VLAN vs Firewall

MrSpace

MrSpace

Legacy Member
Salut MR geeks

je suis en phase finale de setup de mon home network. J'ai vraiment de la misère à comprendre les vlan et les switch layer 2 vs layer 3 et le firewall... Je veux faire ca bien tant qu'à le faire.

J'ai mettons 4 cameras IP qui vont à mon NVR hikvision direct, et lui est pluggé sur ma switch normale qui elle doit parler a internet (j'imagine rien d'autre0. J'ai aussi kek autres cossins wifi comme des chromecasts ou des TV connectées filaire. Je regardais les vlan et c'est bienn beau, mais si tu as plex ca veut dire ta TV a pas le choix d'être sur le même vlan que ton NAS, donc pas d'isolation de ce niveau, même chose pour ton chromecast qui peut pas être web uniquement si tu stream du plex?

Donc j'imagine que vlan je mets juste ce qui est 100% séparé (genre rien) et tout le reste du contrôle se fait via le firewall dans mon UDP Pro?

heeeellllpppp!
 
Check des video youtube sur la base du network mais en gros voice :

Un vlan c'est un tag associé a un subnet. Un subnet c'est un segment de réseau genre (192.168.1.0/24) c'est un subnet, 192.168.2.0/24 c'est un autre subnet etc...

Switch layer 2 va juste faire des vlan mais ne vas pas les router car elle travail juste avec les mac adresse, tu va avoir besoin d'un routeur/firewall pour faire la jonction entre tes vlan. Une switch layer 3 travaille aussi avec les adresses IP. (Layer 2 et Layer 3 du modèle OSI)

Oui, plusieurs device avec du auto discover vont chercher sur le meme subnet donc ca fait du sens de mettre tout le media sur le même subnet

Un firewall va plus faire la police entre l'internet et ton réseau local ou entre différent segments de ton réseau local. IE le vlan guest va juste permettre internet mais pas le réseau local. Tu va permettre a ton lan de controler le IoT mais pas l'internet.

J'irais avec un vlan pour ma famille et moi et un vlan guest pour pas que les invités puisent accéder à mon nas avec mes recherches.

Si tu as de la voip ou que tu as un setup de streaming, c'est différent. la tu peux prioriser le traffic avec différents vlan. Ton firewall va priorisé les paquets de voix avant ceux d'internet normal par exemple car la voix c'est real time, si tu perd le paquet c'est fini

Tu pourrais aussi avoir un vlan IoT pour les cossins mais a moins d'en avoir en sacrament, ça sert a rien selon moi pour un setup résidentiels, je le motterais dans le même vlan que mes pc.
 
Ma maison va être louée sur Airbnb parfois faque je capote un peu plus.

Je veux pas qqn plug un ordi dans le RJ45 de la tv pis puisse aller sur mon NAS malgré que le NAS a access control faque peut être je suis ok de même.

Sent from my Pixel 6 Pro using Tapatalk
 
MrSpace said:
Ma maison va être louée sur Airbnb parfois faque je capote un peu plus.

Je veux pas qqn plug un ordi dans le RJ45 de la tv pis puisse aller sur mon NAS malgré que le NAS a access control faque peut être je suis ok de même.

Sent from my Pixel 6 Pro using Tapatalk
Click to expand...

T'as toujours l'option de shut down le NAS ou juste le débrancher du réseau quand t'es pas la?

Personnellement je n'utilise des VLAN que pour le travail pour séparer les usagers VPN des usagers onsite et des usagers du WIFI. Donc j'ai 3 VLANs qui ont les 3 accès a internet mais 2 des 3 ne voient qu'une partie du LAN corpo. i.e. les systèmes nécessaires.

Essentiellement un usager connecté au VPN ou au Wi-Fi pourra pas imprimer sur l'imprimante couleur mais les usagers LAN corpo oui.

Les usagers VPN peuvent pas aller ailleurs que l'ERP et certains dossiers partagés. Les usagers Wi-Fi ont uniquement accès a Internet tandis que les usagers LAN corpo peuvent avoir accès a tout selon leur groupe AD.


Pour la maison je complique pas ça. Mon routeur Wi-Fi fait un guest network si j'ai des amis qui viennent selon le niveau de trust que j'ai je leur donne mon mot de passe wifi ou je leur crée un wifi guest qui expire après la soirée.
 
MrSpace said:
Ma maison va être louée sur Airbnb parfois faque je capote un peu plus.

Je veux pas qqn plug un ordi dans le RJ45 de la tv pis puisse aller sur mon NAS malgré que le NAS a access control faque peut être je suis ok de même.

Sent from my Pixel 6 Pro using Tapatalk
Click to expand...

Tu peux mettre en place du MAC filtering pour ça.

Le port de switch va juste accepter la mac de ta Tv pis disable le port pour x temps si quelqu'un plug d'autre choses. Je ferais ça. Avec un wifi guest pis tu disable le tiens quand c'est loué.

OK OUI ça se clone une mac mais rendu la ya personne qui va se faire chier a faire ça pour accéder a ton réseau de maison... C'est 007 comme scénario pas mal
 
weezo said:
Tu peux mettre en place du MAC filtering pour ça.

Le port de switch va juste accepter la mac de ta Tv pis disable le port pour x temps si quelqu'un plug d'autre choses. Je ferais ça. Avec un wifi guest pis tu disable le tiens quand c'est loué.

OK OUI ça se clone une mac mais rendu la ya personne qui va se faire chier a faire ça pour accéder a ton réseau de maison... C'est 007 comme scénario pas mal
Click to expand...
Ahaha pour voir des photos de bébé non pas vraiment.

Donc fuck off les VLAN sauf si vraiment nécessaire. Un guest Network pour internet only des visiteurs pis le reste je manage MAC address et ports dans le router/firewall.

Sent from my Pixel 6 Pro using Tapatalk
 
MrSpace said:
Ahaha pour voir des photos de bébé non pas vraiment.

Donc fuck off les VLAN sauf si vraiment nécessaire. Un guest Network pour internet only des visiteurs pis le reste je manage MAC address et ports dans le router/firewall.

Sent from my Pixel 6 Pro using Tapatalk
Click to expand...

Ta une maison à louer, pas une compagnie de 400 devices / 20 serveurs / une dmz avec des serveurs ouvert sur internet.

Moi je ferais comme tu dis, seul bémol, si tu as la tv sur ton lan a toi et le chrome cast aussi, les guest ne pourront peut être pas s'en servir mais rendu là...

Tu pourrais mettre la tv sur le vlan guest mais tu devras changer de wifi quand tu veux t'en servir.
 
weezo said:
Tu peux mettre en place du MAC filtering pour ça.

Le port de switch va juste accepter la mac de ta Tv pis disable le port pour x temps si quelqu'un plug d'autre choses. Je ferais ça. Avec un wifi guest pis tu disable le tiens quand c'est loué.

OK OUI ça se clone une mac mais rendu la ya personne qui va se faire chier a faire ça pour accéder a ton réseau de maison... C'est 007 comme scénario pas mal
Click to expand...

J'ai jamais eu besoin d'utiliser le filtering MAC , je comprend pas pourquoi ça serais le nerf de guerre ici. Je vais faire un shemas si j'ai le temps de son installation c'est pas super clair.
 
paradigmqc said:
J'ai jamais eu besoin d'utiliser le filtering MAC , je comprend pas pourquoi ça serais le nerf de guerre ici. Je vais faire un shemas si j'ai le temps de son installation c'est pas super clair.
Click to expand...

Dans le sens que ta tv serait plugger sur ton reseau pis que tu veux pas que quelqun branche le cable dans un laptop.

On fait ca avec des téléphones IP de lobby ou des pc de kioske pour être sur que y'a pas un wizz qui déplug le téléphone pour brancher son laptop
 
weezo said:
Dans le sens que ta tv serait plugger sur ton reseau pis que tu veux pas que quelqun branche le cable dans un laptop.

On fait ca avec des téléphones IP de lobby ou des pc de kioske pour être sur que y'a pas un wizz qui déplug le téléphone pour brancher son laptop
Click to expand...

Pas fou pitou !

Mettre un IP statique pourrais être plus simple non?

Le monde se rendenz pas la habituellement :D
 
paradigmqc said:
Pas fou pitou !

Mettre un IP statique pourrais être plus simple non?

Le monde se rendenz pas la habituellement :D
Click to expand...

Ip statique, c'est quand même façile de voir c'est quoi l'ip sur la tv et de mettre la même. Avec le mac filtering ca prend des skills de HAXXOR.

Anyway on s'en sert plus vraiment, asteur c'est du ISE avec un certificat sur le device. Donc même si tu spoof la mac, tu n'aura pas le certificat et tu ne sera pas capable de connecter.

Juste que c'est impossible de mettre un certificat sur une TV lol
 
Nos telephones IP ont pas acces a rien d'autre que le PBX donc si un ti-smatt dans salle de conference debranche le telephone pour brancher son laptop il va trouver qu'il a pas acces a rien.

Pour le reste j'ai retenu qu'il y a encore du monde qui expose un serveur DMZ a Internet au lieu de faire du NATting avec un firewall juste pour les ports requis avec protection DDOS.
 
lord_galathon said:
Nos telephones IP ont pas acces a rien d'autre que le PBX donc si un ti-smatt dans salle de conference debranche le telephone pour brancher son laptop il va trouver qu'il a pas acces a rien.

Pour le reste j'ai retenu qu'il y a encore du monde qui expose un serveur DMZ a Internet au lieu de faire du NATting avec un firewall juste pour les ports requis avec protection DDOS.
Click to expand...

T'as même pas idée.

J'ai des clients qui ont des adresses publiques direct sur des équipements de téléphonie wide open sur internet...

Mais bon c'est pas grave c'est juste de la téléphonie...
 
RIGHT ?
shemas10.jpg
 
weezo said:
T'as même pas idée.

J'ai des clients qui ont des adresses publiques direct sur des équipements de téléphonie wide open sur internet...

Mais bon c'est pas grave c'est juste de la téléphonie...
Click to expand...

Jusqu'a temps qu'ils recoivent une facture de telephone de 8000$ pour des appels interurbains en afrique...
 
weezo said:
Le chrome cast est en wifi donc devrait etre avec les antennes avec des )}])}] dans la bonne direction.

SAUF si il utilise Ethernet over HDMI de la tv, ce qui m'étonnerais,
Click to expand...
Attends tu peux Power le chrome via HDMI? Le mien est Power usb de la tv donc pas de prise de courant mais je savais pas via HDMI???

Sent from my Pixel 6 Pro using Tapatalk
 
You must log in or register to reply here.
Back
Top