Je souhaite mettre en place une configuration où la plupart des appareils sont sur un VPN et quelques-uns pas du tout. J’ai un ERX et je veux simplement brancher 2 commutateurs sur eth1 et eth2. L’un serait pour tous les appareils que je veux sur le VPN, l’autre pas de VPN. Si eth1 est le commutateur VPN, est-il possible de ne faire passer OpenVPN sur ce port uniquement ? Je ne trouve aucune information à ce sujet, peut-être parce que ce n’est pas possible ?
Cela n’a pas de lien avec Ubiquiti, mais si c’est possible, je me demande si les appareils utilisant Syncthing qui sont sur eth1 et eth2 auront des problèmes pour se synchroniser ?
C’est totalement possible, je ne recommanderais pas de le faire cependant. Le commentaire concernant les VLANs est complètement inutile. Cela n’a absolument rien à voir avec ce que vous cherchez. Malheureusement, il y a beaucoup de gens sur ce subreddit qui veulent être utiles mais n’ont aucune idée de ce dont ils parlent.
Chaque fois que vous prenez une décision de routage basée sur autre chose que l’adresse IP de destination, vous devez utiliser un routage basé sur la politique (techniquement, vous pourriez avoir plusieurs routeurs virtuels, mais c’est de la pédanterie). Plutôt que d’avoir ceci sur deux ports physiques sur le routeur, je vous recommande de repenser cela en termes d’adresses MAC sources ou d’avoir ces hôtes dans un sous-réseau différent.
De toute façon, si vous voulez faire cela, vous devez soit apprendre beaucoup de choses sur le sujet (pas d’offense, mais votre message donne l’impression que vous avez une compréhension de base du réseau).
Pour approfondir, puisque visiblement mon commentaire original n’a pas été totalement compris par certains, voici. Une recherche Google rapide pour VLANs vous montrera que c’est exactement ce que vous voulez. Les VLANs sont utilisés pour segreguer le trafic réseau en fonction des ports. Un port avec un commutateur aura tous les appareils VPN, et un autre port avec un commutateur aura tous les appareils non VPN. Vous pouvez utiliser les VLANs pour séparer le trafic réseau entre les ports. Voici quelque chose pour vous aider à démarrer https://help.ubnt.com/hc/en-us/articles/222183968-Intro-to-Networking-Introduction-to-Virtual-LANs-VLANs-and-Tagging. Tout ce que vous avez à faire ensuite, c’est de vous assurer que votre connexion VPN ne route qu’à travers l’interface que vous souhaitez utiliser pour le VPN.
Avant de dire “Cela n’a absolument rien à voir avec ce que vous cherchez. Malheureusement, il y a beaucoup de gens sur ce subreddit qui veulent être utiles mais n’ont aucune idée de ce dont ils parlent,” je vous conseillerais de faire un peu de recherche et peut-être essayer de comprendre le post de OP. OP ne veut pas de règles de routage compliquées basées sur les adresses MAC. Il veut brancher des appareils sur un commutateur pour les faire passer par le VPN, et un autre commutateur pour ne pas passer par le VPN. Voir mon nouveau commentaire pour les détails (bases) sur le fonctionnement des VLANs et leur application dans cette situation.
Il veut brancher des appareils sur un commutateur pour les faire passer par le VPN et un autre pour ne pas passer par le VPN.
Il veut que la décision de routage change en fonction de quelque chose d’autre que l’adresse IP de destination. Cela nécessite par définition un routage basé sur la politique.
Les VLANs sont utilisés pour segreguer le trafic réseau selon les ports.
Ce genre de déclaration sonne comme venant de quelqu’un qui ne sait pas ce que sont les VLANs ou pourquoi ils sont hors sujet ici. De plus, il parle d’une interface séparée, ce qui n’est pas un VLAN séparé. Si vous aviez lu votre lien, vous sauriez que cette séparation consiste à déplacer des choses dans un sous-réseau séparé, afin d’utiliser des règles de pare-feu sur le routeur pour bloquer certains traffics.
Vous ne pouvez pas modifier les décisions de routage uniquement avec une règle de pare-feu, ce n’est pas comment fonctionne un pare-feu. Vous avez besoin de PBR pour modifier la table de routage en fonction d’une règle de pare-feu, il n’y a pas d’alternative.
Personnellement, je gère le réseau de 8 sites séparés tous reliés par un VPN avec du matériel Ubiquiti. Nous avons environ 60 VLANs différents et 15 liens VPN avec un mélange d’IPsec et d’OpenVPN comme celui dont OP parlait. Nous avons aussi plusieurs WAN sur certains sites et utilisons le PBR pour faire quelque chose de très similaire à ce que demande OP. J’ai déjà fait cela, tu n’as quasiment aucune expérience même avec quelque chose d’aussi simple que les VLANs. Si vous n’êtes pas un professionnel du réseau, arrêtez de tromper les gens avec vos suggestions idiotes.
Mais si vous pensez encore avoir raison, pourquoi ne pas poster une configuration réelle ? Vous prétendez que les VLANs sont la réponse, alors prouve-le. Postez la configuration réelle nécessaire pour qu’un EdgeRouter route le trafic via un VPN basé sur le port physique un jour prochain. Quand vous ne pourrez pas faire cela en un jour, je posterai la solution exacte, avec toutes les commandes nécessaires pour faire exactement ce qu’il demande. /u/surf9012, si tu veux que je te donne des commandes spécifiques à ta configuration existante sur les ports et sous-réseaux que tu utilises déjà, tu devras poster ta configuration. Tu peux faire cela en te connectant en CLI et en tapant