Нет доступа в интернет к гостевому SSID с выделенной 802.1 Q VLAN

У меня есть брандмауэр (Pfsense).
У меня есть управляемый коммутатор (TP Link TL-SG108E.)
У меня есть беспроводная точка доступа (TP Link TL-WA801ND.)

брандмауэр (Pfsense) имеет 1 порт Ethernet с четырьмя суб-интерфейсов.

  1. em0.10 отключено-будет DHCP-клиент после тестирования
  2. em0.20 192.168.0.1/25 (сеть 192.168.0.0/25 [126 адреса хостов])
  3. em0.30 192.168.0.129/25 (сеть 192.168.0.128/25 [126 адреса хостов])
  4. em0.40 disabled-будет 10.0.0.1/30 (сеть 10.0.0.0/30 [2 адреса хостов]) после тестирования

управляемый коммутатор (TL-SG108E) настроен для работы с 4 соответствующими 802.1 Q VLAN:

  1. VLAN 10 (INTERNET)
  2. VLAN 20 (PRIVATE)
  3. VLAN 30 (ГОСТЬ)
  4. VLAN 40 (PUBLIC)

точка беспроводного доступа (TL-WA801ND) установлена в режим Multi-SSID с включенными VLAN. Существует два SSIDs настроено:

  1. SSID-Private-VLAN 20
  2. SSID-Guest-VLAN 30

вот список оборудования, подключенного к 8-портовому управляемому коммутатору (TL-SG108E):

  1. unplugged-подключит модем после тестирования
  2. Брандмауэр (Pfsense)
  3. точка беспроводного доступа (TL-WA801ND)
  4. маршрутизатор с успешным подключением к интернету.
  5. частные хосты vlan
  6. частная vlan хозяева
  7. частные хосты vlan
  8. unplugged - подключит веб-сервер после тестирования

вот настройки VLAN для каждого из портов на управляемом коммутаторе (TL-SG108E):

  1. PVID 10 / VLAN: [10-без меток]
  2. багажник - его 1 | ЛС: [10-тегами], [20-тегами], [30-Меченый], [40-тегами]
  3. TRUNK - PVID 1 | VLANs: [20-tagged, 30-tagged]
  4. PVID 20 / VLAN: [20-без меток]
  5. PVID 20 | VLANs: [20-без меток]
  6. PVID 20 / VLAN: [20-без меток]
  7. PVID 20 / VLAN: [20-без меток]
  8. PVID 40 / VLAN: [10-без меток]

правила брандмауэра разрешают тестировать весь трафик между всеми интерфейсами. Я заблокирую его после того, как выясню, как включить доступ в Интернет к моему гостевому SSID.

хосты в частной сети (VLAN 20 192.168.0.0 / 25) имеют доступ в Интернет и хосты в гостевой сети (VLAN 30 192.168.0.128/25) не. Интернет-маршрутизатор предоставляет DHCP-адреса, оканчивающиеся на 50-99, частной подсети, а брандмауэр (Pfsense)предоставляет гостевым подсетям DHCP-адреса, оканчивающиеся на 150-199.

Я думаю, это может быть NAT, правила брандмауэра, DNS или что - то еще, но я думаю, что это, вероятно, неправильная настройка на моем управляемом коммутаторе, но я не уверен.

есть ли в доме эксперты?

25
задан Tim_Stewart
25.12.2022 4:57 Количество просмотров материала 3567
Распечатать страницу

2 ответа

Ok, диаграмма не требуется. Ответ на ваш вопрос в ваших последних комментариях.

Причина вторая-нет доступа, потому что ПФ-смысла не имеет доступа к интернету. У вас есть подключение провайдера DD-wrt, подключенное к VLAN 20, что означает, что DD-wrt, скорее всего, обслуживает DHCP и ставит себя в качестве шлюза для всех клиентов.

в соответствии с PF-sense нет подключения к интернету. Это происходит потому, что VLAN-20 является интерфейсом локальной сети, а не места WAN-интерфейс. клиенты должны иметь DHCP от PF-sense, указывающего на PF-sense в качестве шлюза. (поскольку это будет делать и маршрутизация и NAT для всех интерфейсов виртуальной локальной сети.)

Итак, вот что вам нужно сделать,

выберите две новые подсети для VLAN 20 и 30,

Я лично использую частные диапазоны класса a, которые соответствуют VLAN, с которой они связаны.

причина, по которой вы можете захотеть сделать это будет заметно после образец.

пример:

VLAN-10 = WAN (UN-taged на port-10) [em0.10 DHCP WAN будет в 192.168.0.0 / 25]

(Позже это будет публичный IP от вашего провайдера)

влан-20 = 10.10.20.0 /24 (частная сеть) [em0.20 ИС=10.10.20.1 /24]

VLAN-30 = 10.10.30.0 / 24 (гостевая ЛВС) [em0.30 IP=10.10.30.1 / 24]

VLAN-40 = 10.10.40.0 / 24 (Extra LAN) [em0.40 IP=10.10.40.1 /24]

Я обычно делаю это для простоты, иногда его легче неприятности стрелять IP / VLAN вопросы по локальной сети, Если вы можете посмотреть на IP и сразу знать, что VLAN он принадлежит. но если у вас уже есть приводные акции и другие настройки, я бы понял, оставив текущую схему как есть

подключите Ethernet к порту один маршрутизатора DD-wrt (vlan10) перейдите в веб-интерфейс и включите em0.10, дают ему сек после этого проверяют под состоянием > интерфейсы и видят если соединение WAN получило IP-адрес.

все интерфейсы локальной сети на этом этапе должны иметь доступ к интернет-провайдеру, пока у вас есть настройка правил по умолчанию.

теперь настройте DHCP-пулы для виртуальных LAN-интерфейсов PF-sense. Я рекомендовал бы на этом этапе брать компьютерную настройку для DHCP и включать ее в каждую отдельную VLAN за исключением 10 на коммутаторе. удостоверьтесь, что вы получаете DHCP от PF-sense на каждом интерфейсе и удостоверяетесь, что у них каждого теперь есть соединение с интернет.

когда вы будете готовы угробить маршрутизатор DD-wrt, как раз извлеките его и положите локальные сети от ISP идя прямо к переключателю на порте 1, освежите аренду DHCP болезненного интерфейса и вы должны быть хороши для того чтобы пойти.

Дайте мне знать, если у вас есть вопросы.

1
отвечен Tim_Stewart 2022-12-26 12:45

Спасибо за все идеи Тим. Но в итоге я сделал следующее:

на Pfsense я создал шлюз 192.168.0.2 (адрес порта LAN DD-WRT) и назначил его в качестве шлюза по умолчанию для частного интерфейса.

Я включил автоматический NAT, (который, я думаю, просто переводит адреса подсети обратной связи и гостевой подсети в адрес частного интерфейса firewal 192.168.0.1.)

Я думал, что могу использовать DNS-серверы Pfsense (system > general setup > Параметры DNS-сервера) для гостевой подсети, включив службу пересылки DNS или службу распознавателя DNS. и настройка службы DHCP-сервера Pfsense для назначения IP-адреса гостевой подсети Pfsense 192.168.0.129 в качестве DNS-сервера для хостов гостевой сети.

а потому, что, 1. либо я что-то неправильно настроил, либо, 2. Я не ждал достаточно долго, чтобы применить настройки, я отключил службы DNS forwarder и DNS resolver и просто настроил службу DHCP явно назначьте мои частные DNS-серверы гостевой подсети.

0
отвечен Rhyknowscerious 2022-12-26 15:02

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя

Похожие вопросы про тегам:

pfsense
routing
ssid
vlan
wireless-networking
Мы используем cookie. Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie. Политика конфиденциальности
Согласен
Вверх