rj45

[Synology] Mise en place d’un sous-réseau avancé

Cet article a été rédigé il y a 3 années ! Il commence à dater, mais n'est pas forcément obsolète.. Lisez-le en gardant cela en tête !
Bonjour à tous, Aujourd’hui après la série des articles sur mes appareils Netgear, je vous présente ma nouvelle organisation réseau avec beaucoup d’entrain, car j’en suis très content et me permet de me lancer dans de nouveaux articles Synology ! Il s’agit d’une organisation réseau un peu plus complexe que celle initialement proposée ! Je pense avoir fait le tour avec mes articles sur les Syno pour la configuration réseau que j’avais, c’est pourquoi j’ai choisi de réorganiser tout ça, retourner aux fondamentaux, les bas fonds du modèle OSI ! L’objectif : Créer un réseau parallèle au réseau local de production. Ce réseau parallèle je l’appellerai "réseau expérimental" dans la suite. L’idée de ce réseau expérimental est de pouvoir manipuler et faire de la bidouille réseau sans toucher au réseau de production.
Réseau de production Réseau experimental
Utilisation Famille et invités Moi-même
Type d’accès Wifi & Ethernet Ethernet
Serveur DHCP Netgear WNDR4300 Synology DS210+
Serveur DNS Netgear WNDR4300 Synology DS210+
Ce tableau résume en quelques mots les différences entre les deux réseaux.  

I) Présentation du matériel disponible

Nous avons dans notre sac les appareils suivants :
  • Routeur/Modem FAI
  • Routeur Netgear WNDR4300
  • Serveur NAS DS210+ (Dispose d’une seule interface Ethernet)
  • Switch SafePro GS105eV2
  • 2 CPL Devolo
  • Des cables ethernet cat6 en quantité suffisante !
  Toutefois, la première remarque qu’il faut souligner est la suivante : Un serveur DS210+ ne possède qu’une SEULE interface Ethernet. Donc comment le brancher sur le réseau de production, tout en vous permettant de me lire et que mon NAS soit toujours accessible sur le réseau de production ? La réponse aurait été simple si le Syno avait eu 2 interfaces.. mais bon c’est ainsi ! 🙂 Si vous avez lu mes derniers articles avec assiduité vous devriez trouver la réponse : Cela est possible à l’aide d’un VLAN (tout du moins un pseudo VLAN !) Ca tombe bien, c’est exactement ce à quoi sert mon Switch SafePro GS105eV2 Bref, nous allons connecté le port du Syno aux deux réseau !  Ensuite, le CPL je l’ai mis car il rentre dans ma configuration réseau, mais il ne fait rien de grandiose, seulement me permettre de me connecter depuis ma chambre par cable Ethernet, là où mon routeur se trouve dans le salon.  

II) Organisation réseau choisie

C’est parti, voici le schéma des branchements de mon réseau :

 vlan1 vlan2

Rien de plus à dire là dessus, toutefois n’hésitez pas à me conseiller ou me poser des questions sur les points obscures que vous n’avez pas totalement compris.  

III) Configuration du réseau expérimental

1. Configuration du switch VLAN

Une fois branché, de base sans avoir rien configuré depuis votre ancien réseau. Vous devriez avoir votre réseau de production et le réseau expérimental confondu. A savoir que les appareils que vous voulez mettre sur votre réseau expérimental se trouvent sur le réseau de production. Pour sortir de cela, nous allons configurer dans un premier temps le switch VLAN GS105eV2. Pour cela, il me faut…. Windobs. Mince.. Bon j’ai fouillé un peu partout, les séries ProSafe c’est sympa c’est pas trop cher, mais c’est relou. Pas d’équivalent Mac ou Unix. Tout se configure depuis Windobs ! Argh je me meurs.. Bref j’ai configuré le switch de cette façon :   VLAN 1, Port 1, Port 2 VLAN2, ,Port 2, Port 3, Port 4, Port 5 [\table] Le VLAN 1 relie donc le serveur NAS au réseau de production. Ceci vous permet de me lire ! Et le VLAN 2 permet de lier le serveur NAS au réseau expérimental et d’avoir quelques ports ethernet accessibles sur ce réseau ! Voilà une bonne chose de faites. A présent notre réseau de production fonctionne et permet d’aller sur internet comme avant. Toute fois qu’en est-il du réseau expérimental.  

2. Sortir du réseau inerte

J’ai essayé de branché un cable ethernet sur un des ports du Switch et bien entendu rien ne se passe ! Pourquoi ? La réponse est simple. Vous avez brancher physique les différents appareils, néanmoins il manque le principal ! Le serveur DHCP, DNS. En effet, pour comprendre ce que sont les serveurs DHCP et DNS, faisons une petite analogie.. Imaginez-vous que vous habitez dans un patelin et que vous souhaitez envoyer une lettre à une personne. Pour faire cela de quoi avez-vous besoin à parti d’une enveloppe et d’un timbre ? Eh bien tout simplement de son adresse ! Et bien pour un réseau c’est à peu près la même chose, ici c’est le serveur DHCP donne les adresses pour savoir où envoyer les paquets. Autre analogie à présent.. Quand vous souhaitez téléphoner à une personne dont vous connaissez le nom, vous allez sur les pages blanches et vous trouvez ainsi son numéro. Eh bien un serveur DNS fait exactement la même chose, il traduit un nom de domaine en l’adresse IP. Bref, nous allons mettre ça sur pied. Vu que c’est le serveur NAS qui a cette tache, nous allons nous connecter à l’interface DSM et allez dans la section Réseau >> Interfaces  LAN. A partir de là, j’ai configuré mon interface de la façon suivante : (où le routeur est 192.168.0.1) ipv4 De cette façon je me trouve sur le sous réseau 192.168.0.0 de mon routeur Netgear et en même temps avec un masque 255.255.0.0 je peux me balader sur tout la plage des adresses 192.168.0-255.0 et donc accéder n’importe quel sous réseau en 192.168. A partir de là je configure le serveur DHCP du Syno en allant dans Réseau >> Interfaces >> LAN >> DHCP Server et je créé le sous-réseau suivant : dhcp Voilà avec ça normalement votre réseau est opérationnel, il ne reste plus qu’à tester ! En branchant un cable et voir si vous obtenez bien une IP sur la plage du serveur DHCP du Syno. Puisque sur VLAN 2, le routeur NETGEAR n’existe pas. A cette étape, j’ai encore un petit problème qui me dérange : Lors que je connecte un cable sur le switch du routeur, ce n’est pas toujours le routeur qui répond le plus vite. Souvent le Syno répond plus vite, et on se retrouve avec une IP du réseau expérimental. Par ailleurs vous noterez que l’obtention d’une IP est aléatoire, une fois on se trouve sur le réseau de production, une fois sur le réseau expérimental. Bref je cherche à retarder la réponse du DHCP du Syno de quelques millisecondes pour que le routeur face son boulot ! Bref, je vous tiendrai au courant quand j’aurai réussi à faire ça !  

3. Retransmission de l’accès à  Internet

A présent que le réseau est établi, c’est bien beau, mais l’on a toujours pas d’accès internet. Il va falloir effectuer quelques manipulations sur iptables le pare-feu par default sur Syno ! Pour cela, la première chose à faire est d’activer le Serveur VPN. Ne me demandez pas pourquoi, vous aurez une erreur de ce type sinon. Capture d’écran 2014-10-23 à 16.23.44   Une fois activez, il vous suffit de lancez les 2 commandes à chaque fois que vous redémarrez votre Syno. Je vous conseille donc je créer un petit script au démarrage de votre Syno et de le mettre dans /etc/init.d/
sysctl -w net.ipv4.ip_forward=1 iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
  Une fois cela fait, vérifiez bien que vous avez internet, personnellement c’est tout ce que j’ai eu à faire ! 🙂  

Conclusion,

J’ai dorénavant 2 réseau à la maison. Tout ça presque sans soucis ! Puisque j’ai juste quelques problèmes avec le branchement par ethernet depuis le réseau de production. Ceci sera étudié très prochainement ! ^^ En espérant pouvoir donner une solution autre que changer de Syno ou de routeur ! A présent, je vais passer à des articles plus orientés réseau, et qui donc nécessiterons une configuration avancée si vous ne voulez pas perdre internet 1 fois sur 2 en cas de mauvaise manipulation ! N’hésitez pas à me poser des questions en commentaires ou vos avis sur ce que j’ai fais pour l’améliorer !

5 réponses à “[Synology] Mise en place d’un sous-réseau avancé

  1. Bonjour,
    D’expérience, il est de bonne pratique de séparer les rôles "data storage" et "network" pour peu que ton matériel le supporte (puisqu’on est dans une config à usage domestique). C’est-à-dire que même si le Syno a des capacités réseaux correctes (DHCP, DNS, Routing, VPN, etc.), je préfèrerais le dédier uniquement à ce qu’il fait de mieux: le stockage de données.
    Pour les services réseaux, tu peux tout centraliser sur un router/firewall de type pfsense. C’est open, c’est BSD, ça tourne sur quasi n’importe quelle machine, et tu y trouveras des services réseaux paramétrables à souhait. Ce qui te permettra aussi de router correctement le trafic venant de ton routeur numéricable qui se trouve sur un subnet différent (n’oublie pas de lui ajouter les routes nécessaires, ou mieux, de le passer en mode "bridge").
    Pour ton schéma réseau, tu peux t’inspirer d’une config "router on a stick" (c’est un topic de la CCNA de Cisco), et ainsi séparer tes VLANs correctement à l’aide d’un routeur/firewall.
    En général (et quand c’est possible), les machines du réseau ont 2 connections réseau: le Front (accès prod) et le Back (accès admin).
    Ce sont quelques idées lancées comme ça, pour alimenter ta curiosité. A toi de voir ce qui est faisable dans ton environnement. Bon amusement 🙂 Contacte moi si tu veux échanger plus d’infos (je n’ai pas trouvé de page de contact sur ton site…)
    SEB

    1. Bonjour,
      Je te remercie pour tous ces conseils 🙂 En effet cela attire ma curiosité ! Ma page contact n’est visible que depuis la page d’accueil de mon site, je vais modifier ce la d’ailleurs ! sinon pour discuter par mail envoie moi un message depuis le nouveau lien en bas de page, je te répondrai par mail ! 🙂

      Mais en effet l’idée de séparer les tâches me semble tout à fait normal et justifié. Personnellement si j’avais à refaire, je referai les choses complètement différemment. Je ne sais pas si cela serait la meilleure solution encore une fois, mais elle me conviendrai probablement plus, avec le recul de l’expérience.

      Néanmoins, en vu de mes besoins, gérer un réseau expérimental de 3,4 machines max (pas branché en continu en plus) et vu que j’ai un syno, je pense que pour la petite charge nécessaire, cela n’est pas franchement nécessaire d’acheter plus de matériel, qu’en penses-tu ?

      Concernant le routeur, je pense que dès le départ j’aurai du en prendre un professionnel.. mais bon 🙁
      Autrement les firmwares opensources, j’ai eu de mauvaises expériences avec et généralement beaucoup de fonctionnalités ne sont pas supportés et j’ai d’énorme pertes de débit à 20m de la borne, alors que le firmware constructeur lui ne pose pas de problème. Vu que j’ai séparé les réseaux en une partie production et expérimental, je préfère donc qu’un routeur qui marche bien fasse son travail correctement plutôt que d’avoir une machine avec openwrt qui est bancale.. Mais j’aimerai bien que tu m’en dises plus de pfsense, car je ne connais pas du tout.. Est-ce fiable? Tu l’as déjà utilisé ? Penses-tu que j’aurai moins de problèmes avec par rapport à tomatousb, openwrt,.. ?

      Au plaisir de reparler avec toi 🙂
      KZL

  2. Bonjour,
    Je suis tombé sur votre site en faisant une recherche pour installer 2 réseaux sur mon Synology, je m’explique: Mon DS213J ne possède qu’une prise réseau, il n’est pas chez moi mais chez quelqu’un qui est abonné à la fibre optique. Mon idée est d’installer un VPN mais de pouvoir continuer à m’y connecter si le VPN tombe en panne. Avec 2 prises réseaux, je les reliais toutes les deux sur la box et je créais le VPN sur l’une des deux adresses. Avec le switch Netgear GS108 Prosaft, je pense pouvoir régler le problème d’après votre tuto, est-ce exacte? Sur la même prise 2 VLAN?
    J’ai quelques notions en réseau mais là c’est quelques crans au dessus! Comme Pydio que j’aimerais bien installer mais moi il faut juste que j’ai à cliquer sur Installer, les lignes de commande je crains un peu, surtout à distance.
    D’avance merci pour votre réponse

    1. Bonjour Alain, je ne suis pas sûr de bien comprendre. La première question qui me vient à l’esprit est : pourquoi avoir besoin d’un VPN pour vous connecter à distance et ensuite pourquoi 2 prises réseau ?
      Autrement le switch NetgearGS permet de créer 2 VLAN en effet, mais à condition de posséder un routeur qui possède la fonction VLAN et dans l’idée d’étendre un réseau VLAN.. Ce que je souhaite dire c’est qu’un routeur VLAN n’est pas nécessaire dans la mesure où l’on possède une petite installation maison. Il faut déjà que votre routeur possède la fonctionnalité.. D’où le problème sousligné dans le tutoriel concernant l’accès ethernet depuis le réseau de production dans mon article.

      Autrement concernant Pydio, si vous ne souhaitez pas l’installer via des lignes de commandes, cela risque d’être difficile, car je l’ai adapté via mon petit gestionnaire de paquet Geasy, mais je ne pense pas que vous trouverez un .spk pour le Gestionnaire de Paquet Synology.

    2. Bonsoir et merci de m’avoir répondu,
      Oui je sais ça peut paraître un peu tordu 2 prises réseau! Mon idée serait sur le premier réseau de faire tout ce que je fais actuellement, management, ftp, photostation, etc… et sur l’autre réseau configurer un VPN pour faire du P2P. Si le VPN tombe en panne je pourrai toujours accéder à mon NAS à distance via le LAN 1.
      Par contre si je comprends bien il faut être dans le même réseau, un switch comme le votre ne pourrait me donner une adresse IP que via un routeur et je crois que même si je fixais une IP fixe, si il n’y a pas un routeur sur mon VLAN 2 ça ne marcherait pas, sauf à avoir 2 box sur le même switch dans des réseaux différents, mais là, je délire! Donc Switch GS avec Routeur VLAN ou le NAS qui ferait DHCP.
      Quant à Pydio, je n’ai trouvé qu’un paquet en version 5 et sans certificat, donc tant pis. Il faudrait que je trouve un tuto pour savoir faire ce genre d’installation, car je ne sais même pas par quel moyen rentrer une ligne de commande et où! Une fois je l’ai fait avec puty mais tout était bien expliqué pour le débutant que je suis!
      En tout cas, merci, votre site est très intéressant même si je ne comprends pas tout, il en reste toujours quelque chose.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *