Utilisation des VLAN pour la VOIP avec OPNsense

Utilisation des VLAN pour la VOIP avec OPNsense


  

Dans ce tuto nous allons mettre en place un VLAN afin de séparer notre VOIP du reste du réseau.

Les intérêts présentés plus bas, sont indispensable afin que votre téléphonie IP puisse fonctionner correctement.

 

Définition

VLAN

Un VLAN est un réseau local virtuel (Virtual LAN)

 

LAN

Un LAN est un réseau où tous les périphériques sont dans le même domaine de broadcast
  (adresse de diffusion vers tous les périphériques d’un réseau).
Dans un LAN, les éléments du réseau peuvent communiquer ensemble sans passer par le routeur.

 

Intérêt

Les VLAN présentent plusieurs intérêts :

  • Améliorer la gestion du réseau.
  • Optimiser la bande passante plus simplement.
  • Séparer les flux en les cloisonnant de manière virtuel.
    Les séparer de manière physique demanderait de dupliquer câblage et switch.
  • Segmentation : réduire la taille d'un domaine de broadcast,
    Les VLANs comprenant beaucoup de périphériques engendrent un grand nombre de messages de broadcast qui nécessitent un temps de processus important.
    Autrement dit, dans un LAN de 500 utilisateurs, les périphériques seront plus lent que dans un VLAN de 10 utilisateurs.
    De plus, ces nombreux messages de broadcast peuvent entrainer une surcharge des liens et la perte de paquets.
  • Sécurité : permet de créer un ensemble logique isolé pour améliorer la sécurité.
    Les attaques utilisant le broadcast sont contenues au sein d’un VLAN (ARP cache poisoning, DHCP spoofing, attaque smurf, MAC table overflow…) 
    Le seul moyen pour communiquer entre des machines appartenant à des VLAN différents est alors de passer par un routeur. (OPNSense dans notre cas)
  • Utiliser l'IPBX pour fournir le DHCP de la téléphonie sans perturber le reseau DATA.

 

Principe de fonctionnement

Quand le PC communique sur le réseau, il envoie ses trames au switch du poste IP, qui lui-même les envoie au switch sur lequels il est raccordé. Ces trames ne sont ni altérées ni taguées.

En revanche, quand le poste IP discute sur le réseau, il rajoute une etiquette sur ses paquets, avec son numéro de Vlan (10) c'est ce qu'on appel un tague,

 Synoptique general

Ainsi, quand le switch reçoit une trame, il sait dans quel Vlan la positionner.

De cette manière, nous avons deux machines sur un même port, mais pas dans le même Vlan.

 Principe trame 802.1q

 

config

 

 

 

 

 

Configuration

Switch

Devant le nombre de modèle existant, nous n’allons pas voir comment configurer un switch, mais comment il devrait être configuré.
Les ports du switch sur lequel seront raccordés les téléphones doivent donc être configurés en :

  • untagged Vlan 1 (vlan par defaut)
  • Tagged Vlan 10

 

Pour que notre infrastructure fonctionne comme sur le schéma, l’ipbx devra quant à lui être raccordé sur un port configuré en:

  • Untagged Vlan 10 (voix)

 

* Nous aurions également pu configurer l’IPBX pour qu’il tague ses paquets, afin d’homogénéiser la configuration du switch

 

L’imprimante ne taguant pas ses paquets peux être raccordé sur un port configuré comme pour les téléphones ou un port simplement en :

  • untagged Vlan 1 (vlan par defaut)

 

Téléphone Fanvil

 

En page web: Reseau -> Avancé

fanvil web 

 

Depuis le menu d'un téléphone Fanvil X6:  Menu -> Avancée -> mdp: 123 ok -> Réseau -> Qos & Vlan -> Vlan Wan

 Note : Certaine solution comme Wazo, permettent  via leur interface de configuration de renseigner l'ID du VLAN qu'il incluera dans le fichier de configuration du téléphone, évitant ainsi de devoir faire la manipulation  lors du déploiement des postes.

 

A ce moment, votre installation est fonctionnelle.

Seul problème, elle est tellement bien isolé quel n’accède ni à internet ni au réseau data.

Et que les équipements du réseau DATA ne peuvent pas non plus la joindre pour l’administrer ou accéder à des applications comme le click to call.

Nous allons donc voir comment solutionner ça.

 

Routeur OPNSense

Connectez-vous à l’interface d’administration de votre OPNSense. (Si vous êtes sous pfsense, la méthode reste très proche).

Création de l’interface VLAN

Interfaces -> Autre types -> VLAN -> Ajouter

 opns add vlan

L’interface parente doit être celle de votre LAN Data

 

Il faut maintenant assigner l’interface

Interfaces -> Assignations

opns ass1 

Cliquer sur le + pour l’ajouter et sauvegarder.

Votre interface vient alors de prendre un nom. OPT2 dans mon cas

opns ass2 

Cliquer sur le nom et configurer l’interface.

 opns conf int

Sauvegarder et appliquer les changements.

 

Règles de pare-feu

L’interface étant créée, il faut maintenant lui ajouter des règles.

Pare-feu -> Regles -> VOIP cliquer sur le +

Règle permettant au réseau VOIP de sortir, et d’atteindre les autres réseaux.

opns rules 1 

 

Regle d’administration

Si l’on souhaite que seuls les administrateurs puissent joindre le réseau voix Il faut commencer à créer un alias afin de ne pas multiplier inutilement le nombre de règle.

Pare-feu -> Alias -> Vue -> Ajouter un nouvel alias

opns alias 

 

Pare-feu -> Regles -> VOIP cliquer sur le +

Commençons par bloquer le trafic venant du LAN DATA.

opns rules 2 

 

Puis autorisons les administrateurs à y accéder.

 opns rules3

Sauvegarder, Appliquer et c’est fini :)

 

Nous verrons prochainement comment configurer une QOS à ce VLAN afin de garantir un debit et un délai prioritaire sur votre réseau.

 

Vous souhaitez aller plus loin dans la configuration de votre routeur OPNsense?

formations

 

 

OPNsense vous plaît ? Découvrez notre large gamme de routeur OPNsense !

 routeur pare feu opnsense cpu amd geode a 500 mhz 3 ports ethernet 10100

Routeur Pare-feu OPNsense CPU AMD Geode à 500 MHz, 3 ports Ethernet 10/100

Routeur avec le logiciel OPNsense pré-installé, Firewall, VPN, NAT, Redondance, Equilibrage de charge, PPTP, PPoE, DNS Dynamique, etc.

acheter

Pour plus d'informations sur chaque routeurs de la gamme CXM OPNsense, visitez notre boutique en ligne