Finalmente logré configurar mi pfSense conectado a través de la interfaz WAN a un enrutador ISP, que a su vez es DMZing a pfSense. Agregué VLAN para diferentes tareas siguienteseste tutorial, donde DHCP en cada VLAN está habilitado, se reenvía DNS. Exactamente como dice el tutorial.
Esta es mi configuración en línea:
Internet --- ISP Router --- pfSense --- HP2920 switch --- Desktop/Laptop
Luego agregué las mismas VLAN (mismo ID y nombre) al conmutador HP 2920. Por ejemplo, VLAN con ID 10 con puertos sin etiquetar del 5 al 24 para computadoras. Luego hay una VLAN_DEFAULT predeterminada con ID 1 en el conmutador con puertos sin etiquetar 1-4,25-48. La caja pfSense está conectada al puerto 48.
Vea mi configuración aquí:
enrutador ISP
IP 192.168.1.1
Subnet 255.255.255.0
DMZ forward to pfsense LAN IP 192.168.1.254
sentidopf
WAN 192.168.1.254/24
LAN 192.168.2.1/24
VLAN ID 10 - 192.168.10.1/24 Servers
VLAN ID 20 - 192.168.20.1/24 Computers
VLAN ID 30 - 192.168.30.1/24 VOIP
VLAN ID 40 - 192.168.40.1/24 Cameras
VLAN ID 50 - 192.168.50.1/24 WirelessStaff
VLAN ID 60 - 192.168.60.1/24 WirelessGuests
Esto es lo que me da show ip route:
IP Route Entries
Destination Gateway VLAN Type Sub-Type Metric Dist.
------------------ --------------- ---- --------- ---------- ---------- -----
0.0.0.0/0 192.168.2.1 1 static 250 1
127.0.0.0/8 reject static 0 0
127.0.0.1/32 lo0 connected 1 0
192.168.2.0/24 DEFAULT_VLAN 1 connected 1 0
Cuando conecto mi computadora portátil al puerto 1, por ejemplo, la VLAN predeterminada, tengo Internet y puedo hacer ping a todas las VLAN. Sin embargo, cuando conecto mi computadora portátil al puerto 5, aparece una "red no identificada" sin "Internet" en mi computadora portátil.
¿Alguien puede decirme qué me falta? Me alegro de CUALQUIER consejo.
EDITAR
Este es mi informe de configuración del conmutador en este momento. (Cambié el puerto 5 al puerto 25 para computadoras VLAN, porque usé los otros puertos para otras cosas)
; J9728A Configuration Editor; Created on release #WB.16.04.0008
; Ver #...
hostname "somehost"
module 1 type j9728a
ip default-gateway 192.168.2.1
ip route 0.0.0.0 0.0.0.0 192.168.2.1
interface 48
name "pfsense"
exit
snmp-server community "public" unrestricted
snmp-server contact "[email protected]"
oobm
ip address dhcp-bootp
exit
vlan 1
name "DEFAULT_VLAN"
no untagged 25
untagged 1-24,26-48
ip address 192.168.2.3 255.255.255.0
exit
vlan 10
name "Servers"
no ip address
exit
vlan 20
name "Computers"
untagged 25
ip address 192.168.20.1 255.255.255.0
exit
vlan 30
name "VOIP"
no ip address
exit
vlan 40
name "Cameras"
no ip address
exit
vlan 50
name "WirelessStaff"
no ip address
exit
vlan 60
name "WirelessGuests"
no ip address
exit
spanning-tree
y el resultado de show ip route:
Destination Gateway VLAN Type Sub-Type Metric Dist.
------------------ --------------- ---- --------- ---------- ---------- -----
0.0.0.0/0 192.168.2.1 1 static 1 1
127.0.0.0/8 reject static 0 0
127.0.0.1/32 lo0 connected 1 0
192.168.2.0/24 DEFAULT_VLAN 1 connected 1 0
192.168.20.0/24 Computers 20 connected 1 0
mientras que la última línea sólo se muestra si mi computadora portátil está conectada al puerto 25...
Respuesta1
Te falta un enrutador.
Los nodos conectados a las distintas VLAN están necesariamente en subredes IP separadas. Por ejemplo, un host conectado al puerto 5 del conmutador se encuentra en la VLAN 20, que se supone que es la subred 192.168.20.0/24. Esa VLAN necesita un enrutador (digamos en 192.168.20.1) que sepa cómo enrutar el tráfico a la interfaz LAN de su pfSense en IP 192.168.2.1.
Según HPlista de característicasPara su conmutador 2920, se puede configurar para que actúe como enrutador. Una muestraparcial, no probadoLa configuración podría verse así:
ip route 0.0.0.0 0.0.0.0 192.168.2.1
ip routing
vlan 1
ip address 192.168.2.3 255.255.255.0
untagged 48
exit
vlan 20
ip address 192.168.20.1 255.255.255.0
untagged 5
exit
Este:
- Permite el enrutamiento con
ip routing - Establece la ruta predeterminada ("cómo llegar a Internet") a la IP LAN de pfSense 192.168.2.1 con
ip route 0.0.0.0 0.0.0.0 192.168.2.1 - Asigna al switch una IP en cada VLAN. Así es como el conmutador sabe dónde se encuentran las distintas subredes IP. Para todas las VLAN excepto la que contiene el cuadro pfSense, esta se convierte en la ruta predeterminada de la VLAN respectiva (también conocida como enrutador).
- Coloca el puerto 48 (pfSense) en la VLAN 1 y el puerto 5 en la VLAN 20.
Como paso final, los hosts de cada VLAN deben configurarse con la dirección IP del conmutador como puerta de enlace predeterminada. por ejemplo, en VLAN 20, los nodos deben apuntar a192.168.20.1como su puerta de enlace predeterminada.