У меня есть ASUS RT-AC66U с загруженным DD-WRT, и я пытаюсь использовать его как WAP, подключенный к PFSense box. Маршрутизатор ASUS имеет возможность настройкинесколько SSID(гостевой_SSID_AP, основной_SSID_AP) иотделить WLAN от LAN. Я даже могу поместить их в собственную сеть, если позволю маршрутизатору ASUS управлять всем. Я пытаюсь понять, как настроить DD-WRT, чтобы пометить wl0 как VLAN4, а wl1 как VLAN5, чтобы в pfsense я мог разделить трафик.
В результате я пытаюсь поместить guestAP_SSID на 192.168.10.0/24, а mainAP_SSID на 192.168.11.0/24 в pfsense, и у меня возникают проблемы с тем, как пометить трафик от DD-WRT, чтобы pfsense мог разделить его, когда он попадает на свой интерфейс.
Как это можно сделать? Или есть другой способ настроить WAP и PFsense так, чтобы трафик на разных SSID (guestAP_SSID, mainAP_SSID) от WAP отправлялся на интерфейс LAN на блоке PFSense и разделялся?
решение1
Вот краткое изложение шагов, которые я предпринял для достижения этого с 3 SSID в изолированных сетях, конфигурацией IPv4 с использованием 4-портового блока pfSense и ASUS RT-AC66U с последней загруженной версией DD-WRT. Обратите внимание, что в этой настройке я оставляю port1 на ASUS с настройкой по умолчанию, а LAN на блоке pfSense с настройкой по умолчанию для простоты. Изменить его после подтверждения того, что это работает, просто.
Настройка pfSense
Подключитесь к блоку pfsense через порт LAN и перейдите в Интерфейсы>Назначить>VLAN.
Нажмите «добавить» и назначьте «родительский интерфейс», на который вы хотите направлять весь беспроводной трафик с модема ASUS. В этом примере я выбираю em2 (по умолчанию с именем Opt1).
Установите тег VLAN на 4, задайте приоритет и описание, нажмите «Сохранить».
Повторите шаги 2 и 3 для vlan 5 и 6.
Перейдите в Интерфейсы>Назначить>Назначения интерфейсов и в разделе «Сетевой порт» рядом с доступными сетевыми портами найдите в раскрывающемся списке метку, которая включает VLAN4, выберите ее и нажмите «Добавить».
Повторите шаг 5 для VLAN 5 и 6.
Нажмите «имя интерфейса» для первого добавленного интерфейса, нажмите «Включить интерфейс» и установите для параметра «Тип конфигурации IPv4» значение «Статический IPv4».
Установите конфигурацию адреса IPv4 на 192.168.2.1/24 и нажмите «Сохранить».
Повторите шаги 7 и 8 для VLAN 5 и 6 с 192.168.3.0/24 и 192.168.4.0/24 соответственно.
Перейдите в firewall>rules и продублируйте правила по умолчанию из LAN на OPT1 и добавьте правило для блокировки трафика на другие интерфейсы из OPT1. Это гарантирует, что пользователи этой сети не смогут получить доступ к другим сетям. Не забудьте применить/сохранить настройки.
Повторите шаг 10 для двух других интерфейсов.
Перейдите в раздел «Службы»>«Сервер DHCP» и включите DHCP для каждого интерфейса, на котором вы хотите включить DHCP, а также установите диапазон DHCP, начиная с 0,10 или выше, и сохраните.
Настройка ASUS DD-WRT
Следующие шаги предназначены для модема ASUS.
Подключитесь к ASUS через порт LAN "1" и перейдите в меню настройки>VLAN и снимите отметку с порта 3 из VLAN1 по умолчанию. Прокрутите до конца столбца с портом 3 и установите флажок "tagged", а затем отметьте VLAN 4,5,6 в том же столбце. Нажмите сохранить и применить настройки.
Здесь мы собираемся создать 3 VWAP, поскольку wl0 и wl1 привязаны к VLAN1/LAN. Вы можете изменить это по своему усмотрению позже. Перейдите в беспроводную сеть>основные настройки и нажмите «добавить» под виртуальными интерфейсами для wl0. Задайте SSID желаемое имя, а все остальное — Disabled/Bridged и SSID Broadcast включено. Нажмите Apply settings/save.
Повторите шаг 2 для двух других SSID. Это создаст wl0.1, wl0.2, wl0.3. Теперь вы можете перейти в беспроводную сеть>беспроводная безопасность, чтобы настроить желаемую безопасность. Я оставил режим безопасности SSID отключенным во время тестирования.
Чтобы создать мост между беспроводным интерфейсом и vlan, перейдите в меню настройки>сети и создайте мост для каждого SSID (br1, br2, br3), нажимая «сохранить» и «применить» каждый раз. Возможно, вам придется обновить страницу, повторно посетить ее, прежде чем вы увидите новые мосты, которые появятся в качестве опций на следующем шаге.
Перейдите в раздел «Настройка»>«Сеть» и в разделе «Назначить мост» нажмите «Добавить» 6 раз.
Сделайте первое назначение первым мостом для сопряжения первой VWAP, а второе назначение первым мостом к VLAN4. Таким образом, это будет Назначение 0 br1 интерфейс wl0.1 и Назначение 1 br1 интерфейс vlan4.
Повторите эту концепцию для следующих двух VWAP и VLAN.
Прокрутите вниз под настройкой порта, сетевой конфигурацией br1 и установите IP-адрес 192.168.2.4 (или какой-либо другой адрес за пределами области действия DHCP для этой сети (vlan4)). Это будет доступ к управлению DD-WRT для этой сети.
Повторите шаг 8 с соответствующим сетевым адресом для br2 и br3 и нажмите «Применить настройки/Сохранить».
Перезагрузите маршрутизатор.
Подключите кабель Ethernet от порта 3 на вашем ASUS-боксе к Opt1 на вашем pfSense-боксе. Проверьте беспроводные соединения, чтобы убедиться, что все работает. Это просто обзор того, как я заставил это работать во время тестирования. Измените ваши VLAN, порты, сети, правила и т. д. по желанию. Сделайте резервную копию всех ваших конфигураций.