Мне наконец удалось настроить pfSense, подключенный через интерфейс WAN к маршрутизатору ISP, который в свою очередь DMZing к pfSense. Я добавил VLAN для различных задач, следуяэтот урок, где DHCP на каждой VLAN включен, DNS пересылается. Точно так же, как сказано в руководстве.
Вот моя установка в линию:
Internet --- ISP Router --- pfSense --- HP2920 switch --- Desktop/Laptop
Затем я добавил те же VLAN (тот же ID и имя) на коммутатор HP 2920. Например, VLAN с ID 10 с нетегированными портами 5-24 для компьютеров. Затем есть VLAN_DEFAULT по умолчанию с ID 1 на коммутаторе с нетегированными портами 1-4,25-48. Блок pfSense подключен к порту 48.
Мой конфиг можно посмотреть здесь:
маршрутизатор интернет-провайдера
IP 192.168.1.1
Subnet 255.255.255.0
DMZ forward to pfsense LAN IP 192.168.1.254
pfSense
WAN 192.168.1.254/24
LAN 192.168.2.1/24
VLAN ID 10 - 192.168.10.1/24 Servers
VLAN ID 20 - 192.168.20.1/24 Computers
VLAN ID 30 - 192.168.30.1/24 VOIP
VLAN ID 40 - 192.168.40.1/24 Cameras
VLAN ID 50 - 192.168.50.1/24 WirelessStaff
VLAN ID 60 - 192.168.60.1/24 WirelessGuests
Вот что мне выдает show ip route:
IP Route Entries
Destination Gateway VLAN Type Sub-Type Metric Dist.
------------------ --------------- ---- --------- ---------- ---------- -----
0.0.0.0/0 192.168.2.1 1 static 250 1
127.0.0.0/8 reject static 0 0
127.0.0.1/32 lo0 connected 1 0
192.168.2.0/24 DEFAULT_VLAN 1 connected 1 0
Когда я подключаю свой ноутбук к порту 1, например, VLAN по умолчанию, у меня есть Интернет и я могу пинговать все VLAN. Однако, когда я подключаю свой ноутбук к порту 5, я получаю «неопознанную сеть» с «нет Интернета» на моем ноутбуке.
Может кто-нибудь сказать мне, что я упускаю? Я рад ЛЮБОЙ подсказке.
РЕДАКТИРОВАТЬ
Это мой текущий отчет о конфигурации с коммутатора. (Я изменил порт 5 на порт 25 для VLAN компьютеров, так как другие порты я использовал для других целей)
; J9728A Configuration Editor; Created on release #WB.16.04.0008
; Ver #...
hostname "somehost"
module 1 type j9728a
ip default-gateway 192.168.2.1
ip route 0.0.0.0 0.0.0.0 192.168.2.1
interface 48
name "pfsense"
exit
snmp-server community "public" unrestricted
snmp-server contact "[email protected]"
oobm
ip address dhcp-bootp
exit
vlan 1
name "DEFAULT_VLAN"
no untagged 25
untagged 1-24,26-48
ip address 192.168.2.3 255.255.255.0
exit
vlan 10
name "Servers"
no ip address
exit
vlan 20
name "Computers"
untagged 25
ip address 192.168.20.1 255.255.255.0
exit
vlan 30
name "VOIP"
no ip address
exit
vlan 40
name "Cameras"
no ip address
exit
vlan 50
name "WirelessStaff"
no ip address
exit
vlan 60
name "WirelessGuests"
no ip address
exit
spanning-tree
и результат show ip route:
Destination Gateway VLAN Type Sub-Type Metric Dist.
------------------ --------------- ---- --------- ---------- ---------- -----
0.0.0.0/0 192.168.2.1 1 static 1 1
127.0.0.0/8 reject static 0 0
127.0.0.1/32 lo0 connected 1 0
192.168.2.0/24 DEFAULT_VLAN 1 connected 1 0
192.168.20.0/24 Computers 20 connected 1 0
а последняя строка отображается только если мой ноутбук подключен к порту 25...
решение1
У вас отсутствует маршрутизатор.
Узлы, подключенные к различным VLAN, обязательно находятся в отдельных подсетях IP. Например, хост, подключенный к порту коммутатора 5, оказывается в VLAN 20, которая должна быть подсетью 192.168.20.0/24. Для этой VLAN нужен маршрутизатор (скажем, 192.168.20.1), который знает, как направлять трафик на интерфейс LAN вашего pfSense по IP 192.168.2.1.
По данным HPсписок функцийдля вашего коммутатора 2920, его можно настроить для работы в качестве маршрутизатора. Примерчастичный, непроверенныйКонфигурация может выглядеть так:
ip route 0.0.0.0 0.0.0.0 192.168.2.1
ip routing
vlan 1
ip address 192.168.2.3 255.255.255.0
untagged 48
exit
vlan 20
ip address 192.168.20.1 255.255.255.0
untagged 5
exit
Этот:
- Включает маршрутизацию с
ip routing - Устанавливает маршрут по умолчанию («как попасть в Интернет») на IP-адрес локальной сети pfSense 192.168.2.1 с
ip route 0.0.0.0 0.0.0.0 192.168.2.1 - Назначает коммутатору IP в каждой VLAN. Таким образом коммутатор узнает, где находятся различные подсети IP. Для всех VLAN, за исключением той, которая содержит блок pfSense, это становится маршрутом по умолчанию соответствующей VLAN (он же маршрутизатор).
- Помещает порт 48 (pfSense) в VLAN 1, а порт 5 в VLAN 20
На последнем этапе хосты в каждой VLAN должны быть настроены с IP-адресом коммутатора в качестве шлюза по умолчанию. Например, в VLAN 20 узлы должны указывать на192.168.20.1в качестве шлюза по умолчанию.