Нет доступа в Интернет к гостевому SSID с выделенной 802.1Q VLAN

949
Rhyknowscerious

У меня есть брандмауэр (Pfsense). У меня есть управляемый коммутатор (TP Link TL-SG108E.) У меня есть точка беспроводного доступа (TP Link TL-WA801ND.)

Межсетевой экран (Pfsense) имеет 1 порт Ethernet с четырьмя подчиненными интерфейсами.

  1. em0.10 отключен - будет DHCP-клиентом после тестирования
  2. em0.20 192.168.0.1/25 (сеть 192.168.0.0/25 [126 адресов хоста])
  3. em0.30 192.168.0.129/25 (сеть 192.168.0.128/25 [126 адресов хоста])
  4. em0.40 отключено - после тестирования будет 10.0.0.1/30 (сеть 10.0.0.0/30 [2 адреса хоста])

Управляемый коммутатор (TL-SG108E) настроен для работы в 4 соответствующих VLAN 802.1Q:

  1. VLAN 10 (ИНТЕРНЕТ)
  2. VLAN 20 (ЧАСТНЫЙ)
  3. VLAN 30 (ГОСТЕВАЯ)
  4. VLAN 40 (ОБЩЕСТВЕННЫЙ)

Точка беспроводного доступа (TL-WA801ND) установлена ​​в режим нескольких SSID с включенными VLAN. Есть два настроенных SSID:

  1. Частный SSID - VLAN 20
  2. SSID-Гость - VLAN 30

Вот список оборудования, подключенного к 8-портовому управляемому коммутатору (TL-SG108E):

  1. отключен - подключит модем после тестирования
  2. Брандмауэр (Pfsense)
  3. Точка беспроводного доступа (TL-WA801ND)
  4. Маршрутизатор с успешным подключением к интернету.
  5. ЧАСТНЫЕ vlan хосты
  6. ЧАСТНЫЕ vlan хосты
  7. ЧАСТНЫЕ vlan хосты
  8. отключен - подключит веб-сервер после тестирования

Вот настройки VLAN для каждого из портов на управляемом коммутаторе (TL-SG108E):

  1. PVID 10 | VLAN: [10 без тегов]
  2. TRUNK - PVID 1 | VLAN: [10 тегов], [20 тегов], [30 тегов], [40 тегов]
  3. TRUNK - PVID 1 | VLAN: [20 тегов, 30 тегов]
  4. PVID 20 | VLAN: [20 без тегов]
  5. PVID 20 | VLAN: [20 без тегов]
  6. PVID 20 | VLAN: [20 без тегов]
  7. PVID 20 | VLAN: [20 без тегов]
  8. PVID 40 | VLAN: [10 без тегов]

Правила брандмауэра были разрешены для тестирования всего трафика между всеми интерфейсами. Я заблокирую его после того, как выясню, как включить доступ в Интернет для моего гостевого SSID.

Хосты в частной сети (VLAN 20 192.168.0.0/25) имеют доступ к Интернету, а хосты в гостевой сети (VLAN 30 192.168.0.128/25) - нет. Интернет-маршрутизатор предоставляет DHCP-адреса, заканчивающиеся на 50-99, частной подсети, а межсетевой экран (Pfsense) предоставляет DHCP-адреса, заканчивающиеся на 150-199, гостевой подсети.

Я предполагаю, что это может быть NAT, правила брандмауэра, DNS или что-то еще, но я думаю, что это, вероятно, неверная конфигурация на моем управляемом коммутаторе - но я не уверен.

Есть ли в доме специалисты?

0
что он дает вам (статус> интерфейсы) для виртуального интерфейса em0.30, показывает ли он как движущийся трафик? также только первый интерфейс, обозначенный как lan, получает правила по умолчанию. вам может понадобиться установить правило гостевого доступа по умолчанию. под брандмауэром> правила> все, что вы назвали em0.30. Tim_Stewart 6 лет назад 0
em0.30 показывает входящие / исходящие пакеты как 3325/1077. У меня установлено одинаковое правило брандмауэра на em0.20 и em0.30, а именно Proto = IPv4, Source = *, SPort = *, Destination = *, DPort = *, Gateway = * Queue = none, Schedule = (none) , Описание = (нет) Rhyknowscerious 6 лет назад 0
Какое устройство настроено для работы в качестве NAT для гостевой сети? Какой частный (на стороне LAN) IP-адрес этого шлюза NAT? Когда брандмауэр передает DHCP в гостевую сеть, какой IP-адрес шлюза по умолчанию он сообщает этим гостевым устройствам? Spiff 6 лет назад 1
У меня есть маршрутизатор (Buffalo Airstation N300 с DD-WRT) 192.168.0.2, подключенный к коммутатору через порт 4 (VLAN 20). Я предполагал, что это сделал NAT для всего трафика, но возможно это только обеспечивает NAT для подсети 192.168.0.0/25. Думаю, мне также следует проверить брандмауэр Pfsense, чтобы узнать, работает ли на нем NAT. Будет ли лучше настроить NAT для всех внутренних сетей на маршрутизаторе DD-WRT? или просто добавить настройки NAT для гостевой сети на брандмауэре? У меня нет большого опыта настройки правил NAT - особенно для нескольких VLANS. Rhyknowscerious 6 лет назад 0
Вы бы позволили pfsense (брандмауэру h / w) обрабатывать NAT. На dd-wrt вы идете в настройки> базовая настройка> тип подключения отключить. И безопасность> брандмауэр SPI отключить. Это превратит его в настоящий режим AP (без маршрутизации). Я не на 100% по определению pvid по tp-ссылкам. Я посмотрел руководство по установке для этого коммутатора, используя vlans и pvid, и выглядело так, как если бы оно было для сопоставления портов / vlan по умолчанию, и выглядело так, как будто они сравнивали pvid с vlan. Я использую очень похожую установку с моими установками pfsense. Я использовал коммутаторы Cisco для малого бизнеса. И просто простые сопоставления портов. Tim_Stewart 6 лет назад 0
Если я изменю «настройка> базовая настройка> тип подключения» на «отключить», я почти уверен, что это приведет к разрыву моего подключения к Интернету во всех моих подсетях, не так ли? Pfsense сейчас не подключен к глобальной сети. Он подключен только к частной (VLAN 20) и гостевой (VLAN 30) сети. И разве брандмауэр SPI не позволяет злоумышленникам из Интернета проникнуть в локальную сеть? У меня есть настройка WAN: ISP -> модем -> DDWRT (порт WAN). Тогда у нас есть DDWRT (порт LAN) -> порт 4 на коммутаторе в VLAN 20. Em0.20 Pfsense находится в той же сети, что и маршрутизатор (подсеть 192.168.0.0/25). Rhyknowscerious 6 лет назад 0
Я сделаю тебе диаграмму, когда вернусь домой сегодня вечером. Вы не хотите, чтобы это было связано таким образом. При использовании pfsense с конфигурацией «маршрутизатор на флешке» вы хотите использовать его в качестве центрального / основного устройства маршрутизации между всеми виртуальными сетями. Tim_Stewart 6 лет назад 0
Я знаю, что это странная установка. Я пытаюсь настроить все так, чтобы я мог просто переместить кабель от порта WAN маршрутизатора к коммутатору на порту 1 (VLAN 10), затем удалить маршрутизатор DD-WRT и применить правила брандмауэра по умолчанию для Pfsense. Зачем? Поэтому я не нарушаю доступ в Интернет частной сети более пары секунд. Rhyknowscerious 6 лет назад 0

2 ответа на вопрос

1
Tim_Stewart

Хорошо, диаграмма не нужна. Ответ на ваш вопрос в ваших последних комментариях.

Причина, по которой вторая подсеть не имеет доступа, заключается в том, что pf-sense на самом деле не имеет доступа к Интернету. Ваше подключение провайдера DD-wrt подключено к VLAN 20, что означает, что DD-wrt, скорее всего, обслуживает DHCP и позиционирует себя как шлюз для всех клиентов.

Согласно PF-sense нет подключения к интернету. Это связано с тем, что VLAN-20 является интерфейсом локальной сети, а не назначенным интерфейсом глобальной сети. клиенты должны иметь DHCP из Pf-sense, указывающий на Pf-sense в качестве шлюза. (потому что он будет выполнять маршрутизацию и NAT для всех интерфейсов виртуальной локальной сети.)

Итак, вот что вам нужно сделать,

Выберите две новые подсети для VLANS 20 и 30,

Я лично использую частные диапазоны Class-a, которые соответствуют VLAN, с которой они связаны.

Причина, по которой вы можете захотеть сделать это, станет очевидной после примера.

Пример;

VLAN-10 = WAN ( без тегов на порту-10 ) [em0.10 DHCP WAN будет в 192.168.0.0 / 25]
(позже это будет публичный IP-адрес вашего провайдера)

VLAN-20 = 10.10.20.0 / 24 (частная локальная сеть) [em0.20 IP = 10.10.20.1 / 24]

VLAN-30 = 10.10.30.0 / 24 (гостевая локальная сеть) [em0.30 IP = 10.10.30.1 / 24]

VLAN-40 = 10.10.40.0 / 24 (дополнительная сеть) [em0.40 IP = 10.10.40.1 / 24]

Обычно я делаю это для простоты, иногда проще решать проблемы IP / VLAN в локальной сети, если вы можете посмотреть на IP и сразу узнать, к какой VLAN он принадлежит. но если у вас уже есть общие диски и другие настройки, я бы понял, оставив вашу текущую схему как есть

подключите локальную сеть Ethernet от маршрутизатора DD-WRT к порту один (vlan10), перейдите в веб-интерфейс и включите em0.10, подождите секунду, затем проверьте в разделе состояние> интерфейсы и посмотрите, получило ли соединение WAN IP-адрес.

Все интерфейсы локальной сети на этом этапе должны иметь доступ к интернет-провайдеру, если у вас настроены правила по умолчанию.

Теперь настройте пулы DHCP для интерфейсов виртуальной локальной сети PF-sense. На этом этапе я бы порекомендовал установить компьютер для DHCP и подключить его к каждой отдельной VLAN, за исключением 10 на коммутаторе. убедитесь, что вы получаете DHCP от PF-sense на каждом интерфейсе и убедитесь, что у каждого из них теперь есть подключение к Интернету.

Когда вы будете готовы отказаться от маршрутизатора DD-WRT, просто удалите его и подключите Ethernet от интернет-провайдера к коммутатору через порт 1, обновите аренду DHCP интерфейса WAN, и все будет в порядке.

Дайте мне знать, если у вас есть проблемы.

0
Rhyknowscerious

Спасибо за все идеи, Тим. Но то, что я закончил, было этим:

На Pfsense я создал шлюз 192.168.0.2 (адрес LAN-порта DD-WRT) и назначил его в качестве шлюза по умолчанию для частного интерфейса.

Я включил автоматический NAT (который, я думаю, просто переводит адреса обратной связи и гостевой подсети в адрес частного интерфейса firewal 192.168.0.1.)

Я подумал, что мог бы использовать DNS-серверы Pfsense (система> общие настройки> настройки DNS-сервера) для гостевой подсети, включив либо службу пересылки DNS, либо службу распознавания DNS. и настройку службы DHCP-сервера Pfsense для назначения IP-адреса гостевой подсети Pfsense 192.168.0.129 в качестве DNS-сервера для хостов гостевой сети.

Но поскольку: 1. либо я снова что-то неправильно настроил, либо 2. я не ждал достаточно долго, чтобы параметры вступили в силу, я отключил службы пересылки DNS и службы распознавания DNS и просто настроил службу DHCP для явного назначения своего личного DNS-серверы в гостевой подсети.

И они говорят вам на многих форумах Pfsense не использовать шлюзы в частных сетях. Пфффффт, поражает! Rhyknowscerious 6 лет назад 0
Тогда у вас pfsense ничего не маршрутизируется, и я не знаю, что вы пытаетесь сделать. Это не брандмауэр или маршрутизатор в этой конфигурации. Причина, по которой они говорят вам не делать таких вещей, заключается в том, что вы, похоже, пытаетесь использовать устройство безопасности в качестве своего рода моста, это маршрутизатор. А без этого как такового не будет никакой безопасности. Нет правил дорожного движения для VLAN, и действительно нет никакой выгоды от использования VLAN. Скорее всего, у вас возникнут проблемы с ним позже, и, возможно, вы откроете для себя клиентов. Tim_Stewart 6 лет назад 1
Я подумал, что научусь подключаться к Интернету, работая в гостевой VLAN только с WiFi. Тогда я буду знать, как разрешить Интернет для других VLAN. DDWRT выполняет маршрутизацию между Интернетом и частной сетью, а Pfsense будет выполнять маршрутизацию между 4 VLAN при замене маршрутизатора. Теперь я планирую включить VLAN 10 и 40 и настроить правила брандмауэра: 1) разрешить односторонний исходящий доступ в Интернет из VLAN 20 и 30 2) разрешить двухсторонний доступ в Интернет по VLAN 40 для веб-сервера - только входящий порт 80 или 443 3) заблокировать кого-либо из VLAN 20 4) заблокировать всех, кроме частных хостов, из гостевой сети. Rhyknowscerious 6 лет назад 0
Единственная причина, по которой я разместил этот вопрос, заключалась в том, чтобы получить помощь в подключении к Интернету гостевой сети. Я подумал, что мог бы сделать все остальное, если бы я мог просто помочь с этой частью головоломки. Вы дали мне действительно хорошие предложения и на самом деле очень помогли, так что спасибо. Rhyknowscerious 6 лет назад 0
То, как вы работаете правильно, приведено в инструкциях, которые я написал вчера вечером. Когда ваше подключение идет к VLAN 10 и pfsense маршрутизирует VLAN, это так же просто, как перейти к этому интерфейсу в firewall> rules. И если вы не хотите прямо сейчас подключаться к другим vlans, просто оставьте правило блокировки всех на этом виртуальном интерфейсе. Это действительно не должно быть сложно. Но вы, безусловно, не хотите соединять Vlans, это больше взломать, и это не оставит вас с контролем трафика. Tim_Stewart 6 лет назад 0
Я рад, что вы получили некоторую пользу от поста. Пожалуйста. Вы можете проверить некоторую информацию о «маршрутизации на флешке». Это все будет иметь больше смысла, когда вы делаете. Также было бы неплохо взглянуть на функции уровня 1-3 модели OSI, так как я пытался объяснить вам, что pfsense - это устройство уровня 3. Удачи вам, сэр. Tim_Stewart 6 лет назад 0
Я обязательно прочитаю эти темы и реализую ваше руководство после того, как сделаю еще несколько тестов / расследований. Я очень ценю вашу помощь. Rhyknowscerious 6 лет назад 0
Это также может помочь, это еще один пример маршрутизации на флешке, который я написал для кого-то другого. Диаграмма без vlans. https://superuser.com/questions/1294772/converting-apots-line-to-voip-and-simultaneously-ringing-a-extension-over-vp/1295795#1295795 Tim_Stewart 6 лет назад 0

Похожие вопросы