbox en DHCP sur le 192.168.1.XX
  • rt2600ac qui gère deux réseaux (principal et Kids) 
    • Wifi principal en 192.168.0.XX
      • Imprimante sur 192.168.0.106
      • PC (pour tester la connexion à l'imprimante)
    • Wifi Kids en 192.168.3.XX
      • PC (pour tester la connexion à l'imprimante)

[church]

• Citation

  En Wifi sur le réseau Kids : la page ne se charge jamais

  C'est normal : les appareils sont sur un autre plan d'adressage des IP

• Citation

  Dans la mesure où je fais tout en WiFi, je sors de la problématique de ports ethernet/VLAN que tu évoques, il me semble

  C'est faux : ton réseau wifi Kids est affecté à un segment de réseau différent, avec un plan d'adressage d'IP différent et des trames/paquets taggées sur le VID 10.

[silversmarty]

Tu as raison : sur deux WiFi différents, je suis sur deux VLAN différents.

Néanmoins, le mode opératoire de Synology ne parle pas du tout de VLAN (ou alors j'ai mal lu) : il décrit "simplement" comment partager un périphérique entre deux réseaux LAN, or c'est bien ma situation .. . Du coup je me demande comment le mettre en oeuvre ? Est-ce qu'il manque un paragraphe dans le mode opératoire de Syno qui devrait décrire la config des VLAN ? Ou la présence d'un Switch managé (mais bon, en Wifi , ...) ?

[church]

Je pense que ça fonctionnerait si tu supprimais ton switch non managé.

Pour tester, tu pourrais :

- supprimer l'isolation sur les deux réseaux

- appliquer les instructions Synology

- configurer le port 1 comme suit :

- brancher UNIQUEMENT un PC sur le port 1 et lancer une impression (c'est bien le cas de figure décrit par Synology)

--> je pense que ça marcherait.

Si ça fonctionne, tu pourras ensuite tenter de remettre ton switch non managé juste après le routeur sur le port 1 pour vérifier ou constater si c'est lui qui casse tout. Et si oui, on en reviendra aux deux solutions proposées plus haut 🙂

 

Modifié le 29 septembre 2023 par church

[silversmarty]

Hello @church !

Après moult péripéties, j'ai réussi ! J'ai d'abord complètement débranché mon rt2600ac (même de la bbox sur laquelle il était) puis j'ai refait toutes les manip, avec succès ! j'ai enfin ajouté la bbox, le switch, et ça marche toujours !

Note : ne pas se fier à une commande ping pour vérifier si le firewall marche : l'IP cible répondra même si le firewall bloque les données.

J'ai donc pu mettre mon imprimante sur un sous réseau, puis ma domotique (sur Home Assistant), et enfin la relier à mon nom de domaine via une redirection de ports et un proxy inversé. 

Mercià toi 😉 

[Lelolo]

Le problème est maintenant résolu. N'hésitez pas à ouvrir un nouveau message en cas de problème. Ceci est une réponse automatique.