専用の 802.1Q VLAN を持つゲスト SSID へのインターネット アクセスなし

tag-icon tag-icon wireless-networking routing vlan pfsense ssid
専用の 802.1Q VLAN を持つゲスト SSID へのインターネット アクセスなし

ファイアウォール (Pfsense) があります。マネージド スイッチ (TP Link TL-SG108E) があります。ワイヤレス アクセス ポイント (TP Link TL-WA801ND) があります。

ファイアウォール (Pfsense) には、4 つのサブ インターフェイスを備えた 1 つのイーサネット ポートがあります。

  1. em0.10 は無効 - テスト後に DHCP クライアントになります
  2. em0.20 192.168.0.1/25 (ネットワーク 192.168.0.0/25 [126 ホストアドレス])
  3. em0.30 192.168.0.129/25 (ネットワーク 192.168.0.128/25 [126 ホストアドレス])
  4. em0.40 は無効 - テスト後、10.0.0.1/30 (ネットワーク 10.0.0.0/30 [2 つのホスト アドレス]) になります

マネージド スイッチ (TL-SG108E) は、対応する 4 つの 802.1Q VLAN で動作するように構成されています。

  1. VLAN 10 (インターネット)
  2. VLAN 20 (プライベート)
  3. VLAN 30 (ゲスト)
  4. VLAN 40 (パブリック)

ワイヤレス アクセス ポイント (TL-WA801ND) は、VLAN が有効になっているマルチ SSID モードに設定されています。次の 2 つの SSID が設定されています。

  1. SSID-プライベート - VLAN 20
  2. SSID-ゲスト - VLAN 30

8 ポート マネージド スイッチ (TL-SG108E) に接続されているハードウェアのリストは次のとおりです。

  1. 未接続 - テスト後にモデムを接続します
  2. ファイアウォール (Pfsense)
  3. 無線アクセスポイント(TL-WA801ND)
  4. インターネット接続に成功したルーター。
  5. プライベートVLANホスト
  6. プライベートVLANホスト
  7. プライベートVLANホスト
  8. プラグなし - テスト後にウェブサーバーを接続します

管理対象スイッチ (TL-SG108E) の各ポートの VLAN 設定は次のとおりです。

  1. PVID 10 | VLAN: [10-タグなし]
  2. TRUNK - PVID 1 | VLAN: [10 タグ付き]、[20 タグ付き]、[30 タグ付き]、[40 タグ付き]
  3. TRUNK - PVID 1 | VLAN: [20 タグ、30 タグ]
  4. PVID 20 | VLAN: [20-タグなし]
  5. PVID 20 | VLAN: [20-タグなし]
  6. PVID 20 | VLAN: [20-タグなし]
  7. PVID 20 | VLAN: [20-タグなし]
  8. PVID 40 | VLAN: [10-タグなし]

テストのために、すべてのインターフェイス間のすべてのトラフィックを許可するようにファイアウォール ルールが設定されています。ゲスト SSID へのインターネット アクセスを有効にする方法がわかったら、これをロックダウンします。

プライベート ネットワーク (VLAN 20 192.168.0.0/25) 上のホストはインターネットにアクセスできますが、ゲスト ネットワーク (VLAN 30 192.168.0.128/25) 上のホストはアクセスできません。インターネットに面したルータは、50 ~ 99 で終わる DHCP アドレスをプライベート サブネットに提供し、ファイアウォール (Pfsense) は、150 ~ 199 で終わる DHCP アドレスをゲスト サブネットに提供しています。

NAT、ファイアウォール ルール、DNS、またはその他の原因である可能性もあると思いますが、おそらく管理対象スイッチの設定ミスだと思いますが、確信はありません。

家に専門家はいますか?

答え1

わかりました。図は必要ありません。質問の答えは最後のコメントにあります。

2 番目のサブネットにアクセスできない理由は、pf-sense が実際にはインターネットにアクセスできないためです。DD-wrt ​​ISP 接続が VLAN 20 に接続されているため、DD-wrt ​​はおそらく DHCP を提供し、すべてのクライアントへのゲートウェイとして機能します。

PF-sense によると、インターネット接続はありません。これは、VLAN-20 が LAN インターフェイスであり、指定された WAN インターフェイスではないためです。クライアントは、Pf-sense からの DHCP がゲートウェイとして Pf-sense を指すようにする必要があります (すべての仮想 LAN インターフェイスに対してルーティングと NAT の両方を実行するため)。

そこで、あなたがすべきことは、

VLAN 20と30に2つの新しいサブネットを選択します。

私は個人的に、関連付けられている VLAN に一致するクラス a プライベート範囲を使用します。

これを実行する理由は、例を見れば明らかです。

例;

VLAN-10 = WAN (ポート10のタグなし) [em0.10 DHCP WAN は 192.168.0.0 /25 になります]
(後で ISP からのパブリック IP になります)

VLAN-20 = 10.10.20.0 /24 (プライベート LAN) [em0.20 IP=10.10.20.1 /24]

VLAN-30 = 10.10.30.0 /24 (ゲスト LAN) [em0.30 IP=10.10.30.1 /24]

VLAN-40 = 10.10.40.0 /24 (追加 LAN) [em0.40 IP=10.10.40.1 /24]

私は通常、シンプルさのためにこれを行います。IP を見てそれがどの VLAN に属しているかをすぐに知ることができれば、LAN 上の IP/VLAN の問題のトラブルシューティングが簡単になることがあります。ただし、すでにドライブ共有やその他の設定がある場合は、現在のスキームをそのままにしておくのも理解できます。

DD-wrt ​​ルーターの LAN 側イーサネットをポート 1 (vlan10) に接続し、Web インターフェイスに移動して em0.10 を有効にします。しばらく待ってから、ステータス > インターフェイスで確認し、WAN 接続が IP アドレスを取得したかどうかを確認します。

デフォルトのルールが設定されている限り、この時点ですべての LAN インターフェイスは ISP にアクセスできるはずです。

ここで、PF-sense 仮想 LAN インターフェイスの DHCP プールを設定します。この段階では、DHCP 用のコンピューター設定を用意し、スイッチの 10 を除く各 VLAN に接続することをお勧めします。各インターフェイスで PF-sense から DHCP を取得していることを確認し、各インターフェイスがインターネットに接続されていることを確認します。

DD-wrt ​​ルーターを捨てる準備ができたら、それを取り外し、ISP からのイーサネットをポート 1 のスイッチに直接接続し、WAN インターフェイスの DHCP リースを更新すれば、準備完了です。

問題があればお知らせください。

答え2

ティム、たくさんのアイデアをありがとう。でも結局、私がやったのはこれです:

Pfsense で、ゲートウェイ 192.168.0.2 (DD-WRT の LAN ポート アドレス) を作成し、それをプライベート インターフェイスのデフォルト ゲートウェイとして割り当てました。

自動 NAT を有効にしました (これは、ループバック アドレスとゲスト サブネット アドレスをファイアウォールのプライベート インターフェイス アドレス 192.168.0.1 に変換するだけだと思います)。

DNS フォワーダー サービスまたは DNS リゾルバー サービスのいずれかを有効にし、Pfsense の DHCP サーバー サービスを設定して、Pfsense のゲスト サブネット IP アドレス 192.168.0.129 をゲスト ネットワーク ホストの DNS サーバーとして割り当てることで、ゲスト サブネットに Pfsense の DNS サーバー (システム > 一般設定 > DNS サーバー設定) を利用できると考えました。

しかし、1. 何かを再度誤って構成したか、2. 設定が適用されるまで十分に待たなかったため、DNS フォワーダー サービスと DNS リゾルバー サービスの両方を無効にし、DHCP サービスを設定してプライベート DNS サーバーをゲスト サブネットに明示的に割り当てました。

関連情報