使用專用 802.1Q VLAN 無法存取訪客 SSID

tag-icon tag-icon wireless-networking routing vlan pfsense ssid
使用專用 802.1Q VLAN 無法存取訪客 SSID

我有防火牆(Pfsense)。我有一個管理型交換器 (TP Link TL-SG108E.) 我有一個無線存取點 (TP Link TL-WA801ND.)

防火牆(Pfsense)有 1 個乙太網路連接埠和 4 個子介面。

  1. em0.10 停用 - 測試後將作為 DHCP 用戶端
  2. em0.20 192.168.0.1/25(網路 192.168.0.0/25 [126 個主機位址])
  3. em0.30 192.168.0.129/25(網路 192.168.0.128/25 [126 個主機位址])
  4. em0.40 已停用 - 測試後將為 10.0.0.1/30(網路 10.0.0.0/30 [2 個主機位址])

管理型交換器 (TL-SG108E) 配置為在 4 個對應的 802.1Q VLAN 上運作:

  1. VLAN 10(網際網路)
  2. VLAN 20(專用)
  3. VLAN 30(訪客)
  4. VLAN 40(公共)

無線存取點 (TL-WA801ND) 設定為啟用 VLAN 的多 SSID 模式。配置了兩個 SSID:

  1. SSID-專用 - VLAN 20
  2. SSID-訪客 - VLAN 30

以下是插入 8 連接埠管理型交換器 (TL-SG108E) 的硬體清單:

  1. 已拔出 - 測試後將插入調變解調器
  2. 防火牆(Pfsense)
  3. 無線接入點(TL-WA801ND)
  4. 具有成功網路連線的路由器。
  5. 私有 VLAN 主機
  6. 私有 VLAN 主機
  7. 私有 VLAN 主機
  8. 已拔出 - 測試後將插入網頁伺服器

以下是管理型交換器 (TL-SG108E) 上每個連接埠的 VLAN 設定:

  1. PVID 10 | VLAN:[10-未標記]
  2. 後行李箱-PVID 1 | VLAN:[10 個標記]、[20 個標記]、[30 個標記]、[40 個標記]
  3. 後行李箱-PVID 1 | VLAN:[20 個標記、30 個標記]
  4. PVID 20 | VLAN:[20-未標記]
  5. PVID 20 | VLAN:[20-未標記]
  6. PVID 20 | VLAN:[20-未標記]
  7. PVID 20 | VLAN:[20-未標記]
  8. PVID 40 | VLAN:[10-未標記]

防火牆規則已設定為允許所有介面之間的所有流量進行測試。在弄清楚如何啟用對我的訪客 SSID 的網路存取後,我會將其鎖定。

專用網路 (VLAN 20 192.168.0.0/25) 上的主機可以存取 Internet,而訪客網路 (VLAN 30 192.168.0.128/25) 上的主機則無法存取 Internet。面向 Internet 的路由器向私有子網路提供以 50-99 結尾的 DHCP 位址,防火牆 (Pfsense) 向來賓子網路提供以 150-199 結尾的 DHCP 位址。

我猜可能是 NAT、防火牆規則、DNS 或其他原因,但我認為這可能是我的託管交換器上的配置錯誤 - 但我不確定。

家裡有專家嗎?

答案1

好吧,不需要圖表。你的問題的答案在你最後的評論中。

第二個子網路無法訪問的原因是 pf-sense 實際上無法存取互聯網。您已將 DD-wrt ​​ISP 連線插入 VLAN 20,這表示 DD-wrt ​​很可能為 DHCP 提供服務並將其本身作為所有客戶端的網關。

根據 PF-sense 的說法,沒有網路連線。這是因為 VLAN-20 是 LAN 接口,而不是指定的 WAN 介面。用戶端需要有來自 Pf-sense 的 DHCP 指向 Pf-sense 作為其網關。 (因為它將為所有虛擬 LAN 介面執行路由和 NAT。)

所以這就是你需要做的,

為 VLAN 20 和 30 選擇兩個新子網,

我個人使用與它們關聯的 VLAN 相符的 A 類專用範圍。

您可能想要這樣做的原因將在範例之後顯而易見。

例子;

VLAN-10 = 廣域網路(連接埠 10 上帶有 UN 標記) [em0.10 DHCP WAN 將位於 192.168.0.0 /25]
(稍後它將是您 ISP 的公共 IP)

VLAN-20 = 10.10.20.0 /24(專用 LAN)[em0.20 IP=10.10.20.1 /24]

VLAN-30 = 10.10.30.0 /24(訪客 LAN)[em0.30 IP=10.10.30.1 /24]

VLAN-40 = 10.10.40.0 /24(額外 LAN)[em0.40 IP=10.10.40.1 /24]

我通常這樣做是為了簡單起見,有時如果您可以查看 IP 並立即知道它屬於哪個 VLAN,那麼有時更容易解決 LAN 上的 IP/VLAN 問題。但如果您已經有了驅動器共享和其他設置,我會理解按原樣保留當前方案

將LAN 側乙太網路從DD-wrt ​​路由器插入連接埠一(vlan10) 到您的Web 介面並啟用em0.10,稍等一下,然後在狀態> 介面下檢查,看看WAN 連線是否已擷取到IP 位址。

只要您設定了預設規則,此時所有 LAN 介面都應該可以存取 ISP。

現在為 PF-sense 虛擬 LAN 介面設定 DHCP 池。我建議在此階段對電腦進行 DHCP 設置,並將其插入每個單獨的 VLAN(交換器上的 10 個 VLAN 除外)。確保您在每個介面上從 PF-sense 取得 DHCP,並確保它們現在都已連接到網際網路。

當您準備好放棄 DD-wrt ​​路由器時,只需將其移除,然後將來自 ISP 的乙太網路直接連接到連接埠 1 上的交換機,刷新 WAN 介面 DHCP 租約,您就可以開始了。

如果您有問題,請告訴我。

答案2

感謝蒂姆的所有想法。但我最終做的是這樣的:

在 Pfsense 上,我建立了一個網關 192.168.0.2(DD-WRT 的 LAN 連接埠位址)並將其指定為專用介面的預設閘道。

我啟用了自動 NAT(我猜這只是將環回和來賓子網路位址轉換為防火牆的專用介面位址 192.168.0.1。)

我認為我可以透過啟用 DNS 轉發器服務或 DNS 解析器服務,將 Pfsense 的 DNS 伺服器(系統 > 常規設定 > DNS 伺服器設定)用於來賓子網路。並設定 Pfsense 的 DHCP 伺服器服務,將 Pfsense 的訪客子網路 IP 位址 192.168.0.129 指派為訪客網路主機的 DNS 伺服器。

但是因為,1. 要么我再次配置錯誤,要么 2. 我沒有等待足夠長的時間來應用設置,所以我禁用了 DNS 轉發器和 DNS 解析器服務,只設置了 DHCP 服務來明確分配我的專用來賓子網路的DNS 伺服器。

相關內容