No hay acceso a Internet para el SSID invitado con VLAN 802.1Q dedicada

tag-icon tag-icon wireless-networking routing vlan pfsense ssid
No hay acceso a Internet para el SSID invitado con VLAN 802.1Q dedicada

Tengo un firewall (Pfsense). Tengo un conmutador administrado (TP Link TL-SG108E). Tengo un punto de acceso inalámbrico (TP Link TL-WA801ND).

El firewall (Pfsense) tiene 1 puerto Ethernet con cuatro subinterfaces.

  1. em0.10 deshabilitado: será cliente DHCP después de la prueba
  2. em0.20 192.168.0.1/25 (Red 192.168.0.0/25 [126 direcciones de host])
  3. em0.30 192.168.0.129/25 (Red 192.168.0.128/25 [126 direcciones de host])
  4. em0.40 deshabilitado: será 10.0.0.1/30 (Red 10.0.0.0/30 [2 direcciones de host]) después de la prueba

El conmutador administrado (TL-SG108E) está configurado para funcionar en 4 VLAN 802.1Q correspondientes:

  1. VLAN 10 (INTERNET)
  2. VLAN 20 (PRIVADA)
  3. VLAN 30 (INVITADO)
  4. VLAN 40 (PÚBLICA)

El punto de acceso inalámbrico (TL-WA801ND) está configurado en modo Multi-SSID con VLAN habilitadas. Hay dos SSID configurados:

  1. SSID-Privado - VLAN 20
  2. SSID-Invitado - VLAN 30

A continuación se muestra una lista del hardware conectado al conmutador administrado de 8 puertos (TL-SG108E):

  1. desconectado: conectará el módem después de realizar la prueba
  2. Cortafuegos (Pfsense)
  3. Punto de acceso inalámbrico (TL-WA801ND)
  4. Enrutador con conexión a Internet exitosa.
  5. Hosts VLAN PRIVADOS
  6. Hosts VLAN PRIVADOS
  7. Hosts VLAN PRIVADOS
  8. desconectado: se conectará al servidor web después de la prueba

Aquí están las configuraciones de VLAN para cada uno de los puertos en el conmutador administrado (TL-SG108E):

  1. PVID 10 | VLAN: [10-sin etiquetar]
  2. TRONCO - PVID 1 | VLAN: [10 etiquetas], [20 etiquetas], [30 etiquetas], [40 etiquetas]
  3. TRONCO - PVID 1 | VLAN: [20 etiquetas, 30 etiquetas]
  4. PVID 20 | VLAN: [20-sin etiquetar]
  5. PVID 20 | VLAN: [20-sin etiquetar]
  6. PVID 20 | VLAN: [20-sin etiquetar]
  7. PVID 20 | VLAN: [20-sin etiquetar]
  8. PVID 40 | VLAN: [10-sin etiquetar]

Se han establecido reglas de firewall para permitir todo el tráfico entre todas las interfaces para realizar pruebas. Lo bloquearé después de descubrir cómo habilitar el acceso a Internet a mi SSID de invitado.

Los hosts de la red privada (VLAN 20 192.168.0.0/25) tienen acceso a Internet y los hosts de la red invitada (VLAN 30 192.168.0.128/25) no. El enrutador con acceso a Internet proporciona direcciones DHCP que terminan en 50-99 a la subred privada y el firewall (Pfsense) proporciona direcciones DHCP que terminan en 150-199 a la subred invitada.

Supongo que podría ser NAT, reglas de firewall, DNS u otra cosa, pero creo que probablemente se trate de una mala configuración en mi conmutador administrado, pero no estoy seguro.

¿Hay algún experto en la casa?

Respuesta1

Ok, no se necesita diagrama. La respuesta a tu pregunta está en tus últimos comentarios.

La razón por la que la segunda subred no tiene acceso es porque pf-sense en realidad no tiene acceso a Internet. Tiene su conexión ISP de DD-wrt conectada a la VLAN 20, lo que significa que lo más probable es que DD-wrt esté sirviendo DHCP y sirviendo de puerta de enlace para todos los clientes.

Según PF-sense no hay conexión a Internet. Esto se debe a que VLAN-20 es una interfaz LAN, no una interfaz WAN designada. Los clientes deben tener DHCP de Pf-sense apuntando a Pf-sense como su puerta de enlace. (porque realizará tanto enrutamiento como NAT para todas las interfaces LAN virtuales).

Entonces esto es lo que debes hacer,

Elija dos nuevas subredes para VLANS 20 y 30,

Yo personalmente uso rangos privados de Clase A que coinciden con la VLAN a la que están asociados.

La razón por la que quizás quieras hacer esto quedará evidente después del ejemplo.

Ejemplo;

VLAN-10 = WAN (Etiquetado como ONU en el puerto 10) [em0.10 DHCP WAN estará en 192.168.0.0 /25]
(Más adelante será la IP pública de su ISP)

VLAN-20 = 10.10.20.0 /24 (LAN privada) [em0.20 IP=10.10.20.1 /24]

VLAN-30 = 10.10.30.0 /24 (LAN invitada) [em0.30 IP=10.10.30.1 /24]

VLAN-40 = 10.10.40.0 /24 (LAN adicional) [em0.40 IP=10.10.40.1 /24]

Normalmente hago esto por simplicidad, a veces es más fácil solucionar problemas de IP/VLAN en la LAN si puedes mirar la IP y saber inmediatamente a qué VLAN pertenece. pero si ya tiene unidades compartidas y otras cosas configuradas, entendería que deje su esquema actual como está.

conecte su Ethernet del lado LAN desde el enrutador DD-wrt al puerto uno (vlan10), vaya a su interfaz web y habilite em0.10, espere un segundo y luego verifique en estado> interfaces y vea si la conexión WAN ha recuperado una dirección IP.

Todas las interfaces LAN en este punto deberían tener acceso al ISP, siempre que tenga reglas predeterminadas configuradas.

Ahora configure grupos DHCP para las interfaces LAN virtuales PF-sense. Recomendaría en esta etapa configurar una computadora para DHCP y conectarla a cada VLAN individual excepto a 10 en el conmutador. asegúrese de obtener DHCP de PF-sense en cada interfaz y asegúrese de que cada una de ellas tenga ahora una conexión a Internet.

Cuando esté listo para deshacerse del enrutador DD-wrt, simplemente retírelo y coloque una Ethernet del ISP que vaya directamente al conmutador en el puerto 1, actualice la concesión DHCP de la interfaz WAN y estará listo para comenzar.

Déjame saber si tienes problemas.

Respuesta2

Gracias por todas las ideas Tim. Pero lo que terminé haciendo fue esto:

En Pfsense, creé una puerta de enlace 192.168.0.2 (dirección del puerto LAN de DD-WRT) y la asigné como puerta de enlace predeterminada para la interfaz privada.

Habilité la NAT automática (que supongo que simplemente traduce las direcciones de bucle invertido y de subred invitada a la dirección de interfaz privada del firewall 192.168.0.1).

Pensé que podría utilizar los servidores DNS de Pfsense (sistema > configuración general > configuración del servidor DNS) para la subred invitada habilitando el servicio de reenvío de DNS o el servicio de resolución de DNS. y configurar el servicio de servidor DHCP de Pfsense para asignar la dirección IP de la subred de invitados de Pfsense 192.168.0.129 como servidor DNS para los hosts de la red de invitados.

Pero porque, 1. o volví a configurar mal algo o, 2. no esperé lo suficiente para que se aplicaran las configuraciones, deshabilité los servicios de reenviador de DNS y resolución de DNS y simplemente configuré el servicio DHCP para asignar explícitamente mis datos privados. Servidores DNS a la subred invitada.

información relacionada