Kein Internetzugriff auf Gast-SSID mit dediziertem 802.1Q VLAN

tag-icon tag-icon wireless-networking routing vlan pfsense ssid
Kein Internetzugriff auf Gast-SSID mit dediziertem 802.1Q VLAN

Ich habe eine Firewall (Pfsense). Ich habe einen verwalteten Switch (TP Link TL-SG108E). Ich habe einen drahtlosen Zugangspunkt (TP Link TL-WA801ND).

Die Firewall (Pfsense) verfügt über 1 Ethernet-Port mit vier Subschnittstellen.

  1. em0.10 deaktiviert - wird nach dem Test DHCP-Client
  2. em0.20 192.168.0.1/25 (Netzwerk 192.168.0.0/25 [126 Hostadressen])
  3. em0.30 192.168.0.129/25 (Netzwerk 192.168.0.128/25 [126 Hostadressen])
  4. em0.40 deaktiviert - wird nach dem Test 10.0.0.1/30 (Netzwerk 10.0.0.0/30 [2 Hostadressen]) sein

Der verwaltete Switch (TL-SG108E) ist für den Betrieb auf 4 entsprechenden 802.1Q-VLANs konfiguriert:

  1. VLAN 10 (INTERNET)
  2. VLAN 20 (PRIVAT)
  3. VLAN 30 (GAST)
  4. VLAN 40 (ÖFFENTLICH)

Der WLAN-Zugangspunkt (TL-WA801ND) ist auf Multi-SSID-Modus mit aktivierten VLANs eingestellt. Es sind zwei SSIDs konfiguriert:

  1. SSID-Privat – VLAN 20
  2. SSID-Gast - VLAN 30

Hier ist eine Liste der an den verwalteten 8-Port-Switch (TL-SG108E) angeschlossenen Hardware:

  1. ausgesteckt - Modem wird nach dem Test eingesteckt
  2. Firewall (Pfsense)
  3. Drahtloser Zugangspunkt (TL-WA801ND)
  4. Router mit erfolgreicher Internetverbindung.
  5. PRIVATE VLAN-Hosts
  6. PRIVATE VLAN-Hosts
  7. PRIVATE VLAN-Hosts
  8. nicht angeschlossen - wird nach dem Testen an den Webserver angeschlossen

Hier sind die VLAN-Einstellungen für jeden der Ports auf dem verwalteten Switch (TL-SG108E):

  1. PVID 10 | VLANs: [10-untagged]
  2. TRUNK – PVID 1 | VLANs: [10-markiert], [20-markiert], [30-markiert], [40-markiert]
  3. TRUNK – PVID 1 | VLANs: [20-markiert, 30-markiert]
  4. PVID 20 | VLANs: [20-untagged]
  5. PVID 20 | VLANs: [20-untagged]
  6. PVID 20 | VLANs: [20-untagged]
  7. PVID 20 | VLANs: [20-untagged]
  8. PVID 40 | VLANs: [10-untagged]

Die Firewall-Regeln wurden so eingestellt, dass der gesamte Datenverkehr zwischen allen Schnittstellen zum Testen zugelassen wird. Ich werde sie sperren, nachdem ich herausgefunden habe, wie ich den Internetzugriff auf meine Gast-SSID aktivieren kann.

Die Hosts im privaten Netzwerk (VLAN 20 192.168.0.0/25) haben Internetzugang, Hosts im Gastnetzwerk (VLAN 30 192.168.0.128/25) nicht. Der internetseitige Router stellt dem privaten Subnetz DHCP-Adressen mit den Endungen 50-99 zur Verfügung, und die Firewall (Pfsense) stellt dem Gastsubnetz DHCP-Adressen mit den Endungen 150-199 zur Verfügung.

Ich vermute, es könnte an NAT, den Firewall-Regeln, DNS oder etwas anderem liegen, aber ich denke, es liegt wahrscheinlich an einer Fehlkonfiguration meines verwalteten Switches – aber ich bin nicht sicher.

Sind Experten im Haus?

Antwort1

Ok, kein Diagramm erforderlich. Die Antwort auf Ihre Frage finden Sie in Ihren letzten Kommentaren.

Der Grund, warum das zweite Subnetz keinen Zugriff hat, ist, dass pf-sense eigentlich keinen Internetzugang hat. Sie haben Ihre DD-wrt-ISP-Verbindung an VLAN 20 angeschlossen, was bedeutet, dass DD-wrt höchstwahrscheinlich DHCP bedient und sich selbst als Gateway für alle Clients einsetzt.

Laut PF-sense besteht keine Internetverbindung. Dies liegt daran, dass VLAN-20 eine LAN-Schnittstelle und keine ausgewiesene WAN-Schnittstelle ist. Clients müssen DHCP von Pf-sense haben, das auf Pf-sense als Gateway verweist. (weil es sowohl Routing als auch NAT für alle virtuellen LAN-Schnittstellen durchführt.)

Folgendes müssen Sie also tun:

Wählen Sie zwei neue Subnetze für VLANS 20 und 30,

Ich persönlich verwende private Bereiche der Klasse A, die dem VLAN entsprechen, mit dem sie verknüpft sind.

Der Grund, warum Sie dies tun möchten, wird nach dem Beispiel deutlich.

Beispiel;

VLAN-10 = WAN (UN-markiert auf Port-10) [em0.10 DHCP WAN befindet sich in 192.168.0.0 /25]
(Später wird dies die öffentliche IP von Ihrem ISP sein)

VLAN-20 = 10.10.20.0 /24 (Privates LAN) [em0.20 IP=10.10.20.1 /24]

VLAN-30 = 10.10.30.0 /24 (Gast-LAN) [em0.30 IP=10.10.30.1 /24]

VLAN-40 = 10.10.40.0 /24 (Zusätzliches LAN) [em0.40 IP=10.10.40.1 /24]

Normalerweise mache ich das der Einfachheit halber. Manchmal ist es einfacher, IP-/VLAN-Probleme im LAN zu beheben, wenn Sie sich die IP ansehen und sofort wissen, zu welchem ​​VLAN sie gehört. Wenn Sie jedoch bereits Laufwerksfreigaben und andere Dinge eingerichtet haben, hätte ich Verständnis dafür, Ihr aktuelles Schema so zu belassen, wie es ist

Schließen Sie Ihr LAN-seitiges Ethernet vom DD-wrt-Router an Port 1 (VLAN 10) an, gehen Sie zu Ihrer Weboberfläche und aktivieren Sie em0.10, warten Sie eine Sekunde und prüfen Sie dann unter Status > Schnittstellen, ob die WAN-Verbindung eine IP-Adresse abgerufen hat.

Alle LAN-Schnittstellen sollten an diesem Punkt Zugriff auf den ISP haben, sofern Sie Standardregeln eingerichtet haben.

Richten Sie nun DHCP-Pools für die virtuellen LAN-Schnittstellen von PF-sense ein. Ich würde in dieser Phase empfehlen, einen für DHCP eingerichteten Computer zu nehmen und ihn an jedes einzelne VLAN anzuschließen, mit Ausnahme von 10 auf dem Switch. Stellen Sie sicher, dass Sie auf jeder Schnittstelle DHCP von PF-sense erhalten und dass alle jetzt eine Verbindung zum Internet haben.

Wenn Sie den DD-wrt-Router loswerden möchten, entfernen Sie ihn einfach und legen Sie ein Ethernet vom ISP direkt zum Switch an Port 1, aktualisieren Sie die DHCP-Lease der WAN-Schnittstelle, und schon sollte es losgehen.

Sagen Sie mir Bescheid, wenn Sie Probleme haben.

Antwort2

Danke für all die Ideen, Tim. Aber letztendlich habe ich Folgendes gemacht:

Auf Pfsense habe ich ein Gateway 192.168.0.2 (LAN-Portadresse von DD-WRT) erstellt und es als Standard-Gateway für die private Schnittstelle zugewiesen.

Ich habe automatisches NAT aktiviert (was vermutlich nur die Loopback- und Gast-Subnetzadressen in die private Schnittstellenadresse 192.168.0.1 der Firewall übersetzt).

Ich dachte, ich könnte die DNS-Server von Pfsense (System > Allgemeine Einrichtung > DNS-Servereinstellungen) für das Gastsubnetz nutzen, indem ich entweder den DNS-Weiterleitungsdienst oder den DNS-Resolverdienst aktiviere und den DHCP-Serverdienst von Pfsense so einrichte, dass die IP-Adresse 192.168.0.129 des Gastsubnetzes von Pfsense als DNS-Server für Hosts im Gastnetzwerk zugewiesen wird.

Aber weil ich 1. entweder wieder etwas falsch konfiguriert habe oder 2. nicht lange genug gewartet habe, bis die Einstellungen wirksam wurden, habe ich sowohl die DNS-Weiterleitungs- als auch die DNS-Resolver-Dienste deaktiviert und nur den DHCP-Dienst so eingerichtet, dass meine privaten DNS-Server explizit dem Gastsubnetz zugewiesen werden.

verwandte Informationen