Kein Internetzugang für die Gast-SSID mit dediziertem 802.1Q-VLAN

993
Rhyknowscerious

Ich habe eine Firewall (Pfsense). Ich habe einen verwalteten Switch (TP Link TL-SG108E.). Ich habe einen drahtlosen Zugangspunkt (TP Link TL-WA801ND.).

Die Firewall (Pfsense) verfügt über 1 Ethernet-Port mit vier Sub-Schnittstellen.

  1. em0.10 deaktiviert - wird nach dem Test DHCP-Client
  2. em0.20 192.168.0.1/25 (Netzwerk 192.168.0.0/25 [126 Hostadressen])
  3. em0.30 192.168.0.129/25 (Netzwerk 192.168.0.128/25 [126 Hostadressen])
  4. em0.40 deaktiviert - wird nach dem Test 10.0.0.1/30 (Network 10.0.0.0/30 [2 Host-Adressen]) sein

Der Managed Switch (TL-SG108E) ist für den Betrieb mit 4 entsprechenden 802.1Q-VLANs konfiguriert:

  1. VLAN 10 (INTERNET)
  2. VLAN 20 (PRIVATE)
  3. VLAN 30 (GUEST)
  4. VLAN 40 (ÖFFENTLICH)

Der Wireless Access Point (TL-WA801ND) ist bei aktivierten VLANs auf Multi-SSID-Modus eingestellt. Es sind zwei SSIDs konfiguriert:

  1. SSID-Privat - VLAN 20
  2. SSID-Guest - VLAN 30

Hier ist eine Liste von Hardware, die an den verwalteten 8-Port-Switch (TL-SG108E) angeschlossen ist:

  1. unplugged - Nach dem Test wird das Modem angeschlossen
  2. Firewall (Pfsense)
  3. Drahtloser Zugangspunkt (TL-WA801ND)
  4. Router mit erfolgreicher Internetverbindung.
  5. PRIVATE VLAN-Hosts
  6. PRIVATE VLAN-Hosts
  7. PRIVATE VLAN-Hosts
  8. unplugged - Steckt den Webserver nach dem Test ein

Hier sind die VLAN-Einstellungen für jeden Port des verwalteten Switches (TL-SG108E):

  1. PVID 10 | VLANs: [10-unmarkiert]
  2. TRUNK - PVID 1 | VLANs: [10-markiert], [20-markiert], [30-markiert], [40-markiert]
  3. TRUNK - PVID 1 | VLANs: [20-tagged, 30-tagged]
  4. PVID 20 | VLANs: [20-unmarkiert]
  5. PVID 20 | VLANs: [20-unmarkiert]
  6. PVID 20 | VLANs: [20-unmarkiert]
  7. PVID 20 | VLANs: [20-unmarkiert]
  8. PVID 40 | VLANs: [10-unmarkiert]

Firewall-Regeln wurden festgelegt, um den gesamten Datenverkehr zwischen allen Schnittstellen zum Testen zuzulassen. Ich sperren es ab, nachdem ich herausgefunden habe, wie ich den Internetzugang für meine Gast-SSID aktivieren kann.

Die Hosts im privaten Netzwerk (VLAN 20 192.168.0.0/25) haben Internetzugang und Hosts im Gastnetzwerk (VLAN 30 192.168.0.128/25) nicht. Der dem Internet zugewandte Router stellt dem privaten Subnetz DHCP-Adressen mit der Endung 50-99 zur Verfügung, und die Firewall (Pfsense) stellt dem Gast-Subnetz DHCP-Adressen mit der Endung 150-199 zur Verfügung.

Ich denke, es könnte NAT, Firewall-Regeln, DNS oder etwas anderes sein, aber ich denke, es ist wahrscheinlich eine falsche Konfiguration meines verwalteten Switches - aber ich bin mir nicht sicher.

Gibt es Experten im Haus?

0
was gibt es unter (status> schnittstellen) für die virtuelle schnittstelle em0.30, zeigt es den auf und ab bewegten verkehr an? auch nur die erste als lan bezeichnete schnittstelle erhält standardregeln. Sie müssen möglicherweise nur eine Standard-Gastzugriffsregel einrichten. unter Firewall> Regeln> wie immer Sie em0.30 genannt haben. Tim_Stewart vor 6 Jahren 0
In em0.30 werden Ein- / Aus-Pakete als 3325/1077 angezeigt. Ich habe die gleiche Firewall-Regel für sowohl em0.20 als auch für em0.30 festgelegt. Dies ist Proto = IPv4, Source = *, SPort = *, Destination = *, DPort = *, Gateway = *. Warteschlange = keine, Schedule = (keine). , Beschreibung = (keine) Rhyknowscerious vor 6 Jahren 0
Welches Gerät ist als NAT für das Gastnetzwerk konfiguriert? Wie lautet die private (LAN-seitige) IP-Adresse dieses NAT-Gateways? Wenn die Firewall DHCP für das Gastnetzwerk bereitstellt, welche IP-Adresse gibt das Gateway-Gateway standardmäßig an diese Gastgeräte weiter? Spiff vor 6 Jahren 1
Ich habe einen Router (Buffalo Airstation N300 mit DD-WRT) 192.168.0.2, der an Port 4 (VLAN 20) an den Switch angeschlossen ist. Ich nahm an, dass es NAT für den gesamten Datenverkehr gab, aber vielleicht bietet es nur NAT für das Subnetz 192.168.0.0/25. Ich denke, ich sollte auch die Pfsense-Firewall überprüfen, um zu sehen, ob auch NAT läuft. Wäre es am besten, NAT für alle internen Netzwerke auf dem DD-WRT-Router einzurichten? oder einfach NAT-Einstellungen für das Gastnetzwerk in der Firewall hinzufügen? Ich habe nicht viel Erfahrung mit der Einrichtung von NAT-Regeln - insbesondere für mehrere VLANs. Rhyknowscerious vor 6 Jahren 0
Sie würden pfsense (die h / w-Firewall) mit NAT behandeln lassen. Auf DD-WRT gehen Sie zu Setup> Grundeinrichtung> Verbindungstyp deaktivieren. Und Sicherheit> SPI-Firewall deaktivieren. Dadurch wird der AP-Modus aktiviert (kein Routing). Ich bin nicht zu 100% auf die tp-links-Definition eines pvid eingestellt. Ich habe mir eine Setup-Anleitung für diesen Switch mit vlans und pvid's angesehen und es sah aus, als wäre es für das standardmäßige Port / Vlan-Mapping und es sah so aus, als würden sie pvid mit vlan zusammenbringen. Ich verwende ein sehr ähnliches Setup für meine Pfsense-Installationen. Ich habe jedoch Cisco Small Business Switches verwendet. Und einfach nur Port-Vlan-Mappings. Tim_Stewart vor 6 Jahren 0
Wenn ich "Einrichtung> Grundeinstellung> Verbindungstyp" in "Deaktivieren" ändere, bin ich mir ziemlich sicher, dass meine Internetverbindung zu allen meinen Subnetzen abgebrochen wird, nicht wahr? Pfsense ist momentan nicht mit dem WAN verbunden. Es ist nur mit den privaten (VLAN 20) und Gastnetzen (VLAN 30) verbunden. Und verhindert die SPI-Firewall nicht, dass die bösen Jungs aus dem Internet in das lokale Netzwerk gelangen? Die Art, wie ich die WAN-Einrichtung habe, sieht folgendermaßen aus: ISP -> Modem -> DDWRT (WAN-Port). Dann haben wir DDWRT (LAN-Port) -> Port 4 am Switch des VLAN 20. Die Em0.20 von Pfsense befindet sich im selben Netzwerk wie der Router (Subnetz 192.168.0.0/25). Rhyknowscerious vor 6 Jahren 0
Ich mache ein Diagramm für dich, wenn ich heute Abend nach Hause komme. Sie wollen nicht, dass es so verbunden ist. Wenn Sie pfsense mit einer "Router on a Stick" -Konfiguration verwenden, möchten Sie es als zentrales / zentrales Routing-Gerät zwischen allen VLANs verwenden. Tim_Stewart vor 6 Jahren 0
Ich weiß, dass es ein komisches Setup ist. Ich versuche, alles so zu konfigurieren, dass ich das Kabel einfach vom WAN-Port des Routers zum Switch an Port 1 (VLAN 10) verschieben kann, dann den DD-WRT-Router entfernen und die Standard-Firewall-Regeln für Pfsense anwenden kann. Warum? Ich störe also nicht länger als ein paar Sekunden den Internetzugang des privaten Netzwerks. Rhyknowscerious vor 6 Jahren 0

2 Antworten auf die Frage

1
Tim_Stewart

Ok, kein Diagramm nötig. Die Antwort auf Ihre Frage finden Sie in Ihren letzten Kommentaren.

Das zweite Teilnetz hat keinen Zugang, weil pf-sense eigentlich keinen Internetzugang hat. Sie haben Ihre DD-wrt-ISP-Verbindung in VLAN 20 angeschlossen, was bedeutet, dass DD-wrt höchstwahrscheinlich DHCP verwendet und sich selbst als Gateway für alle Clients verwendet.

Laut PF-Sense gibt es keine Internetverbindung. Dies liegt daran, dass es sich bei VLAN-20 um eine LAN-Schnittstelle und nicht um eine bezeichnete WAN-Schnittstelle handelt. Clients müssen über DHCP von Pf-sense bis Pf-sense als Gateway verfügen. (da Routing und NAT für alle virtuellen LAN-Schnittstellen ausgeführt werden.)

Also hier ist was Sie tun müssen,

Wählen Sie zwei neue Subnetze für VLANS 20 und 30 aus.

Ich persönlich benutze Class-a-private Bereiche, die dem VLAN entsprechen, mit dem sie verbunden sind.

Der Grund, warum Sie dies tun möchten, wird nach dem Beispiel ersichtlich.

Beispiel;

VLAN-10 = WAN ( UN-Tag an Port-10 ) [em0.10 DHCP WAN wird in der 192.168.0.0 / 25 sein]
(Später wird es die öffentliche IP- Adresse Ihres ISP sein)

VLAN-20 = 10.10.20.0 / 24 (privates LAN) [em0.20 IP = 10.10.20.1 / 24]

VLAN-30 = 10.10.30.0 / 24 (Gast-LAN) [em0.30 IP = 10.10.30.1 / 24]

VLAN-40 = 10.10.40.0 / 24 (zusätzliches LAN) [em0.40 IP = 10.10.40.1 / 24]

Normalerweise mache ich das der Einfachheit halber, manchmal ist es einfacher, Probleme mit dem IP / VLAN im LAN zu beheben, wenn Sie sich die IP ansehen und sofort wissen, zu welchem ​​VLAN es gehört. Wenn Sie aber bereits Laufwerksfreigaben und andere Dinge eingerichtet haben, würde ich verstehen, dass Sie Ihr aktuelles System so belassen, wie es ist

Verbinden Sie das LAN-seitige Ethernet vom DD-wrt-Router mit Port 1 (vlan10). Gehen Sie zu Ihrem Web-Interface und aktivieren Sie em0.10.

Zu diesem Zeitpunkt sollten alle LAN-Schnittstellen Zugriff auf den ISP haben, sofern Sie Standardregeln eingerichtet haben.

Richten Sie nun DHCP-Pools für die virtuellen LAN-Schnittstellen von PF-sense ein. Ich würde an dieser Stelle empfehlen, ein Computer-Setup für DHCP zu verwenden und es in jedes einzelne VLAN mit Ausnahme von 10 am Switch einzustecken. Stellen Sie sicher, dass Sie an jeder Schnittstelle DHCP von PF-sense erhalten, und stellen Sie sicher, dass sie jetzt eine Verbindung zum Internet haben.

Wenn Sie bereit sind, den DD-wrt-Router aufzugeben, entfernen Sie ihn einfach und bringen Sie ein Ethernet vom ISP an, der direkt zum Switch auf Port 1 wechselt. Aktualisieren Sie die DHCP-Lease der WAN-Schnittstelle, und Sie sollten loslegen.

Lassen Sie mich wissen, wenn Sie Probleme haben.

0
Rhyknowscerious

Danke für alle Ideen, Tim. Aber am Ende habe ich folgendes getan:

Auf Pfsense habe ich ein Gateway 192.168.0.2 (die LAN-Port-Adresse von DD-WRT) erstellt und es als Standard-Gateway für die private Schnittstelle zugewiesen.

Ich habe automatisches NAT aktiviert (was vermutlich nur die Loopback- und Gast-Subnetzadressen in die private Schnittstellenadresse der Firewal 192.168.0.1 übersetzt.)

Ich dachte, ich könnte die DNS-Server von Pfsense (System> Allgemeine Einstellungen> DNS-Servereinstellungen) für das Gast-Subnetz verwenden, indem entweder der DNS-Weiterleitungsdienst oder der DNS-Auflösungsdienst aktiviert wird. und Einrichten des DHCP-Serverdienstes von Pfsense, um die IP-Adresse 192.168.0.129 des Gast-Subnetzes von Pfsense als DNS-Server für Gastnetzwerk-Hosts zuzuweisen.

Aber weil 1. entweder ich etwas falsch konfiguriert habe oder 2. ich nicht lange genug gewartet habe, um die Einstellungen zu übernehmen, habe ich sowohl die DNS-Weiterleitung als auch die DNS-Auflösungsdienste deaktiviert und den DHCP-Dienst so eingerichtet, dass er mein Privates explizit zuweist DNS-Server zum Gast-Subnetz.

Und in vielen Pfsense-Foren wird empfohlen, keine Gateways in privaten Netzwerken zu verwenden. Pffffft, Amateure! Rhyknowscerious vor 6 Jahren 0
Sie haben pfsense nichts weiter, und ich habe jetzt keine Ahnung, was Sie zu tun versuchen. Es ist weder eine Firewall noch ein Router in dieser Konfiguration. Sie sagen, dass Sie solche Dinge nicht tun sollen, weil Sie versuchen, eine Security Appliance als eine Art Bridge zu verwenden, es ist ein Router. Und ohne es als solches zu handeln, gibt es KEINE Sicherheit. Keine Verkehrsregeln für die Vlans, und wirklich kein Nutzen für die Verwendung von Vlans. Wahrscheinlich werden Sie später Probleme damit haben und Ihre Kunden möglicherweise der Wildnis aussetzen. Tim_Stewart vor 6 Jahren 1
Ich dachte, ich würde lernen, wie man eine Internetverbindung für das WLAN-Gast-VLAN erhält. Dann weiß ich, wie ich das Internet für die anderen VLANs zulassen kann. DDWRT routet zwischen dem Internet und dem privaten Netzwerk, und Pfsense routet zwischen den 4 VLANs, wenn der Router ersetzt wird. Jetzt plane ich, VLAN 10 & 40 zu aktivieren und Firewall-Regeln einzurichten: 1) Ausgehenden Internetzugriff von den VLANs 20 und 30 aus zulassen 2) 2-Wege-Internetzugriff auf VLAN 40 für Webserver zulassen - nur Port 80 oder 443 eingehend 3) Jemanden aus VLAN blockieren 20 4) Alle außer privaten Hosts aus dem Gastnetzwerk blockieren. Rhyknowscerious vor 6 Jahren 0
Der einzige Grund, warum ich diese Frage gestellt habe, war, Hilfe zu erhalten, um den Internetzugang für das Gastnetzwerk zu ermöglichen. Ich dachte, ich könnte den Rest erledigen, wenn ich mit diesem Teil des Puzzles einfach Hilfe bekommen könnte. Sie haben mir einige wirklich gute Vorschläge gemacht und tatsächlich sehr geholfen, also vielen Dank. Rhyknowscerious vor 6 Jahren 0
Wie Sie es richtig funktionieren lassen, ist in den Anweisungen, die ich letzte Nacht geschrieben habe. Wenn Ihre Verbindung zu VLAN 10 und pfsense Routing der Vlans hergestellt wird, ist es so einfach wie zu dieser Schnittstelle in Firewall> Regeln zu gehen. Und wenn Sie jetzt keine Verbindung zu den anderen Vlans herstellen möchten, lassen Sie einfach eine Block All-Regel auf dieser virtuellen Schnittstelle. Das sollte wirklich nicht schwierig sein. Aber Sie wollen auf keinen Fall pfsense überbrückende Vlans, das ist eher ein Hack und lässt Sie keine Verkehrskontrolle. Tim_Stewart vor 6 Jahren 0
Ich bin froh, dass du etwas aus der Post bekommen hast. Herzlich Willkommen Vielleicht möchten Sie einige Informationen zum Thema "Routing auf einem Stick" lesen. Dies wird alles viel sinnvoller machen, wenn Sie dies tun. Auch ein Blick auf die Funktionen von Layer 1 - 3 des OSI-Modells wäre keine schlechte Idee, denn ich habe Ihnen versucht zu erklären, dass pfsense ein Layer-3-Gerät ist. Ich wünsche Ihnen viel Glück. Tim_Stewart vor 6 Jahren 0
Ich werde mich auf jeden Fall mit diesen Themen vertraut machen und Ihren Leitfaden implementieren, nachdem ich weitere Tests / Untersuchungen durchgeführt habe. Ich freue mich sehr über Ihre Hilfe. Rhyknowscerious vor 6 Jahren 0
Dies kann auch helfen, es ist ein weiteres Beispiel für das Routing auf einem Stick, das ich für jemand anderen geschrieben habe. Das Diagramm ist ohne Vlans. https://superuser.com/questions/1294772/converting-apots-line-to-voip-und-sultan-ringt-aextension-over-vp/1295795#1295795 Tim_Stewart vor 6 Jahren 0

Verwandte Probleme