Le 21/07/2020 à 14:52, Yohann QUINTON a écrit :
Si tu as :
Client 1 -| Client 2 -|- SSID Public --(Vlan 10)--| Client 3 -| | (Switch Netgear) --(Vlan 10 et 20)-- Zyxel USG60 -- Internet Client 4 -| | Client 5 -|- SSID Privé --(Vlan 20)--| Client 6 -|
C'est un peu mon archi, sauf le switch qui est un zyxel 1900e, manageable d'après la doc.
Donc si je te comprends bien (ainsi que ceux qui m'ont répondu en privé), actuellement ça ne marche pas juste parceque le switch ne laisse pas passer les vtags et donc le routeur zyxel n'est pas capable de faire la distinction entre les != réseau
Merci pour la rapidité et la qualité des réponses,!
Grosso Modo :
1/ Ton AP à priori tag les clients qui sont connectés via 2 SSID et sort des Trames TCP/IP avec un id de vlan qui va bien. 2/ Ton switch Netgear : Il est non manageable et il laisse passer les trames TCP/IP tel quel ou alors il est manageable et tu dois faire passer les VLANs tag (du port de ton AP vers le port de ton Zyxel /!\ nota béné : Tag et pas Untagged /!). 3/ Ton Zyxel USG60 tu dois le setup pour qu'il retourne 2 plages d'IP différentes (tu crée 2 entrée avec l'ID de Vlan 10 et l'ID de Vlan 20 sur le port LAN 1 et tu fais deux configs différentes).
Si tu fais tout ça tu dois avoir 2 réseaux séparés.
Cordialement
On 2020-07-21 14:39, Thomas Constans wrote:
J'ai vu cette doc,
Sauf que dans cette config c'est tout mon trafic wifi qui va avoir le même tag (public et privé) ou j'ai raté un truc ?
Cordialement,
Le 21/07/2020 à 14:19, Yohann QUINTON a écrit :
first result video : https://www.youtube.com/watch?v=ewIjIiWlBSI
On 2020-07-21 14:09, Thomas Constans via FRsAG wrote:
Bonjour la liste,
J'ai un réseau wifi à base de bornes netgear WAC510 avec un ssid public utilisant le portail captif intégré et un ssid privé pour utilisation interne, raccordé au LAN
Bien sur je voudrais que les clients du réseau public ne puissent pas accéder aux ressources sur le LAN
Toutes les bornes sont raccordées à un switch POE, lui-même raccordé à mon routeur zyxel USG60
J'imagine que pour parvenir à mes fins, je dois utiliser des vlans.
Ma configuration wifi (je passe par le portail netgear) je peux assigner des id VLAN différents en fonction du wifi utilisé.
Par contre coté zyxel, je pense devoir filtrer mon trafic en fonction de cet id, mais je ne vois pas comment faire, ni même si c'est possible.
Des pistes ?
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Ca doit effectivement être ça ton problème si tu n'a rien fait pour le configurer sur ton Zyxel 1900e.
Il faut donc faire le setup comme il faut (à priori avec ça https://support.zyxel.eu/hc/fr/articles/360001390814-Comment-configurer-le-V...)
Et que tu configure : le Vlan 10 Tagged sur le port de ton AP le Vlan 20 Tagged sur le port de ton AP le Vlan 10 et le Vlan 20 Tagged sur le port de ton Zyxel USG60
Et il devrait du coup laisser passser les trames marqués par un ID de VLAN entre ton AP et ton Routeur ^^
On 2020-07-21 14:57, Thomas Constans wrote:
Le 21/07/2020 à 14:52, Yohann QUINTON a écrit :
Si tu as :
Client 1 -| Client 2 -|- SSID Public --(Vlan 10)--| Client 3 -| | (Switch Netgear) --(Vlan 10 et 20)-- Zyxel USG60 -- Internet Client 4 -| | Client 5 -|- SSID Privé --(Vlan 20)--| Client 6 -|
C'est un peu mon archi, sauf le switch qui est un zyxel 1900e, manageable d'après la doc.
Donc si je te comprends bien (ainsi que ceux qui m'ont répondu en privé), actuellement ça ne marche pas juste parceque le switch ne laisse pas passer les vtags et donc le routeur zyxel n'est pas capable de faire la distinction entre les != réseau
Merci pour la rapidité et la qualité des réponses,!
Grosso Modo :
1/ Ton AP à priori tag les clients qui sont connectés via 2 SSID et sort des Trames TCP/IP avec un id de vlan qui va bien. 2/ Ton switch Netgear : Il est non manageable et il laisse passer les trames TCP/IP tel quel ou alors il est manageable et tu dois faire passer les VLANs tag (du port de ton AP vers le port de ton Zyxel /!\ nota béné : Tag et pas Untagged /!). 3/ Ton Zyxel USG60 tu dois le setup pour qu'il retourne 2 plages d'IP différentes (tu crée 2 entrée avec l'ID de Vlan 10 et l'ID de Vlan 20 sur le port LAN 1 et tu fais deux configs différentes).
Si tu fais tout ça tu dois avoir 2 réseaux séparés.
Cordialement
On 2020-07-21 14:39, Thomas Constans wrote:
J'ai vu cette doc,
Sauf que dans cette config c'est tout mon trafic wifi qui va avoir le même tag (public et privé) ou j'ai raté un truc ?
Cordialement,
Le 21/07/2020 à 14:19, Yohann QUINTON a écrit :
first result video : https://www.youtube.com/watch?v=ewIjIiWlBSI
On 2020-07-21 14:09, Thomas Constans via FRsAG wrote:
Bonjour la liste,
J'ai un réseau wifi à base de bornes netgear WAC510 avec un ssid public utilisant le portail captif intégré et un ssid privé pour utilisation interne, raccordé au LAN
Bien sur je voudrais que les clients du réseau public ne puissent pas accéder aux ressources sur le LAN
Toutes les bornes sont raccordées à un switch POE, lui-même raccordé à mon routeur zyxel USG60
J'imagine que pour parvenir à mes fins, je dois utiliser des vlans.
Ma configuration wifi (je passe par le portail netgear) je peux assigner des id VLAN différents en fonction du wifi utilisé.
Par contre coté zyxel, je pense devoir filtrer mon trafic en fonction de cet id, mais je ne vois pas comment faire, ni même si c'est possible.
Des pistes ?
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Merci Yohann,
Le 21/07/2020 à 15:03, Yohann QUINTON a écrit :
Ca doit effectivement être ça ton problème si tu n'a rien fait pour le configurer sur ton Zyxel 1900e.
Ce n'est pas moi qui ai installé le switch, et j'ignore tout de sa configuration.
Je vais attendre la rentrée pour faire un reset usine
Il faut donc faire le setup comme il faut (à priori avec ça https://support.zyxel.eu/hc/fr/articles/360001390814-Comment-configurer-le-V...)
Et que tu configure : le Vlan 10 Tagged sur le port de ton AP le Vlan 20 Tagged sur le port de ton AP le Vlan 10 et le Vlan 20 Tagged sur le port de ton Zyxel USG60
Et il devrait du coup laisser passser les trames marqués par un ID de VLAN entre ton AP et ton Routeur ^^
On 2020-07-21 14:57, Thomas Constans wrote:
Le 21/07/2020 à 14:52, Yohann QUINTON a écrit :
Si tu as :
Client 1 -| Client 2 -|- SSID Public --(Vlan 10)--| Client 3 -| | (Switch Netgear) --(Vlan 10 et 20)-- Zyxel USG60 -- Internet Client 4 -| | Client 5 -|- SSID Privé --(Vlan 20)--| Client 6 -|
C'est un peu mon archi, sauf le switch qui est un zyxel 1900e, manageable d'après la doc.
Donc si je te comprends bien (ainsi que ceux qui m'ont répondu en privé), actuellement ça ne marche pas juste parceque le switch ne laisse pas passer les vtags et donc le routeur zyxel n'est pas capable de faire la distinction entre les != réseau
Merci pour la rapidité et la qualité des réponses,!
Grosso Modo :
1/ Ton AP à priori tag les clients qui sont connectés via 2 SSID et sort des Trames TCP/IP avec un id de vlan qui va bien. 2/ Ton switch Netgear : Il est non manageable et il laisse passer les trames TCP/IP tel quel ou alors il est manageable et tu dois faire passer les VLANs tag (du port de ton AP vers le port de ton Zyxel /!\ nota béné : Tag et pas Untagged /!). 3/ Ton Zyxel USG60 tu dois le setup pour qu'il retourne 2 plages d'IP différentes (tu crée 2 entrée avec l'ID de Vlan 10 et l'ID de Vlan 20 sur le port LAN 1 et tu fais deux configs différentes).
Si tu fais tout ça tu dois avoir 2 réseaux séparés.
Cordialement
On 2020-07-21 14:39, Thomas Constans wrote:
J'ai vu cette doc,
Sauf que dans cette config c'est tout mon trafic wifi qui va avoir le même tag (public et privé) ou j'ai raté un truc ?
Cordialement,
Le 21/07/2020 à 14:19, Yohann QUINTON a écrit :
first result video : https://www.youtube.com/watch?v=ewIjIiWlBSI
On 2020-07-21 14:09, Thomas Constans via FRsAG wrote:
Bonjour la liste,
J'ai un réseau wifi à base de bornes netgear WAC510 avec un ssid public utilisant le portail captif intégré et un ssid privé pour utilisation interne, raccordé au LAN
Bien sur je voudrais que les clients du réseau public ne puissent pas accéder aux ressources sur le LAN
Toutes les bornes sont raccordées à un switch POE, lui-même raccordé à mon routeur zyxel USG60
J'imagine que pour parvenir à mes fins, je dois utiliser des vlans.
Ma configuration wifi (je passe par le portail netgear) je peux assigner des id VLAN différents en fonction du wifi utilisé.
Par contre coté zyxel, je pense devoir filtrer mon trafic en fonction de cet id, mais je ne vois pas comment faire, ni même si c'est possible.
Des pistes ?
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Tu peux pas mettre des ACL sur les AP pour les clients qui passent par le portail captif ?
Le 21 juil. 2020 à 15:56, Thomas Constans via FRsAG frsag@frsag.org a écrit :
Merci Yohann,
Le 21/07/2020 à 15:03, Yohann QUINTON a écrit :
Ca doit effectivement être ça ton problème si tu n'a rien fait pour le configurer sur ton Zyxel 1900e.
Ce n'est pas moi qui ai installé le switch, et j'ignore tout de sa configuration.
Je vais attendre la rentrée pour faire un reset usine
Bonjour Thomas,
La WAC510 a par défaut son IP de management en VLAN 1 et son SSID en VLAN 1, par conséquent tous périphériques se connectant au SSID VLAN 1 sort de la borne en Untagged. Si tu assignes un second SSID avec un VLAN Id 10 alors le trafic sortant de l'AP de cet SSID sera tagged. Un switch unmanaged laisse passer tous types de trafic (Tagged et untagged). Si ton trafic vlan 10 ne remonte pas jusqu'au USG60 c'est que le switch supporte le 802.1Q (donc un managed switch/ smart switch)et n'étant pas configuré il bloque les paquets Tagged et laisse passer tous les paquets untagged (vlan 1)
Cordialement,
Jonathan Delcor Avant-vente Netgear
-----Original Message----- From: FRsAG frsag-bounces@frsag.org On Behalf Of Yohann QUINTON Sent: 21 July 2020 15:03 To: Thomas Constans thomas@opendoor.fr Cc: frsag frsag@frsag.org Subject: Re: [FRsAG] Séparation wifi privé et public
[EXTERNAL EMAIL] DO NOT CLICK links or attachments unless you recognize the sender and know the content is safe.
Ca doit effectivement être ça ton problème si tu n'a rien fait pour le configurer sur ton Zyxel 1900e.
Il faut donc faire le setup comme il faut (à priori avec ça https://urldefense.proofpoint.com/v2/url?u=https-3A__support.zyxel.eu_hc_fr_... )
Et que tu configure : le Vlan 10 Tagged sur le port de ton AP le Vlan 20 Tagged sur le port de ton AP le Vlan 10 et le Vlan 20 Tagged sur le port de ton Zyxel USG60
Et il devrait du coup laisser passser les trames marqués par un ID de VLAN entre ton AP et ton Routeur ^^
On 2020-07-21 14:57, Thomas Constans wrote:
Le 21/07/2020 à 14:52, Yohann QUINTON a écrit :
Si tu as :
Client 1 -| Client 2 -|- SSID Public --(Vlan 10)--| Client 3 -| | (Switch Netgear) --(Vlan 10 et 20)-- Zyxel USG60 -- Internet Client 4 -| | Client 5 -|- SSID Privé --(Vlan 20)--| Client 6 -|
C'est un peu mon archi, sauf le switch qui est un zyxel 1900e, manageable d'après la doc.
Donc si je te comprends bien (ainsi que ceux qui m'ont répondu en privé), actuellement ça ne marche pas juste parceque le switch ne laisse pas passer les vtags et donc le routeur zyxel n'est pas capable de faire la distinction entre les != réseau
Merci pour la rapidité et la qualité des réponses,!
Grosso Modo :
1/ Ton AP à priori tag les clients qui sont connectés via 2 SSID et sort des Trames TCP/IP avec un id de vlan qui va bien. 2/ Ton switch Netgear : Il est non manageable et il laisse passer les trames TCP/IP tel quel ou alors il est manageable et tu dois faire passer les VLANs tag (du port de ton AP vers le port de ton Zyxel /!\ nota béné : Tag et pas Untagged /!). 3/ Ton Zyxel USG60 tu dois le setup pour qu'il retourne 2 plages d'IP différentes (tu crée 2 entrée avec l'ID de Vlan 10 et l'ID de Vlan 20 sur le port LAN 1 et tu fais deux configs différentes).
Si tu fais tout ça tu dois avoir 2 réseaux séparés.
Cordialement
On 2020-07-21 14:39, Thomas Constans wrote:
J'ai vu cette doc,
Sauf que dans cette config c'est tout mon trafic wifi qui va avoir le même tag (public et privé) ou j'ai raté un truc ?
Cordialement,
Le 21/07/2020 à 14:19, Yohann QUINTON a écrit :
first result video : https://urldefense.proofpoint.com/v2/url?u=https-3A__www.youtube.co m_watch-3Fv-3DewIjIiWlBSI&d=DwIFAw&c=mPqdMxlQPdltZylzF3sRPA&r=3oi5o SbOinteb9lyJOMnS1o0k4qGuboX8LKV5aQwFGs&m=tCue1AbNrgr-LlmHe_wXWv2S59 IBIpxdU-Ua4HsmBD4&s=MR84IjcT_spaWm2JfJapQ1Q92ylJvwCXbUTVV9Rk6K8&e=
On 2020-07-21 14:09, Thomas Constans via FRsAG wrote:
Bonjour la liste,
J'ai un réseau wifi à base de bornes netgear WAC510 avec un ssid public utilisant le portail captif intégré et un ssid privé pour utilisation interne, raccordé au LAN
Bien sur je voudrais que les clients du réseau public ne puissent pas accéder aux ressources sur le LAN
Toutes les bornes sont raccordées à un switch POE, lui-même raccordé à mon routeur zyxel USG60
J'imagine que pour parvenir à mes fins, je dois utiliser des vlans.
Ma configuration wifi (je passe par le portail netgear) je peux assigner des id VLAN différents en fonction du wifi utilisé.
Par contre coté zyxel, je pense devoir filtrer mon trafic en fonction de cet id, mais je ne vois pas comment faire, ni même si c'est possible.
Des pistes ?
Liste de diffusion du FRsAG https://urldefense.proofpoint.com/v2/url?u=http-3A__www.frsag.org_ &d=DwIFAw&c=mPqdMxlQPdltZylzF3sRPA&r=3oi5oSbOinteb9lyJOMnS1o0k4qGu boX8LKV5aQwFGs&m=tCue1AbNrgr-LlmHe_wXWv2S59IBIpxdU-Ua4HsmBD4&s=tfn _nOw7iAmd1m5GOxvF9oKObfHeX3isbmJLFErPcfc&e=
Liste de diffusion du FRsAG https://urldefense.proofpoint.com/v2/url?u=http-3A__www.frsag.org_& d=DwIFAw&c=mPqdMxlQPdltZylzF3sRPA&r=3oi5oSbOinteb9lyJOMnS1o0k4qGubo X8LKV5aQwFGs&m=tCue1AbNrgr-LlmHe_wXWv2S59IBIpxdU-Ua4HsmBD4&s=tfn_nO w7iAmd1m5GOxvF9oKObfHeX3isbmJLFErPcfc&e=
_______________________________________________ Liste de diffusion du FRsAG https://urldefense.proofpoint.com/v2/url?u=http-3A__www.frsag.org_&d=DwI... This e-mail, including attachments, may include confidential and/or proprietary information, and may be used only by the person or entity to which it is addressed. If the reader of this e-mail is not the intended recipient or his or her authorized agent, the reader is hereby notified that any dissemination, distribution or copying of this e-mail is prohibited. If you have received this e-mail in error, please notify the sender by replying to this message and delete this e-mail immediately.
-
David Ponzone -
Jonathan Delcor -
Thomas Constans -
Yohann QUINTON