Finalmente consegui configurar meu pfSense conectado pela interface WAN a um roteador ISP, que por sua vez está DMZing para o pfSense. Adicionei VLANs para diferentes tarefas seguindoeste tutorial, onde o DHCP em cada VLAN está habilitado, o DNS está sendo encaminhado. Exatamente como o tutorial disse.
Esta é a minha configuração na linha:
Internet --- ISP Router --- pfSense --- HP2920 switch --- Desktop/Laptop
Em seguida, adicionei as mesmas VLANs (mesmo ID e nome) ao switch HP 2920. Por exemplo, VLAN com ID 10 com portas não marcadas de 5 a 24 para computadores. Depois, há um VLAN_DEFAULT padrão com ID 1 no switch com portas não marcadas 1-4,25-48. A caixa pfSense está conectada à porta 48.
Veja minha configuração aqui:
Roteador ISP
IP 192.168.1.1
Subnet 255.255.255.0
DMZ forward to pfsense LAN IP 192.168.1.254
pfSense
WAN 192.168.1.254/24
LAN 192.168.2.1/24
VLAN ID 10 - 192.168.10.1/24 Servers
VLAN ID 20 - 192.168.20.1/24 Computers
VLAN ID 30 - 192.168.30.1/24 VOIP
VLAN ID 40 - 192.168.40.1/24 Cameras
VLAN ID 50 - 192.168.50.1/24 WirelessStaff
VLAN ID 60 - 192.168.60.1/24 WirelessGuests
Isto é o que show ip route me dá:
IP Route Entries
Destination Gateway VLAN Type Sub-Type Metric Dist.
------------------ --------------- ---- --------- ---------- ---------- -----
0.0.0.0/0 192.168.2.1 1 static 250 1
127.0.0.0/8 reject static 0 0
127.0.0.1/32 lo0 connected 1 0
192.168.2.0/24 DEFAULT_VLAN 1 connected 1 0
Quando conecto meu laptop à porta 1, por exemplo, a VLAN padrão, tenho Internet e posso executar ping em todas as VLANs. No entanto, quando conecto meu laptop à porta 5, recebo uma "rede não identificada" com "sem Internet" no meu laptop.
Alguém pode me dizer o que estou perdendo? Fico feliz por QUALQUER dica.
EDITAR
Este é o meu relatório de configuração do switch agora. (mudei a porta 5 para a porta 25 para computadores vlan, porque usei as outras portas para outras coisas)
; J9728A Configuration Editor; Created on release #WB.16.04.0008
; Ver #...
hostname "somehost"
module 1 type j9728a
ip default-gateway 192.168.2.1
ip route 0.0.0.0 0.0.0.0 192.168.2.1
interface 48
name "pfsense"
exit
snmp-server community "public" unrestricted
snmp-server contact "[email protected]"
oobm
ip address dhcp-bootp
exit
vlan 1
name "DEFAULT_VLAN"
no untagged 25
untagged 1-24,26-48
ip address 192.168.2.3 255.255.255.0
exit
vlan 10
name "Servers"
no ip address
exit
vlan 20
name "Computers"
untagged 25
ip address 192.168.20.1 255.255.255.0
exit
vlan 30
name "VOIP"
no ip address
exit
vlan 40
name "Cameras"
no ip address
exit
vlan 50
name "WirelessStaff"
no ip address
exit
vlan 60
name "WirelessGuests"
no ip address
exit
spanning-tree
e o resultado de show ip route:
Destination Gateway VLAN Type Sub-Type Metric Dist.
------------------ --------------- ---- --------- ---------- ---------- -----
0.0.0.0/0 192.168.2.1 1 static 1 1
127.0.0.0/8 reject static 0 0
127.0.0.1/32 lo0 connected 1 0
192.168.2.0/24 DEFAULT_VLAN 1 connected 1 0
192.168.20.0/24 Computers 20 connected 1 0
enquanto a última linha só é mostrada se meu laptop estiver conectado à porta 25...
Responder1
Está faltando um roteador.
Os nós conectados às diversas VLANs estão necessariamente em sub-redes IP separadas. Por exemplo, um host conectado à porta 5 do switch encontra-se na VLAN 20, que deveria ser sub-rede 192.168.20.0/24. Essa VLAN precisa de um roteador (digamos 192.168.20.1) que saiba como rotear o tráfego para a interface LAN do seu pfSense no IP 192.168.2.1.
De acordo com a HPlista de recursospara o seu switch 2920, ele pode ser configurado para funcionar como um roteador. Uma amostraparcial, não testadoa configuração pode ser assim:
ip route 0.0.0.0 0.0.0.0 192.168.2.1
ip routing
vlan 1
ip address 192.168.2.3 255.255.255.0
untagged 48
exit
vlan 20
ip address 192.168.20.1 255.255.255.0
untagged 5
exit
Esse:
- Permite roteamento com
ip routing - Define a rota padrão ("como chegar à Internet") para o IP LAN 192.168.2.1 do pfSense com
ip route 0.0.0.0 0.0.0.0 192.168.2.1 - Atribui ao switch um IP em cada VLAN. É assim que o switch sabe onde estão localizadas as diversas sub-redes IP. Para todas as VLANs, exceto aquela que contém a caixa pfSense, esta se torna a rota padrão da respectiva VLAN (também conhecida como roteador).
- Coloca a porta 48 (pfSense) na VLAN 1 e a porta 5 na VLAN 20
Como etapa final, os hosts em cada VLAN devem ser configurados com o endereço IP do switch como gateway padrão. por exemplo, na VLAN 20, os nós devem apontar para192.168.20.1como seu gateway padrão.