Un routeur Mikrotik grâce à son système d’exploitation RouterOS offre des fonctionnalités réseaux beaucoup plus avancées que votre box internet (le routeur généralement fourni par votre fournisseur internet). Il peut par exemple offrir la possibilité d’interconnecter des réseaux au travers de tunnels VPN (avec wireguard ou openvpn) ou encore offrir des fonctionnalités de routage dynamique (avec ospf ou bgp).

L’idée de ce lab sera d’interconnecter un ou plusieurs conteneurs LXC tournant sur une machine Ubuntu à un routeur Mikrotik via un réseau privé virtuel transporté sur le réseau local domestique. L’utilisation d’un VLAN permettra d’assurer l’isolation entre le réseau domestique et le réseau du lab tout en restant au niveau 2 du modèle OSI, ce qui est pratique pour assurer le fonctionnement transparent de protocoles tels que DHCP.

Ce guide vous montrera à travers le processus de configuration des équipements tout en vous permettant de valider chaque étape.

Topologie du laboratoire Link to heading

InternetBoxSSHwwôiitttecchhU((b1V2VuLLnAAtNNu2200TTrrMuuinnkkkr))otik
  • Objectif : Le conteneur LXD obtient une adresse IP du serveur DHCP Mikrotik via le VLAN20.

1. Configuration de l’hôte Linux (Ubuntu + LXD) Link to heading

Depuis la version 18.04, Ubuntu utilise Netplan pour la configuration réseau, ce qui permet de gérer de manière unifiée la configuration, que vous utilisiez NetworkManager ou systemd-networkd.

Étape 1 : Créer une interface VLAN sur Ubuntu Link to heading

# /etc/netplan/01-vlan.yaml
network:
  version: 2
  ethernets:
    eno1:
      dhcp4: no
  vlans:
    vlan20:
      id: 20
      link: eno1
      dhcp4: no

Appliquez la configuration :

sudo netplan apply

Étape 2 : Créer un pont LXD sur le VLAN Link to heading

sudo lxc network create lxdbr0 vlan20 parent=vlan20
sudo lxc network attach-profile lxdbr0 default eth0

Étape 3 : Valider le marquage VLAN Link to heading

# Vérifier que l'interface VLAN est active
ip link show vlan20

# Surveiller le trafic sortant du VLAN 20
sudo tcpdump -i vlan20 -nn

2. Configuration du routeur Mikrotik Link to heading

Étape 1 : Créer une interface VLAN Link to heading

/interface vlan
add name=vlan-lab interface=bridge-wan vlan-id=20

Étape 2 : Attacher le VLAN au pont du laboratoire Link to heading

/interface bridge port
add bridge=bridge-lab interface=vlan-lab

Étape 3 : Vérifier l’état du pont Link to heading

/interface bridge print detail

  • bridge-lab doit avoir vlan-filtering=no (configuration de test plus simple).

  • vlan-lab peut toujours afficher I (inactif) — c’est normal jusqu’à ce que le trafic passe.

Étape 4 : Activer l’interface VLAN Link to heading

/interface vlan disable vlan-lab
/interface vlan enable vlan-lab
  • Confirmez que vlan-lab affiche maintenant R (en cours d’exécution) :
/interface print

Étape 5 : Configurer le serveur DHCP sur bridge-lab Link to heading

/ip pool add name=lab_pool ranges=192.168.100.10-192.168.100.200
/ip dhcp-server network add address=192.168.100.0/24 gateway=192.168.100.1
/ip dhcp-server add name=lab_dhcp interface=bridge-lab address-pool=lab_pool disabled=no

3. Configuration du commutateur Link to heading

  1. Réglez le mode VLAN = trunk sur tous les ports connectant l’hôte LXD et le Mikrotik.

  2. Activez le filtrage d’entrée si disponible.

  3. Assurez-vous que le VLAN 20 est autorisé sur les ports trunk.

  4. Vérifiez que les adresses MAC des conteneurs apparaissent sur le VLAN 20 sur le commutateur (table MAC dynamique).

4. Étapes de validation Link to heading

Étape 1 : Vérifier le trafic sur le MikroTik Link to heading

/tool sniffer quick interface=bridge-wan vlan-id=20
  • Devrait voir DHCP Discover du conteneur LXD.

Étape 2 : Vérifier le trafic sur le pont du laboratoire Link to heading

/tool sniffer quick interface=bridge-lab port=67,68
  • Devrait voir les offres/ACK DHCP du serveur MikroTik.

Étape 3 : Vérifier l’adresse IP du conteneur Link to heading

lxc exec test -- ip a
  • Confirmez que le conteneur a reçu une adresse IP dans la plage DHCP (par exemple, 192.168.100.10-200).

5. Facultatif : Filtrage VLAN en production Link to heading

Pour une application plus stricte des VLAN :

/interface bridge vlan
add bridge=bridge-lab tagged=bridge-wan vlan-ids=20
/interface bridge set bridge-lab vlan-filtering=yes

  • Assure que seul le trafic du VLAN20 circule entre bridge-wan et bridge-lab.

  • Les interfaces VLAN restent actives sans basculement manuel.

✅ Conclusion Link to heading

  • Le trafic du VLAN 20 est ponté avec succès des conteneurs LXD vers le réseau de laboratoire MikroTik.

  • Le DHCP fonctionne de manière transparente sur le VLAN.

  • Les conteneurs LXD peuvent désormais participer pleinement au réseau du laboratoire, isolés par VLAN.