Discussion :

[fotit]

Bonsoir

j'ai un réseau avec deux serveurs AD, l'un deux fait office de serveurs DHCP pour la ZONE clients. La zone des serveurs étant en ip fixe.
ces zones sont gérées par le firewall cyberoam CR50ing, dont le relais dhcp est activé dessus.

toutes les connexions des postes de travail sont visibles par log viewer du cyberoam, via leurs ip et le username AD.

J'ai un point d'accès WIFI avec une ip fixe dans la zone clients mais n'est pas dans l'étendue dhcp. cet AP fait office de serveur dhcp pour les users wifi ( ou pour ceux qui veulent se connecter en wifi) avec une plage ip privé quelconque.
Mon problème est que tous les users qui se connectent via le wifi, je ne vois pas l'adresse ip de leurs postes ni les username, c'est comme tout le lan wifi apparait dans les logs cyberoam par l'@ip du AP.

Ma question est comment puisse-je avoir un AP wifi dans les users prennent l'ip du seveur AD DHCP?
Et que tous les users utilisant le AP doivent etre identifiés dans les logs du firewall par leurs @ip et username, mais pas avec celle de l'AP (point d'accès)?

Merci pour votre aide.

[breizhnos]

salut,
j'avoue que l'exposé n'est pas très clair....
quand tu parles de zones ... tu parles de zones AD ou de zones 'physiques' ou encore de Vlans ?

Essayes d'être un peu plus précis dans ton explication, si tu veux de l'aide ou un avis, il faut qu'on arrive à comprendre la situation sans être obligé de faire un schéma ... enfin disons que s'il fallait un schéma ce que serait l'idéal .... ca serait plutôt à toi de le faire ;-)

[cerede2000]

Une chose est sur c'est que s'il n'y a pas de VLAN ou de séparation physique ça doit être un sacré bazar !
Etant donné que le DHCP est basé sur un paquet broadcasté et que c'est le premier serveur qui reçoit le paquet qui réponds, tu aurait de grande chance de ne pas avoir une IP dans la plage voulue

[fotit]

Bonjour
voici le shéma.
Le cyberoam travaille avec des zones
zone lan
zone serveurs
le cyberoam: relais dhcp
cisco 2960 en deux vlans : lan et serveurs

le routeur wifi d-link dispose d'une @ip fixe en dehors de l'étendue dhcp
le retour d-link est dhcp pour les postes wifi

alors comment mettre un d-link dans la zone lan et que les clients wifi recoivent les @ ip du serveur dhcp pricincipal.
merci

[Invité]

C'est une très mauvaise habitude de mettre les clients wireless dans le même réseau que les clients filaire

Pour réaliser ce que tu veux faire, il faut que ton routeur D-Link supporte la fonctionnalité de DHCP Relay et que ton serveur DHCP (AD) soit joignable en IP depuis cet équipement.

Une autre solution consisterait à configurer le routeur D-Link en bridge. Ainsi, il va switcher les broadcasts DHCP directement vers le 2960/CyberRoam.

Steph

[fotit]

Bonjour
dans un premeir temps, j'ai pensé à mettre le d-link en relay dhcp, mais ce modele n'avait pas cette option.
Après , je me suis dit pourquoi mettre un routage avec un relais dhcp dans un seul segment de réseau !!

Je pense l'optique est de prolonger le réseau filaire avec le d-link wifi ,en mode point d'accès (AP).
finalement, sa configuration en AP est trés simple, et tacher juste de mettre un password wifi complexe.

quelles sont les contraintes que vous soulevez en prologeant le réseau filaire par un AP wifi?

merci

[Invité]

quelles sont les contraintes que vous soulevez en prologeant le réseau filaire par un AP wifi?

De façon générale, dans un LAN d'entreprise, on segmente par VLAN et sous-réseau IP les différents media d'accès. Dans ce scenario, on aura tendance à déployer 1 VLAN Wireless et 1 VLAN Ethernet filaire avec chacun leur réseau IP distinct. A noter en guise de remarque qu'il y a de plus en plus d'objets connectés en wireless...

Segmenter, c'est divisier pour mieux régner
La segmentation L2 facilite grandement la gestion des flux et de la sécurité.

Supposes par exemple que tu veuilles un jour déployer un accès Guest.
Rester sur le même espace d'adressage que les clients filaires constituera une faille de sécurité.
Les Guests auront accès IP à tous les autres équipements connectés.
Si tu confines le traffic wireless dans un VLAN dédié avec sa gateway sur ton firewall, tu auras la destinée de ce réseau entre tes mains. D'autant plus que ton matériel devrait permettre de monter un trunk 802.1q entre l'AP et le 2960, il sera très facile par la suite d'ajouter un nouveau VLAN dans la population wireless.

Parce que peut-être qu'un jour vous voudrez faire de la ToIP sur wireless.
Si votre ToIP wireless est dans un VLAN dédié, crois-moi que ce sera beaucoup plus simple à déployer. Tous les réglages s'effectueront au niveau du VLAN. Si tu mets tout le monde dans le même VLAN/Réseau IP, tu perds cette granularité.

Autre exemple, dans un réseau d'entreprise, d'un point de vue routage, on peut également avoir à propager le réseau IP des utilisateurs dans un domaine de routage. Dans ce scenario, si on le propage, on propage également le réseau wireless, ce qui pourrait constituer une autre faille de sécurité.

La ségrégation des flux dès le niveau 2 (VLAN) permet de déployer beaucoup plus facilement de nouveaux services.
En d'autres termes, la cartographie L2 d'un réseau devrait toujours refléter la diversité des accès physiques.


Steph

[fotit]

merci steph pour la réponse.
effectivement c'est logique
Il serait mieux dédier un vlan pour le réseau wifi