Estoy usando pfSense como enrutador de Internet. Hasta ahora no he utilizado el adaptador wifi (está presente pero desactivado). Sólo uso uno de los puertos Ethernet para la interfaz interna. Para wifi tengo un punto de acceso independiente.
Ahora me gustaría utilizar el adaptador wifi integrado en mi caja pfSense. (Soy consciente de que no se recomienda, pero creo que ninguno de los argumentos en contra es relevante para mi caso de uso).
Esquema de lo que tengo en mente:
- Configure el adaptador wifi como punto de acceso, pero sin configuración de IP propia – LISTO
- Configure un puente para ambas interfaces internas (eth y wifi) y cree una nueva interfaz para él – LISTO
- Configure los ajustes del sistema para filtrar el tráfico del puente en el puente, no en sus interfaces de miembros – LISTO
- Mover (o copiar) la configuración y las reglas de IP desde la interfaz eth interna al puente
- Agregue una regla para el puente para que el tráfico pueda pasar entre eth y wifi
Me quedé atascado en el cuarto paso: cuando intento asignar una dirección IP de mi subred al puente, aparece un error porque la dirección o el rango se superpone con el de la interfaz eth, que eventualmente intentaré eliminar, pero no hasta Tengo la interfaz del puente activa y funcionando.
¿Cómo puedo mover la configuración de IP (y posiblemente también las reglas) a una interfaz puente desde uno de sus miembros? (Además, existe la regla antibloqueo automática, que no se puede editar: ¿cómo puedo decirle a pfSense que esto debería ir al puente, no a una de sus interfaces miembro?)
Respuesta1
Usar un puente como interfaz interna es algo algo avanzado de configurar, y es mejor hacerlo al configurar inicialmente el sistema (ya que es más fácil regresar si algo sale mal), aunque también se puede hacer después.
Una advertencia aquí: asegúrese de tener una copia de seguridad de su sistema en caso de que algo salga mal. Al menos, exporte su configuración y guárdela. Mejor aún, cree una imagen completa de su disco para que siempre pueda volver exactamente a la misma configuración del sistema que tenía antes.
Hice los siguientes pasos en OPNsense; También deberían funcionar con pfSense. Los pasos se basan libremente en eldocumentos oficiales de OPNsense.
Necesitará una interfaz Ethernet adicional libre (no asignada) durante la conmutación. Suponemos que su interfaz LAN tiene un nombre LANen Asignaciones de interfaz, que es el nombre predeterminado asignado durante la configuración, aunque se puede cambiar en cualquier momento más adelante.
En Asignaciones de interfaz, elija la interfaz Ethernet no utilizada como LANinterfaz y guárdela. Desenchufe su cable Ethernet de la antigua interfaz LAN y conéctelo a la interfaz temporal. Asegúrese de poder acceder a la GUI web desde su estación de trabajo.
Configure el puente, asegurándose de agregar el puerto LAN anterior (y futuro) como interfaz miembro. Agregue otros puertos al puente según sea necesario.
Es posible que deba ingresar a System Tunables (OPNsense los tiene en Sistema > Configuración > Tunables) y configurarlos net.link.bridge.pfil_bridgeen 1 y net.link.bridge.pfil_member0. Esto hará que pfSense/OPNsense filtre el tráfico del puente en la interfaz del puente, no en sus interfaces miembro. (He configurado mi sistema de esta manera, pero es posible que no sea necesario).
De vuelta en Asignaciones de interfaz, elija el nuevo puente para que sea la LANinterfaz. Desenchufe el cable LAN del puerto temporal y conéctelo a cualquier puerto Ethernet que esté en su nuevo puente LAN.
Ahora tiene un puente como interfaz interna. Esto le permite, por ejemplo, configurar un punto de acceso wifi en su dispositivo y asignar una única dirección IP tanto al wifi como a su puerto Ethernet interno.
Tenga en cuenta que pfSense/OPNsense filtra todo el tráfico en la interfaz del puente. Si desea habilitar la comunicación entre diferentes puertos en su puente (por ejemplo, entre máquinas en Ethernet y aquellas conectadas a un punto de acceso wifi en el mismo puente), deberá agregar reglas.
En mi humilde opinión, esto es bastante engorroso; He abiertonúmero 5604para OPNsense, con la esperanza de que esto sea más fácil en alguna versión futura.