**Code** : MO-NET-004 | **Version** : 1.0 | **Date** : 6 mai 2026 | **Auteur** : C. Legrand
:inbox_tray: [Telecharger le PDF](/_assets/custom/pdf/MO-NET-004.pdf)
MO-NET-004 -- Routage inter-VLAN et filtrage sur OPNsense
1. Objet
Ce mode operatoire decrit la procedure de creation d'interfaces VLAN sur le pare-feu OPNsense, leur assignation, la configuration du routage inter-VLAN et la mise en place des regles de filtrage associees. Il s'inscrit dans la segmentation reseau de l'infrastructure BTS SIO du Lycee Jean Lurcat.
L'architecture retenue est de type router-on-a-stick : les sous-interfaces VLAN sont portees par l'interface physique LAN (bge0), qui assure a la fois le routage et le filtrage entre les differents segments. Le switch connecte au pare-feu transporte l'ensemble des VLANs sur un trunk 802.1Q.
La procedure utilise le VLAN 100 « Serveurs » (10.0.100.0/24) comme exemple fil conducteur, mais elle est reproductible pour tout VLAN supplementaire.
2. Champ d'application
| Element | Detail |
|---|---|
| Public | Administrateurs infrastructure BTS SIO |
| Systeme | Pare-feu OPNsense 26.1.5 (10.0.112.1, FreeBSD 14.3) |
| Protocole | HTTP (http://10.0.112.1) |
| Authentification | Compte administrateur nominatif |
| Duree estimee | 30-45 minutes par VLAN (hors tests bout en bout) |
Interfaces disponibles
| Interface | Role actuel | Adressage |
|---|---|---|
| bge0 (LAN) | Lien trunk vers le switch | 10.0.112.1/16 -> /24 apres deploiement |
| bge1 (WAN) | Lien vers la box Orange | 192.168.1.69/24 |
| em0-em3 | Non utilisees | -- |
3. Prerequis
- Acces reseau au pare-feu :
http://10.0.112.1(cable RJ45 sur site ou tunnel VPN WireGuard) - Compte administrateur OPNsense (identifiants dans le gestionnaire de mots de passe)
- Plan d'adressage valide : identifiant VLAN, sous-reseau, passerelle
- Trunk 802.1Q configure cote switch (cf. MO-NET-003)
- Acces physique a la console du pare-feu ou management hors-bande (iLO)
**Acces console indispensable :** avant toute modification de l'interface LAN ou des regles de filtrage, s'assurer de disposer d'un acces physique a la console. Une erreur d'adressage ou de filtrage peut rendre l'interface web inaccessible.
**Masque du LAN actuel :** le LAN est en `/16` (10.0.0.0/16). Le deploiement VLAN implique de reduire ce masque a `/24` (10.0.112.0/24). Cette operation **coupera l'acces a tout equipement hors du sous-reseau 10.0.112.0/24** tant que les VLANs et le routage ne seront pas en place.
4. Procedure
4.1 Connexion a l'interface web
Etape 1 -- Se connecter a OPNsense
Ouvrir un navigateur et acceder a http://10.0.112.1. Saisir les identifiants du compte administrateur nominatif et cliquer sur Se connecter. Le tableau de bord d'OPNsense s'affiche.
Page de connexion OPNsense
Tableau de bord OPNsense apres authentification
4.2 Creer l'interface VLAN
Etape 2 -- Creer la sous-interface VLAN
- Naviguer vers Interfaces > Other Types > VLAN
- Cliquer sur + (ajouter)
- Renseigner :
- Parent :
bge0(LAN) - VLAN Tag :100- Description :VLAN100_Serveurs - Cliquer sur Save / Enregistrer
Liste des interfaces VLAN dans OPNsense
Formulaire de creation d'une interface VLAN
La sous-interface VLAN est creee. Elle apparait dans la liste des VLANs avec le tag et l'interface parente.
4.3 Assigner et configurer l'interface
Etape 3 -- Assigner l'interface
- Naviguer vers Interfaces > Assignments
- Dans la liste deroulante New Interface, selectionner
vlan 100 on bge0 - Cliquer sur + pour ajouter
- Cliquer sur le nom de la nouvelle interface (ex. OPT1)
Page d'assignation des interfaces — ajout de la sous-interface VLAN
Etape 4 -- Configurer l'interface
- Cocher Enable Interface
- Modifier la Description :
Serveurs - IPv4 Configuration Type : Static IPv4
- IPv4 Address :
10.0.100.1/24 - Cliquer sur Save puis Apply Changes
4.4 Configurer le serveur DHCP
Etape 5 -- Activer le DHCP pour le VLAN
- Naviguer vers Services > ISC DHCPv4 > selectionner l'interface Serveurs
- Cocher Enable DHCP server on the Serveurs interface
- Renseigner la plage :
10.0.100.10a10.0.100.250 - Cliquer sur Save
Configuration du serveur DHCP pour le sous-reseau VLAN
4.5 Creer les regles de filtrage
Etape 6 -- Definir les regles firewall
- Naviguer vers Firewall > Rules > selectionner l'interface Serveurs
- Creer les regles selon la politique de securite : - Autoriser le trafic necessaire (DNS, HTTP/HTTPS, etc.) - Bloquer le reste (deny all implicite)
- Cliquer sur Apply Changes
Regles de filtrage sur l'interface LAN
**Rappel :** OPNsense applique un *deny all* implicite. Seul le trafic explicitement autorise par une regle passera. Commencer par les regles les plus specifiques, puis elargir si necessaire.
4.6 Reduire le masque LAN (si premier VLAN)
Etape 7 -- Ajuster le masque du LAN
**Cette etape n'est necessaire qu'une seule fois**, lors du deploiement du premier VLAN. Elle modifie le sous-reseau LAN existant.
- Naviguer vers Interfaces > LAN
- Modifier le masque de
/16a/24: l'adresse reste10.0.112.1, le masque passe a255.255.255.0 - Cliquer sur Save puis Apply Changes
- Mettre a jour le pool DHCP du LAN en consequence
5. Verification
- [ ] L'interface VLAN apparait dans Interfaces > Overview avec l'IP correcte
- [ ] Un poste connecte au VLAN obtient une adresse DHCP dans la bonne plage
- [ ] Le poste peut pinguer la passerelle du VLAN (
10.0.100.1) - [ ] Le routage inter-VLAN fonctionne selon les regles definies
- [ ] Les regles de filtrage bloquent le trafic non autorise
- [ ] Le trafic 802.1Q est visible avec
tcpdump -i bge0 -e(tags VLAN presents) - [ ] Les equipements du LAN (10.0.112.0/24) restent accessibles
- [ ] Le DHCP distribue les bonnes options (gateway, DNS) sur le nouveau VLAN
6. Depannage
| Probleme | Solution |
|---|---|
| Interface web inaccessible apres changement de masque | Se connecter a la console (physique ou iLO). Verifier l'adresse LAN avec ifconfig bge0. |
| Pas de DHCP sur le VLAN | Verifier que le serveur DHCP est active sur la bonne interface et que la plage est valide. |
| Pas de routage entre VLANs | Verifier que les interfaces sont activees et qu'une regle autorise le trafic. |
| Trafic bloque malgre les regles | Verifier l'ordre des regles (premiere correspondance = appliquee). Consulter Firewall > Log Files. |
| Pas de tags 802.1Q sur le trunk | Verifier la configuration du port trunk cote switch (cf. MO-NET-003). |
7. Voir aussi
- MO-NET-003 -- VLANs switches Aruba 1930 (configuration cote switch)
- MO-NET-001 -- Verification post-hardening OPNsense
- MO-NET-002 -- Mise a jour firmware OPNsense
- MO-AD-001 — Administration distante des controleurs de domaine (acces WinRM pour le DHCP)
- Documentation OPNsense : Virtual LANs (https://docs.opnsense.org/manual/vlans.html)