Profils VLANs chez Ubiquiti

Discussions Générales
#1

Hello les Z’amis,

C’est un peu un sujet connexe à Jeedom (réseau, ubiquiti) mais peut-être pourrez-vous m’aider car je galère depuis un bail. Plus précisément, je galère sur les profils de ports du switch pour bien isoler mon VLAN Perso du VLAN IoT.

Voici ma config et mon souci:

  • J’ai un LAN (192.168.2.x) sur le port physique LAN1 et rien sur LAN2.
  • De là, je décline sur le LAN un VLAN IoT (192.168.3.x) et un VLAN Perso (192.168.4.x). Tous en Corporate.
  • Mon NAS (un pi) est sur le VLAN Perso et a bien une adresse de ce VLAN. Il est branché directement sur le switch. Jusque là pas de souci.
  • Remarque sans doute non-importante : J’ai créé 2 SSID Wi-Fi qui renvoient sur le VLAN IoT (1 broadcasté sur les 2 AP, l’autre sur un seul mais ce n’est pas important, c’est pour des raisons de signal LR VS Lite). Les 2 AP atterrissent (l’un en direct sur le switch, l’autre via le CPL) sur des ports du switchs configurés en All , faute de mieux dans un premier temps (pour les mêmes raisons de profil de port qui m’amènent à vous mais laissons ça de côté)
  • Comme je souhaite que mon PC ait une IP fixe quel que soit le VLAN où il atterrit (car je préfère les partages NFS sur IP déterminée), j’ai résolu de créer un Wi-fi maitre sur le LAN directement et le PC a bien une IP en 192.168.2.x.
  • Si je configure le port du switch où est le NAS en « All », je peux le pinger avec le PC sur le LAN mais je crée un profile de port switch LAN+Perso (pour exclure l’IoT mais laisser passer le PC), pas moyen de le pinger. Je vous joins la config de ce profil au cas où.

Ces profils de trunk me laissent perplexes depuis le début, pas moyen d’en faire marcher un seul. Verriez-vous d’où ça peut coincer s’il vous plait ? Sinon, verriez-vous un autre set-up qui pourrait marcher à la place ?

PS : Après, même en All, l’IoT ne voit pas le NAS (ping KO) donc ça semble répondre à mon besoin et ptet que c’est normal mais intellectuellement, je ne comprends pas et ça me fout en l’air car à quoi bon avoir des profils de port en ce cas ?

Cela m’ôterait vraiment une fière chandelle du pied :stuck_out_tongue:
Capture-4

1 J'aime
#2

@Poluket @fwehrle @Sbo je sais que vous êtes assez callés dans Unifi, des idées pour notre ami ?

#3

Ce que j’ai chez moi:
Un Fw pfsense
Des switch configurables.
Et 4 antennes unifi.

J’ai 2 SSID différents qui sont sur 2 réseaux différents. Pour pouvoir les mettres sur la même antenne, je suis passé par des vlans avec et sans tag. Sur les switchs et sur l’antenne. Tu as quoi comme switch et comme routeur?

Si tu as des réseaux différents, il te faut un routeur qui permet de passer de l’un a l’autre . Il est le défaut gw de chaque réseau

#4

Merci de vos réponses. J’ai tout chez Ubiquiti:

  • un routeur USG avec qui fait bien gw sur tous les VLAN (192.168.2.1 pour le LAN, 192.168.3.1 pour l’IoT et 192.168.4.1 pour le Perso)
  • 1 switch POE 60W
  • 2 AP (le LR et le Lite)

Donc un maximum de compatibilité normalement. Plutot que multi-tagguer directement les ports, chez Ubiquiti, on crée un profile où on taggue ce qu’on veut puis on affecte le profil au port. C’est à partir de là que je coince.

Sans compter qu’après, même en arrivant à pinger le VLAN à partir du LAN, reste la question des exports NFS du VLAN vers le LAN pour lesquels je ne suis même pas sur que ce soit faisable. Bon, au moins en Samba, c’est sur que ça marche et pour simplement transférer du document, ça suffira.

#5

Salut,

Pour y voir plus clair, aurais tu un schema de ton architecture? Comme ca avec tes descriptions j’ai un peu de mal :wink:

Et peut etre qu’en mettant tout au clair il y aura quelque chose qui te saute aux yeux a toi aussi…

Freddy

#6

Bien sur ^^
voila

1 J'aime
#7

Hum ça discute Unifi par ici (merci @nebz pour le lien)

Je risque de vous embêter un peu si cela vous pose pas trop de problème.

Par contre je préfère prévenir que je ne connais pas grand chose côté réseau mais assez pour m’attirer des ennuis.

Ces sujets m’intéressent

#8

Bon alors après avoir étudié ton schéma il y a plusieurs choses qui me dérangent… Tu mélange les ports access et trunk sur ton switcvh, et ca c’est pas très bon!

J’imagine que tu as un switch managé qui sait gérer les vlan (norme 802.1q). Sinon rien ne fonctionnerait!

Soit tu met ton port en mode trunk. Dans ce cas toutes les trames réseau sont tagées avec le numéro du vlan. Mais il faut un équipement qui sache géré le 802.1q, et ça un raspberry ne sait pas le faire…

Donc il faut que ton port soit en mode access. Dans ce cas le switch envoie toutes les trames correspondant au vlan vers un port en particulier, mais sans les tager. Dans ce cas l’équipement branché sur ce port recoit les trames et les interprète sans soucis.

Avec certains switchs tu peux faire un mix des deux (j’ai ca sur mon netgear). UN vlan en particulier (appelé pvid) est en mode access sur le switch. Les autres sont en mode tagés. J’utilise ca pour une machine virtuelle dont les VM ne sont pas sur le même réseau que le controleur proxmox…)

Dans ton cas lorsque tu configures ton port en LAN+perso tu es en mode trunk. Donc tes trames réseau sont tagées… et là c’est la merde car ton NAS (raspberry) ne sait pas géré le 801.1q donc pour lui les trames réseau sont illisibles. la seule solution est donc de laisser le fameux port en access, et donc en all :confused:

Par contre sur le port de ton switch tu as uniquement le NAS qui est branché. Vlan4. Donc il faut que tu configures ce port comme étant sur le vlan4 en mode access (non tagé).
et c’est ton USG qui va faire office de routeur. Tu dois déclarer que sur le lan1 de celui tu as plusieurs vlan: vlan2, vlan3, vlan4, vlan5. Ce port sera nativement en mode trunk mais comme ton switch a l’autre bout du cable sait el gérer tu n’auras pas de soucis…
Ton USG donc doit comporter une route qui dit que tout ce qui est 192.168.2.x est redirigé vers vl2, et tout ce qui est sur 192.168.4.x est redirigé vers vl4 …

Bref je ne sais pas si je suis clair, mais ce qui est clair c’est que ta conf ne peut pas fonctionner! (et d’ailleurs du cpl sur deux vlan différents… a mon avis tu est en mode all egalement sur ce port la !)

#9

Exactement, le CPL m’impose d’etre en ALL sur son port. Pour la rasberry du NAS (contrairement aux autres qui récupèrent le VLAN par le duo switch (tag du port de l’access point) + routeur (qui file l’IP fixe qui va bien sur base de MAC), j’ai du déclarer une interface eth0.4 et grâce à ça, le fonctionnement tag/MAC a pu fonctionner aussi. Mais en effet, uniquement en Access. Bon bah voilà, j’ai à peu près tout compris, la messe est dite alors :). Ma conf fonctionne en Access, c’est déjà ça. Merci !