Нет доступа в Интернет к гостевому SSID с выделенной 802.1Q VLAN

Question

У меня есть брандмауэр (Pfsense). У меня есть управляемый коммутатор (TP Link TL-SG108E.) У меня есть точка беспроводного доступа (TP Link TL-WA801ND.)

Межсетевой экран (Pfsense) имеет 1 порт Ethernet с четырьмя подчиненными интерфейсами.

1. em0.10 отключен - будет DHCP-клиентом после тестирования
2. em0.20 192.168.0.1/25 (сеть 192.168.0.0/25 [126 адресов хоста])
3. em0.30 192.168.0.129/25 (сеть 192.168.0.128/25 [126 адресов хоста])
4. em0.40 отключено - после тестирования будет 10.0.0.1/30 (сеть 10.0.0.0/30 [2 адреса хоста])

Управляемый коммутатор (TL-SG108E) настроен для работы в 4 соответствующих VLAN 802.1Q:

1. VLAN 10 (ИНТЕРНЕТ)
2. VLAN 20 (ЧАСТНЫЙ)
3. VLAN 30 (ГОСТЕВАЯ)
4. VLAN 40 (ОБЩЕСТВЕННЫЙ)

Точка беспроводного доступа (TL-WA801ND) установлена в режим нескольких SSID с включенными VLAN. Есть два настроенных SSID:

1. Частный SSID - VLAN 20
2. SSID-Гость - VLAN 30

Вот список оборудования, подключенного к 8-портовому управляемому коммутатору (TL-SG108E):

1. отключен - подключит модем после тестирования
2. Брандмауэр (Pfsense)
3. Точка беспроводного доступа (TL-WA801ND)
4. Маршрутизатор с успешным подключением к интернету.
5. ЧАСТНЫЕ vlan хосты
6. ЧАСТНЫЕ vlan хосты
7. ЧАСТНЫЕ vlan хосты
8. отключен - подключит веб-сервер после тестирования

Вот настройки VLAN для каждого из портов на управляемом коммутаторе (TL-SG108E):

1. PVID 10 | VLAN: [10 без тегов]
2. TRUNK - PVID 1 | VLAN: [10 тегов], [20 тегов], [30 тегов], [40 тегов]
3. TRUNK - PVID 1 | VLAN: [20 тегов, 30 тегов]
4. PVID 20 | VLAN: [20 без тегов]
5. PVID 20 | VLAN: [20 без тегов]
6. PVID 20 | VLAN: [20 без тегов]
7. PVID 20 | VLAN: [20 без тегов]
8. PVID 40 | VLAN: [10 без тегов]

Правила брандмауэра были разрешены для тестирования всего трафика между всеми интерфейсами. Я заблокирую его после того, как выясню, как включить доступ в Интернет для моего гостевого SSID.

Хосты в частной сети (VLAN 20 192.168.0.0/25) имеют доступ к Интернету, а хосты в гостевой сети (VLAN 30 192.168.0.128/25) - нет. Интернет-маршрутизатор предоставляет DHCP-адреса, заканчивающиеся на 50-99, частной подсети, а межсетевой экран (Pfsense) предоставляет DHCP-адреса, заканчивающиеся на 150-199, гостевой подсети.

Я предполагаю, что это может быть NAT, правила брандмауэра, DNS или что-то еще, но я думаю, что это, вероятно, неверная конфигурация на моем управляемом коммутаторе - но я не уверен.

Есть ли в доме специалисты?

Answer 1

Хорошо, диаграмма не нужна. Ответ на ваш вопрос в ваших последних комментариях.

Причина, по которой вторая подсеть не имеет доступа, заключается в том, что pf-sense на самом деле не имеет доступа к Интернету. Ваше подключение провайдера DD-wrt подключено к VLAN 20, что означает, что DD-wrt, скорее всего, обслуживает DHCP и позиционирует себя как шлюз для всех клиентов.

Согласно PF-sense нет подключения к интернету. Это связано с тем, что VLAN-20 является интерфейсом локальной сети, а не назначенным интерфейсом глобальной сети. клиенты должны иметь DHCP из Pf-sense, указывающий на Pf-sense в качестве шлюза. (потому что он будет выполнять маршрутизацию и NAT для всех интерфейсов виртуальной локальной сети.)

Итак, вот что вам нужно сделать,

Выберите две новые подсети для VLANS 20 и 30,

Я лично использую частные диапазоны Class-a, которые соответствуют VLAN, с которой они связаны.

Причина, по которой вы можете захотеть сделать это, станет очевидной после примера.

Пример;

VLAN-10 = WAN (без тегов на порту-10) [em0.10 DHCP WAN будет в 192.168.0.0 /25]
(Позже это будет публичный IP от вашего провайдера)

VLAN-20 = 10.10.20.0 /24 (частная локальная сеть) [em0.20 IP = 10.10.20.1 /24]

VLAN-30 = 10.10.30.0 /24 (гостевая ЛВС) [em0.30 IP = 10.10.30.1 /24]

VLAN-40 = 10.10.40.0 /24 (дополнительная сеть) [em0.40 IP = 10.10.40.1 /24]

Обычно я делаю это для простоты, иногда проще решать проблемы IP/VLAN в локальной сети, если вы можете посмотреть на IP и сразу узнать, к какой VLAN он принадлежит. но если у вас уже есть общие диски и другие настройки, я бы понял, оставив вашу текущую схему как есть

подключите локальную сеть Ethernet от маршрутизатора DD-WRT к порту один (vlan10), перейдите в веб-интерфейс и включите em0.10, подождите секунду, затем проверьте в разделе состояние> интерфейсы и посмотрите, получило ли соединение WAN IP-адрес.

Все интерфейсы локальной сети на этом этапе должны иметь доступ к интернет-провайдеру, если у вас настроены правила по умолчанию.

Теперь настройте пулы DHCP для интерфейсов виртуальной локальной сети PF-sense. На этом этапе я бы порекомендовал установить компьютер для DHCP и подключить его к каждой отдельной VLAN, за исключением 10 на коммутаторе. убедитесь, что вы получаете DHCP от PF-sense на каждом интерфейсе и убедитесь, что у каждого из них теперь есть подключение к Интернету.

Когда вы будете готовы отказаться от маршрутизатора DD-WRT, просто удалите его и подключите Ethernet от интернет-провайдера к коммутатору через порт 1, обновите аренду DHCP интерфейса WAN, и все будет в порядке.

Дайте мне знать, если у вас есть проблемы.

Answer 2

Спасибо за все идеи, Тим. Но то, что я закончил, было этим:

На Pfsense я создал шлюз 192.168.0.2 (адрес LAN-порта DD-WRT) и назначил его в качестве шлюза по умолчанию для частного интерфейса.

Я включил автоматический NAT (который, я думаю, просто переводит адреса обратной связи и гостевой подсети в адрес частного интерфейса firewal 192.168.0.1.)

Я подумал, что мог бы использовать DNS-серверы Pfsense (система> общие настройки> настройки DNS-сервера) для гостевой подсети, включив либо службу пересылки DNS, либо службу распознавания DNS. и настройку службы DHCP-сервера Pfsense для назначения IP-адреса гостевой подсети Pfsense 192.168.0.129 в качестве DNS-сервера для хостов гостевой сети.

Но потому что, 1. либо я что-то неправильно настроил, либо, 2. Я не ждал достаточно долго, чтобы параметры вступили в силу, я отключил службы пересылки DNS и службы распознавания DNS и просто настроил службу DHCP, чтобы явно назначать свои частные DNS-серверы гостевой подсети.