Eu tenho um firewall (Pfsense). Tenho um switch gerenciado (TP Link TL-SG108E). Tenho um ponto de acesso sem fio (TP Link TL-WA801ND).
O firewall (Pfsense) possui 1 porta Ethernet com quatro subinterfaces.
- em0.10 desabilitado - será cliente DHCP após teste
- em0.20 192.168.0.1/25 (Rede 192.168.0.0/25 [126 endereços de host])
- em0.30 192.168.0.129/25 (Rede 192.168.0.128/25 [126 endereços de host])
- em0.40 desativado - será 10.0.0.1/30 (Rede 10.0.0.0/30 [2 endereços de host]) após o teste
O switch gerenciado (TL-SG108E) está configurado para operar em 4 VLANs 802.1Q correspondentes:
- VLAN 10 (INTERNET)
- VLAN 20 (PRIVADA)
- VLAN 30 (convidado)
- VLAN 40 (PÚBLICA)
O ponto de acesso sem fio (TL-WA801ND) está configurado para o modo Multi-SSID com VLANs habilitadas. Existem dois SSIDs configurados:
- SSID-Privado - VLAN 20
- Convidado SSID - VLAN 30
Aqui está uma lista de hardware conectado ao switch gerenciado de 8 portas (TL-SG108E):
- desconectado - conectará o modem após o teste
- Firewall (Pfsense)
- Ponto de acesso sem fio (TL-WA801ND)
- Roteador com conexão de internet bem-sucedida.
- Hosts vlan PRIVADOS
- Hosts vlan PRIVADOS
- Hosts vlan PRIVADOS
- desconectado - conectará o servidor web após o teste
Aqui estão as configurações de VLAN para cada uma das portas do switch gerenciado (TL-SG108E):
- PVID 10 | VLANs: [10 sem marcação]
- TRONCO - PVID 1 | VLANs: [10 tags], [20 tags], [30 tags], [40 tags]
- TRONCO - PVID 1 | VLANs: [20 tags, 30 tags]
- PVID 20 | VLANs: [20 sem marcação]
- PVID 20 | VLANs: [20 sem marcação]
- PVID 20 | VLANs: [20 sem marcação]
- PVID 20 | VLANs: [20 sem marcação]
- PVID 40 | VLANs: [10 sem marcação]
As regras de firewall foram definidas para permitir todo o tráfego entre todas as interfaces para teste. Vou bloqueá-lo depois de descobrir como habilitar o acesso à Internet para meu SSID convidado.
Os hosts na rede privada (VLAN 20 192.168.0.0/25) têm acesso à Internet e os hosts na rede convidada (VLAN 30 192.168.0.128/25) não. O roteador voltado para a Internet fornece endereços DHCP que terminam em 50-99 para a sub-rede privada e o firewall (Pfsense) fornece endereços DHCP que terminam em 150-199 para a sub-rede convidada.
Acho que pode ser NAT, regras de firewall, DNS ou qualquer outra coisa, mas acho que provavelmente é uma configuração incorreta no meu switch gerenciado - mas não tenho certeza.
Há algum especialista na casa?
Responder1
Ok, nenhum diagrama é necessário. A resposta à sua pergunta está nos seus últimos comentários.
A razão pela qual a segunda sub-rede não tem acesso é porque o pf-sense não tem acesso à Internet. Você tem sua conexão ISP DD-wrt conectada à VLAN 20, o que significa que o DD-wrt provavelmente está servindo DHCP e se colocando como gateway para todos os clientes.
Segundo a PF-Sense não há conexão com a internet. Isso ocorre porque a VLAN-20 é uma interface LAN, não uma interface WAN designada. os clientes precisam ter o DHCP do Pf-sense apontando para o Pf-sense como seu gateway. (porque fará roteamento e NAT para todas as interfaces de LAN virtual.)
Então aqui está o que você precisa fazer,
Escolha duas novas sub-redes para VLANS 20 e 30,
Eu pessoalmente uso intervalos privados de Classe A que correspondem à VLAN à qual estão associados.
A razão pela qual você pode querer fazer isso ficará aparente após o exemplo.
Exemplo;
VLAN-10 = WAN (Marcado pela ONU na porta 10) [em0.10 DHCP WAN estará em 192.168.0.0 /25]
(Depois será o IP público do seu ISP)
VLAN-20 = 10.10.20.0/24 (LAN privada) [em0.20 IP=10.10.20.1/24]
VLAN-30 = 10.10.30.0/24 (LAN convidada) [em0.30 IP=10.10.30.1/24]
VLAN-40 = 10.10.40.0 /24 (LAN extra) [em0.40 IP=10.10.40.1 /24]
Normalmente faço isso para simplificar, às vezes é mais fácil solucionar problemas de IP/VLAN na LAN se você puder olhar para o IP e saber imediatamente a que VLAN ele pertence. mas se você já tiver compartilhamentos de unidade e outras coisas configuradas, eu entenderia deixar seu esquema atual como está
conecte a Ethernet do lado da LAN do roteador DD-wrt à porta um (vlan10), vá para a interface da web e habilite o em0.10, aguarde um segundo e verifique em status> interfaces e veja se a conexão WAN recuperou um endereço IP.
Todas as interfaces LAN neste momento devem ter acesso ao ISP, desde que você tenha regras padrão configuradas.
Agora configure pools DHCP para as interfaces LAN virtuais com detecção de PF. Eu recomendaria, neste estágio, configurar o computador para DHCP e conectá-lo a cada VLAN individual, exceto 10 no switch. certifique-se de obter DHCP do PF-sense em cada interface e certifique-se de que cada um deles agora tenha uma conexão com a Internet.
Quando você estiver pronto para abandonar o roteador DD-wrt, basta removê-lo e colocar uma Ethernet do ISP indo direto para o switch na porta 1, atualizar a concessão de DHCP da interface WAN e você estará pronto para prosseguir.
Deixe-me saber se você tiver problemas.
Responder2
Obrigado por todas as ideias Tim. Mas o que acabei fazendo foi o seguinte:
No Pfsense, criei um Gateway 192.168.0.2 (endereço da porta LAN do DD-WRT) e atribuí-o como gateway padrão para a interface privada.
Ativei o NAT automático (que acho que apenas traduz os endereços de loopback e de sub-rede de convidado para o endereço de interface privada do firewall 192.168.0.1.)
Achei que poderia utilizar os servidores DNS do Pfsense (sistema> configuração geral> configurações do servidor DNS) para a sub-rede convidada, habilitando o serviço de encaminhador de DNS ou o serviço de resolução de DNS. e configurar o serviço de servidor DHCP do Pfsense para atribuir o endereço IP da sub-rede convidada do Pfsense 192.168.0.129 como o servidor DNS para hosts da rede convidada.
Mas porque, 1. ou configurei algo incorretamente novamente ou, 2. não esperei o suficiente para que as configurações fossem aplicadas, desativei os serviços de encaminhador de DNS e de resolução de DNS e apenas configurei o serviço DHCP para atribuir explicitamente meu serviço privado Servidores DNS para a sub-rede convidada.