Als Internet-Router verwende ich pfSense. Den WLAN-Adapter habe ich bisher nicht genutzt (er ist vorhanden, aber deaktiviert). Ich verwende lediglich einen der Ethernet-Ports für die interne Schnittstelle. Für WLAN habe ich einen separaten Access Point.
Jetzt möchte ich den integrierten WLAN-Adapter in meiner pfSense-Box verwenden. (Ich weiß, dass davon abgeraten wird, aber ich glaube, dass keines der Gegenargumente für meinen Anwendungsfall relevant ist.)
Überblick über das, was ich vorhabe:
- Konfigurieren Sie den WLAN-Adapter als Access Point, jedoch ohne eigene IP-Konfiguration – FERTIG
- Konfigurieren Sie eine Brücke für beide internen Schnittstellen (Eth und WLAN) und erstellen Sie eine neue Schnittstelle dafür – FERTIG
- Stellen Sie Systemeinstellungen so ein, dass der Bridge-Verkehr an der Bridge gefiltert wird, nicht an den zugehörigen Schnittstellen – FERTIG
- Verschieben (oder kopieren) Sie die IP-Konfiguration und Regeln von der internen ETH-Schnittstelle zur Bridge
- Fügen Sie eine Regel für die Brücke hinzu, damit der Datenverkehr zwischen ETH und WLAN passieren kann
Beim vierten Schritt stecke ich fest: Beim Versuch, der Bridge eine IP-Adresse aus meinem Subnetz zuzuweisen, erhalte ich eine Fehlermeldung, weil sich die Adresse oder der Bereich mit dem auf der ETH-Schnittstelle überschneidet – was ich letztendlich entfernen möchte, aber erst, wenn die Bridge-Schnittstelle eingerichtet und funktionsfähig ist.
Wie kann ich die IP-Konfiguration (und möglicherweise auch die Regeln) von einem der Mitglieder auf eine Bridge-Schnittstelle verschieben? (Außerdem gibt es die automatische Anti-Lockout-Regel, die nicht bearbeitet werden kann: Wie kann ich pfSense mitteilen, dass diese auf die Bridge und nicht auf eine der Mitgliedsschnittstellen verschoben werden soll?)
Antwort1
Die Verwendung einer Bridge als interne Schnittstelle erfordert etwas fortgeschrittene Kenntnisse und sollte am besten bei der Ersteinrichtung des Systems durchgeführt werden (da es dann einfacher ist, zurückzugehen, wenn etwas schief geht). Die Einrichtung ist jedoch auch nachträglich möglich.
Ein Wort der Warnung: Stellen Sie sicher, dass Sie eine Sicherungskopie Ihres Systems haben, falls etwas schief geht. Exportieren und speichern Sie zumindest Ihre Konfiguration. Besser noch: Erstellen Sie ein vollständiges Image Ihrer Festplatte, damit Sie immer zur exakt gleichen Systemkonfiguration zurückkehren können, die Sie vorher hatten.
Ich habe die folgenden Schritte mit OPNsense durchgeführt; sie sollten mit pfSense genauso gut funktionieren. Die Schritte basieren lose auf demoffizielle OPNsense-Dokumente.
Sie benötigen während der Umstellung eine zusätzliche freie (nicht zugewiesene) Ethernet-Schnittstelle. Wir gehen davon aus, dass Ihre LAN-Schnittstelle LANin den Schnittstellenzuweisungen benannt ist. Dies ist der Standardname, der während der Einrichtung zugewiesen wurde. Dieser kann jedoch später jederzeit geändert werden.
Wählen Sie unter Schnittstellenzuweisungen die unbenutzte Ethernet-Schnittstelle als LANSchnittstelle aus und speichern Sie. Ziehen Sie Ihr Ethernet-Kabel von der alten LAN-Schnittstelle ab und stecken Sie es in die temporäre Schnittstelle. Stellen Sie sicher, dass Sie von Ihrer Workstation aus weiterhin auf die Web-GUI zugreifen können.
Konfigurieren Sie die Brücke und achten Sie darauf, den bisherigen (und zukünftigen) LAN-Port als Mitgliedsschnittstelle hinzuzufügen. Fügen Sie der Brücke nach Bedarf weitere Ports hinzu.
Möglicherweise müssen Sie in die System-Tunables gehen (OPNsense hat sie unter System > Einstellungen > Tunables) und net.link.bridge.pfil_bridgeauf 1 und net.link.bridge.pfil_member0 setzen. Dadurch filtert pfSense/OPNsense den Bridge-Verkehr an der Bridge-Schnittstelle, nicht an den Mitgliedsschnittstellen. (Ich habe mein System so konfiguriert, aber das ist möglicherweise nicht nötig.)
Wählen Sie unter „Schnittstellenzuweisungen“ die neue Brücke als LANSchnittstelle aus. Ziehen Sie das LAN-Kabel vom temporären Port ab und stecken Sie es in einen beliebigen Ethernet-Port Ihrer neuen LAN-Brücke.
Sie verfügen nun über eine Bridge als interne Schnittstelle. Damit können Sie beispielsweise einen WLAN-Zugangspunkt auf Ihrem Gerät konfigurieren und sowohl dem WLAN als auch Ihrem internen Ethernet-Port eine einzelne IP-Adresse zuweisen.
Beachten Sie, dass pfSense/OPNsense den gesamten Datenverkehr an der Bridge-Schnittstelle filtert. Wenn Sie die Kommunikation zwischen verschiedenen Ports auf Ihrer Bridge ermöglichen möchten (z. B. zwischen Maschinen im Ethernet und solchen, die mit einem WLAN-Zugangspunkt auf derselben Bridge verbunden sind), müssen Sie Regeln hinzufügen.
Das ist meiner Meinung nach ziemlich umständlich. Ich habeAusgabe 5604für OPNsense, in der Hoffnung, dass dies in einer zukünftigen Version einfacher wird.