Я использую pfSense в качестве интернет-маршрутизатора. Пока что я не использовал адаптер Wi-Fi (он есть, но отключен). Я использую только один из портов Ethernet для внутреннего интерфейса. Для Wi-Fi у меня есть отдельная точка доступа.
Теперь я хотел бы использовать встроенный адаптер Wi-Fi в моем устройстве pfSense. (Я знаю, что это не рекомендуется, но я считаю, что ни один из аргументов против этого не имеет значения для моего варианта использования.)
Краткое описание того, что я имею в виду:
- Настройте адаптер Wi-Fi как точку доступа, но без собственной конфигурации IP — ГОТОВО
- Настройте мост для обоих внутренних интерфейсов (eth и wifi) и создайте для него новый интерфейс — ГОТОВО
- Установить системные настройки для фильтрации трафика моста на самом мосту, а не на его интерфейсах-участниках — СДЕЛАНО
- Переместите (или скопируйте) конфигурацию IP и правила с внутреннего интерфейса Eth на мост.
- Добавьте правило для моста, чтобы трафик мог проходить между eth и wifi.
Я застрял на четвертом шаге: когда я пытаюсь назначить IP-адрес из моей подсети мосту, я получаю ошибку, потому что адрес или диапазон пересекается с адресом на интерфейсе eth, который я в конечном итоге собираюсь удалить, но не раньше, чем интерфейс моста будет запущен и заработает.
Как перенести конфигурацию IP (и, возможно, также правила) на интерфейс моста с одного из его членов? (Кроме того, существует автоматическое правило антиблокировки, которое нельзя редактировать: как мне сообщить pfSense, что оно должно быть отправлено на мост, а не на один из его интерфейсов-членов?)
решение1
Использование моста в качестве внутреннего интерфейса — довольно сложная задача, и лучше всего ее реализовать при первоначальной настройке системы (так будет проще вернуться назад, если что-то пойдет не так), хотя это можно сделать и позже.
Предостережение: убедитесь, что у вас есть резервная копия вашей системы на случай, если что-то пойдет не так. По крайней мере, экспортируйте вашу конфигурацию и сохраните ее. А еще лучше, создайте полный образ вашего диска, чтобы вы всегда могли вернуться к той же конфигурации системы, которая была у вас раньше.
Я сделал следующие шаги на OPNsense; они должны работать с pfSense так же хорошо. Шаги в целом основаны наофициальные документы OPNsense.
Вам понадобится один дополнительный свободный (неназначенный) интерфейс Ethernet во время переключения. Мы предполагаем, что ваш интерфейс LAN назван LANв Interface Assignments, что является именем по умолчанию, назначенным во время настройки, хотя его можно изменить в любое время позже.
В Interface Assignments выберите неиспользуемый интерфейс Ethernet в качестве LANинтерфейса и сохраните. Отсоедините кабель Ethernet от старого интерфейса LAN и подключите его к временному интерфейсу. Убедитесь, что вы по-прежнему можете получить доступ к веб-интерфейсу с рабочей станции.
Настройте мост, убедившись, что добавили бывший (и будущий) порт LAN в качестве интерфейса-участника. Добавьте другие порты к мосту по мере необходимости.
Возможно, вам придется зайти в системные настройки (OPNsense располагает их в разделе Система > Настройки > Настройки) и установить net.link.bridge.pfil_bridgeзначения 1 и net.link.bridge.pfil_member0. Это заставит pfSense/OPNsense фильтровать трафик моста на интерфейсе моста, а не на интерфейсах его участников. (Я настроил свою систему таким образом, но это может не понадобиться.)
Вернитесь в Interface Assignments, выберите новый мост в качестве LANинтерфейса. Отсоедините кабель LAN от временного порта и подключите его к любому порту Ethernet, который находится на вашем новом мосту LAN.
Теперь у вас есть мост в качестве внутреннего интерфейса. Это позволяет вам, например, настроить точку доступа Wi-Fi на вашем устройстве и назначить один IP-адрес как для Wi-Fi, так и для вашего внутреннего порта Ethernet.
Имейте в виду, что pfSense/OPNsense фильтрует весь трафик на интерфейсе моста. Если вы хотите включить связь между различными портами на вашем мосту (например, между машинами на Ethernet и теми, которые подключены к точке доступа Wi-Fi на том же мосту), вам нужно будет добавить правила.
ИМХО это довольно громоздко; я открылвыпуск 5604для OPNsense, в надежде, что в будущих версиях это будет проще.