전용 802.1Q VLAN이 있는 게스트 SSID에 대한 인터넷 액세스가 없습니다.

tag-icon tag-icon wireless-networking routing vlan pfsense ssid
전용 802.1Q VLAN이 있는 게스트 SSID에 대한 인터넷 액세스가 없습니다.

방화벽(Pfsense)이 있습니다. 관리형 스위치(TP Link TL-SG108E)가 있습니다. 무선 액세스 포인트(TP Link TL-WA801ND)가 있습니다.

방화벽(Pfsense)에는 4개의 하위 인터페이스가 있는 1개의 이더넷 포트가 있습니다.

  1. em0.10 비활성화됨 - 테스트 후 DHCP 클라이언트가 됩니다.
  2. em0.20 192.168.0.1/25 (네트워크 192.168.0.0/25 [126 호스트 주소])
  3. em0.30 192.168.0.129/25 (네트워크 192.168.0.128/25 [126 호스트 주소])
  4. em0.40 비활성화 - 테스트 후 10.0.0.1/30(네트워크 10.0.0.0/30 [2 호스트 주소])이 됩니다.

관리형 스위치(TL-SG108E)는 4개의 해당 802.1Q VLAN에서 작동하도록 구성됩니다.

  1. VLAN 10(인터넷)
  2. VLAN 20(개인)
  3. VLAN 30(게스트)
  4. VLAN 40(공용)

무선 액세스 포인트(TL-WA801ND)는 VLAN이 활성화된 다중 SSID 모드로 설정됩니다. 다음과 같은 두 개의 SSID가 구성되어 있습니다.

  1. SSID-개인 - VLAN 20
  2. SSID-게스트 - VLAN 30

다음은 8포트 관리형 스위치(TL-SG108E)에 연결된 하드웨어 목록입니다.

  1. 연결 해제됨 - 테스트 후 모뎀을 연결합니다.
  2. 방화벽(Pfsense)
  3. 무선 액세스 포인트(TL-WA801ND)
  4. 인터넷 연결이 성공한 라우터입니다.
  5. 개인 VLAN 호스트
  6. 개인 VLAN 호스트
  7. 개인 VLAN 호스트
  8. unplugged - 테스트 후 웹 서버에 연결됩니다.

관리형 스위치(TL-SG108E)의 각 포트에 대한 VLAN 설정은 다음과 같습니다.

  1. PVID 10 | VLAN: [10-태그 없음]
  2. 트렁크 - PVID 1 | VLAN: [10-태그], [20-태그], [30-태그], [40-태그]
  3. 트렁크 - PVID 1 | VLAN: [20-태그, 30-태그]
  4. PVID 20 | VLAN: [20-태그 없음]
  5. PVID 20 | VLAN: [20-태그 없음]
  6. PVID 20 | VLAN: [20-태그 없음]
  7. PVID 20 | VLAN: [20-태그 없음]
  8. PVID40 | VLAN: [10-태그 없음]

테스트를 위해 모든 인터페이스 간의 모든 트래픽을 허용하도록 방화벽 규칙이 설정되었습니다. 내 게스트 SSID에 대한 인터넷 액세스를 활성화하는 방법을 알아낸 후에는 잠그겠습니다.

개인 네트워크(VLAN 20 192.168.0.0/25)의 호스트는 인터넷에 액세스할 수 있지만 게스트 네트워크(VLAN 30 192.168.0.128/25)의 호스트는 인터넷에 액세스할 수 없습니다. 인터넷 연결 라우터는 50-99로 끝나는 DHCP 주소를 개인 서브넷에 제공하고 방화벽(Pfsense)은 150-199로 끝나는 DHCP 주소를 게스트 서브넷에 제공합니다.

NAT, 방화벽 규칙, DNS 등이 원인일 수 있지만 관리형 스위치의 구성이 잘못되었을 수도 있지만 확실하지는 않습니다.

집에 전문가가 있나요?

답변1

좋습니다. 다이어그램은 필요하지 않습니다. 귀하의 질문에 대한 답변은 귀하의 마지막 댓글에 있습니다.

두 번째 서브넷에 액세스할 수 없는 이유는 pf-sense가 실제로 인터넷에 액세스할 수 없기 때문입니다. DD-wrt ISP 연결이 VLAN 20에 연결되어 있습니다. 이는 DD-wrt가 DHCP를 제공하고 모든 클라이언트에 대한 게이트웨이 역할을 할 가능성이 높다는 것을 의미합니다.

PF-sense에 따르면 인터넷에 연결되어 있지 않습니다. VLAN-20은 지정된 WAN 인터페이스가 아닌 LAN 인터페이스이기 때문입니다. 클라이언트에는 Pf-sense를 게이트웨이로 가리키는 Pf-sense의 DHCP가 있어야 합니다. (모든 가상 LAN 인터페이스에 대해 라우팅과 NAT를 모두 수행하기 때문입니다.)

그래서 당신이 해야 할 일은 다음과 같습니다.

VLAN 20 및 30에 대해 두 개의 새로운 서브넷을 선택합니다.

저는 개인적으로 연결된 VLAN과 일치하는 Class-a 개인 범위를 사용합니다.

이 작업을 수행하려는 이유는 예제를 보면 분명해집니다.

예;

VLAN-10 = WAN(포트 10에 UN 태그가 지정됨) [em0.10 DHCP WAN은 192.168.0.0 /25에 있습니다.]
(나중에 ISP의 공용 IP가 됩니다)

VLAN-20 = 10.10.20.0 /24(사설 LAN) [em0.20 IP=10.10.20.1 /24]

VLAN-30 = 10.10.30.0 /24(게스트 LAN) [em0.30 IP=10.10.30.1 /24]

VLAN-40 = 10.10.40.0 /24(추가 LAN) [em0.40 IP=10.10.40.1 /24]

나는 일반적으로 단순화를 위해 이 작업을 수행합니다. 때로는 IP를 보고 그것이 속한 VLAN을 즉시 알 수 있으면 LAN에서 IP/VLAN 문제를 해결하는 것이 더 쉽습니다. 하지만 이미 드라이브 공유 및 기타 설정이 있다면 현재 계획을 그대로 두는 것을 이해할 것입니다.

DD-wrt 라우터의 LAN 측 이더넷을 포트 1(vlan10)에 연결하고 웹 인터페이스로 이동하여 em0.10을 활성화하고 잠시 기다린 다음 상태 > 인터페이스에서 WAN 연결이 IP 주소를 검색했는지 확인하십시오.

이 시점의 모든 LAN 인터페이스는 기본 규칙이 설정되어 있는 한 ISP에 액세스할 수 있어야 합니다.

이제 PF 감지 가상 LAN 인터페이스에 대한 DHCP 풀을 설정합니다. 이 단계에서는 DHCP용 컴퓨터 설정을 선택하여 스위치의 10개를 제외한 각 개별 VLAN에 연결하는 것이 좋습니다. 각 인터페이스의 PF-sense에서 DHCP를 받고 있는지 확인하고 이제 각각이 인터넷에 연결되어 있는지 확인하세요.

DD-wrt 라우터를 버릴 준비가 되면 이를 제거하고 ISP의 이더넷을 포트 1의 스위치로 직접 연결하고 WAN 인터페이스 DHCP 임대를 새로 고치면 됩니다.

문제가 있으면 알려주세요.

답변2

모든 아이디어 팀에 감사드립니다. 하지만 결국 내가 한 일은 다음과 같습니다.

Pfsense에서 게이트웨이 192.168.0.2(DD-WRT의 LAN 포트 주소)를 생성하고 이를 개인 인터페이스의 기본 게이트웨이로 할당했습니다.

자동 NAT를 활성화했습니다. (루프백 및 게스트 서브넷 주소를 방화벽의 개인 인터페이스 주소 192.168.0.1로 변환한 것 같습니다.)

DNS 전달자 서비스 또는 DNS 확인자 서비스를 활성화하면 게스트 서브넷에 대해 Pfsense의 DNS 서버(시스템 > 일반 설정 > DNS 서버 설정)를 활용할 수 있다고 생각했습니다. Pfsense의 DHCP 서버 서비스를 설정하여 Pfsense의 게스트 서브넷 IP 주소 192.168.0.129를 게스트 네트워크 호스트의 DNS 서버로 할당합니다.

하지만 1. 뭔가를 다시 잘못 구성했거나 2. 설정이 적용될 때까지 충분히 기다리지 않았기 때문에 DNS 전달자와 DNS 확인자 서비스를 모두 비활성화하고 DHCP 서비스를 설정하여 내 개인 정보를 명시적으로 할당했습니다. 게스트 서브넷에 대한 DNS 서버.

관련 정보