У меня есть брандмауэр (Pfsense). У меня есть управляемый коммутатор (TP Link TL-SG108E.) У меня есть беспроводная точка доступа (TP Link TL-WA801ND.)
Межсетевой экран (Pfsense) имеет 1 порт Ethernet с четырьмя подинтерфейсами.
- em0.10 отключен - после тестирования станет DHCP-клиентом
- em0.20 192.168.0.1/25 (Сеть 192.168.0.0/25 [126 адресов хостов])
- em0.30 192.168.0.129/25 (Сеть 192.168.0.128/25 [126 адресов хостов])
- em0.40 отключен - после тестирования будет 10.0.0.1/30 (Сеть 10.0.0.0/30 [2 адреса хоста])
Управляемый коммутатор (TL-SG108E) настроен для работы в 4 соответствующих сетях VLAN 802.1Q:
- VLAN 10 (ИНТЕРНЕТ)
- VLAN 20 (ЧАСТНЫЙ)
- VLAN 30 (ГОСТЬ)
- VLAN 40 (ОБЩЕСТВЕННАЯ)
Точка беспроводного доступа (TL-WA801ND) настроена на режим Multi-SSID с включенными VLAN. Настроено два SSID:
- SSID-частный - VLAN 20
- SSID-гостевой - VLAN 30
Вот список оборудования, подключенного к 8-портовому управляемому коммутатору (TL-SG108E):
- отключен - подключу модем после тестирования
- Брандмауэр (Pfsense)
- Беспроводная точка доступа (TL-WA801ND)
- Маршрутизатор с успешным подключением к Интернету.
- ЧАСТНЫЕ хосты VLAN
- ЧАСТНЫЕ хосты VLAN
- ЧАСТНЫЕ хосты VLAN
- отключено - подключу веб-сервер после тестирования
Ниже приведены настройки VLAN для каждого из портов управляемого коммутатора (TL-SG108E):
- PVID 10 | VLAN: [10-немаркированный]
- TRUNK - PVID 1 | VLAN: [10-тегированный], [20-тегированный], [30-тегированный], [40-тегированный]
- TRUNK - PVID 1 | VLAN: [20-тегированный, 30-тегированный]
- PVID 20 | VLAN: [20-немаркированный]
- PVID 20 | VLAN: [20-немаркированный]
- PVID 20 | VLAN: [20-немаркированный]
- PVID 20 | VLAN: [20-немаркированный]
- PVID 40 | VLAN: [10-немаркированный]
Правила брандмауэра установлены так, чтобы разрешить весь трафик между всеми интерфейсами для тестирования. Я заблокирую его после того, как разберусь, как включить доступ в Интернет для моего гостевого SSID.
Хосты в частной сети (VLAN 20 192.168.0.0/25) имеют доступ в Интернет, а хосты в гостевой сети (VLAN 30 192.168.0.128/25) — нет. Маршрутизатор, выходящий в Интернет, предоставляет адреса DHCP, заканчивающиеся на 50-99, для частной подсети, а брандмауэр (Pfsense) предоставляет адреса DHCP, заканчивающиеся на 150-199, для гостевой подсети.
Полагаю, это может быть NAT, правила брандмауэра, DNS или что-то еще, но мне кажется, что это неправильная настройка моего управляемого коммутатора, хотя я в этом не уверен.
Есть ли в доме эксперты?
решение1
Ладно, диаграмма не нужна. Ответ на ваш вопрос в ваших последних комментариях.
Причина, по которой вторая подсеть не имеет доступа, заключается в том, что pf-sense на самом деле не имеет доступа к интернету. Ваше подключение DD-wrt ISP подключено к VLAN 20, что означает, что DD-wrt, скорее всего, обслуживает DHCP и ставит себя в качестве шлюза для всех клиентов.
Согласно PF-sense, подключение к Интернету отсутствует. Это происходит потому, что VLAN-20 — это интерфейс LAN, а не назначенный интерфейс WAN. Клиентам необходимо иметь DHCP от Pf-sense, указывающий на Pf-sense в качестве шлюза. (Поскольку он будет выполнять как маршрутизацию, так и NAT для всех виртуальных интерфейсов LAN.)
Итак, вот что вам нужно сделать:
Выберите две новые подсети для VLANS 20 и 30,
Лично я использую частные диапазоны класса А, соответствующие VLAN, с которой они связаны.
Причина, по которой вам может понадобиться это сделать, станет ясна после рассмотрения примера.
Пример;
VLAN-10 = WAN (Не помечено на порту 10) [em0.10 DHCP WAN будет в 192.168.0.0 /25]
(Позже это будет публичный IP от вашего интернет-провайдера)
VLAN-20 = 10.10.20.0 /24 (частная локальная сеть) [em0.20 IP=10.10.20.1 /24]
VLAN-30 = 10.10.30.0 /24 (гостевая локальная сеть) [em0.30 IP=10.10.30.1 /24]
VLAN-40 = 10.10.40.0 /24 (дополнительная локальная сеть) [em0.40 IP=10.10.40.1 /24]
Обычно я делаю это для простоты, иногда проще устранять неполадки IP/VLAN в локальной сети, если вы можете посмотреть на IP и сразу понять, к какой VLAN он принадлежит. Но если у вас уже настроены общие диски и другие вещи, я бы понял, если бы вы оставили вашу текущую схему как есть.
подключите Ethernet-кабель локальной сети маршрутизатора DD-wrt к порту 1 (vlan10), перейдите в веб-интерфейс и включите em0.10, подождите секунду, затем проверьте в разделе «Состояние» > «Интерфейсы» и посмотрите, получило ли WAN-соединение IP-адрес.
На этом этапе все интерфейсы локальной сети должны иметь доступ к интернет-провайдеру, если у вас настроены правила по умолчанию.
Теперь настройте пулы DHCP для интерфейсов виртуальной локальной сети PF-sense. Я бы рекомендовал на этом этапе взять компьютер с настройками DHCP и подключить его к каждой отдельной VLAN, за исключением 10 на коммутаторе. Убедитесь, что вы получаете DHCP от PF-sense на каждом интерфейсе, и убедитесь, что каждый из них теперь подключен к Интернету.
Когда вы будете готовы отказаться от маршрутизатора DD-wrt, просто отключите его и подключите Ethernet от интернет-провайдера напрямую к коммутатору на порту 1, обновите аренду DHCP-адреса интерфейса WAN, и все будет готово.
Дайте мне знать, если у вас возникнут проблемы.
решение2
Спасибо за все идеи, Тим. Но в итоге я сделал вот это:
На Pfsense я создал шлюз 192.168.0.2 (адрес порта LAN DD-WRT) и назначил его в качестве шлюза по умолчанию для частного интерфейса.
Я включил автоматический NAT (который, как я полагаю, просто транслирует адреса петлевой и гостевой подсетей в адрес частного интерфейса брандмауэра 192.168.0.1).
Я подумал, что могу использовать DNS-серверы Pfsense (система > общие настройки > настройки DNS-сервера) для гостевой подсети, включив либо службу пересылки DNS, либо службу преобразования DNS и настроив службу DHCP-сервера Pfsense для назначения IP-адреса гостевой подсети Pfsense 192.168.0.129 в качестве DNS-сервера для хостов гостевой сети.
Но поскольку 1. я снова что-то неправильно настроил или 2. я не подождал достаточно долго, чтобы применить настройки, я отключил службы пересылки DNS и преобразования DNS и просто настроил службу DHCP на явное назначение моих частных DNS-серверов гостевой подсети.