Sem acesso à Internet para o SSID convidado com a VLAN 802.1Q dedicada

Navegue suas respostas
0

Eu tenho um firewall (Pfsense). Eu tenho um switch gerenciado (TP Link TL-SG108E.) Eu tenho um ponto de acesso sem fio (TP Link TL-WA801ND.)

O firewall (Pfsense) possui 1 porta Ethernet com quatro subinterfaces.

  1. em0.10 desativado - será cliente DHCP após o teste
  2. em0.20 192.168.0.1/25 (Rede 192.168.0.0/25 [126 endereços de host])
  3. em0.30 192.168.0.129/25 (Rede 192.168.0.128/25 [126 endereços de host])
  4. em0.40 desativado - será 10.0.0.1/30 (Rede 10.0.0.0/30 [2 endereços de host]) após o teste

O switch gerenciado (TL-SG108E) é configurado para operar em 4 VLANs 802.1Q correspondentes:

  1. VLAN 10 (INTERNET)
  2. VLAN 20 (PRIVADO)
  3. VLAN 30 (CONVIDADO)
  4. VLAN 40 (PUBLIC)

O ponto de acesso sem fio (TL-WA801ND) está configurado para o modo Multi-SSID com VLANs ativadas. Existem dois SSIDs configurados:

  1. SSID-Private - VLAN 20
  2. SSID-Guest - VLAN 30

Aqui está uma lista de hardware conectado ao switch gerenciado de 8 portas (TL-SG108E):

  1. desconectado - conectará o modem após o teste
  2. Firewall (Pfsense)
  3. Ponto de acesso sem fio (TL-WA801ND)
  4. Roteador com conexão de internet bem-sucedida.
  5. Hosts vlan privativos
  6. Hosts vlan privativos
  7. Hosts vlan privativos
  8. desconectado - conectará o servidor da web após o teste

Aqui estão as configurações de VLAN para cada uma das portas no switch gerenciado (TL-SG108E):

  1. PVID 10 | VLANs: [10 sem tag]
  2. TRUNK - PVID 1 | VLANs: [com 10 tags], [com 20 tags], [com 30 tags], com [40 tags]
  3. TRUNK - PVID 1 | VLANs: [com 20 tags e 30 tags]
  4. PVID 20 | VLANs: [20 sem tag]
  5. PVID 20 | VLANs: [20 sem tag]
  6. PVID 20 | VLANs: [20 sem tag]
  7. PVID 20 | VLANs: [20 sem tag]
  8. PVID 40 | VLANs: [10 sem tag]

As regras de firewall foram definidas para permitir todo o tráfego entre todas as interfaces para teste. Vou bloqueá-lo depois que eu descobrir como ativar o acesso à Internet para meu SSID convidado.

Os hosts na rede privada (VLAN 20 192.168.0.0/25) têm acesso à Internet e hosts na rede guest (VLAN 30 192.168.0.128/25) não. O roteador voltado para a Internet está fornecendo endereços DHCP que terminam em 50-99 para a sub-rede privada e o firewall (Pfsense) está fornecendo endereços DHCP que terminam em 150-199 para a sub-rede guest.

Acho que pode ser NAT, regras de firewall, DNS ou outra coisa, mas acho que é provavelmente uma configuração incorreta no meu switch gerenciado, mas não tenho certeza.

Existe algum especialista na casa?

    
por Rhyknowscerious 02.03.2018 / 03:27

2 respostas

0

Obrigado por todas as ideias Tim. Mas o que acabei fazendo foi isso:

No Pfsense, criei um Gateway 192.168.0.2 (endereço de porta LAN do DD-WRT) e o atribui como o gateway padrão para a interface privada.

Eu habilitei o NAT automático (o que eu acho que traduz os endereços de sub-rede de loopback e guest para o endereço de interface privada do firewal 192.168.0.1.)

Pensei que eu poderia utilizar os servidores DNS da Pfsense (sistema > configuração geral > configurações do servidor DNS) para a sub-rede convidada ativando o serviço de encaminhador de DNS ou o serviço de resolução de DNS. e configurar o serviço de servidor DHCP do Pfsense para atribuir o endereço IP de sub-rede do convidado do Pfsense 192.168.0.129 como o servidor DNS para hosts de rede convidados.

Mas porque,  1. ou eu configurei algo de novo ou  2. Não esperei o tempo suficiente para as configurações se aplicarem, desativei o encaminhador de DNS e os serviços de resolução de DNS e apenas configurei o serviço DHCP para atribuir explicitamente meus servidores DNS privados à sub-rede convidada.

    
por 03.03.2018 / 17:52
1

Ok, nenhum diagrama é necessário. A resposta para sua pergunta está nos seus últimos comentários.

A razão pela qual a segunda sub-rede não tem acesso é porque o pf-sense não tem acesso à Internet. Você tem sua conexão ISP DD-wrt conectada à VLAN 20, o que significa que o DD-wrt provavelmente está servindo DHCP e se colocando como o gateway para todos os clientes.

De acordo com o PF-sense, não há conexão com a Internet. Isto é porque a VLAN-20 é uma interface LAN, não uma interface WAN designada. os clientes precisam ter o DHCP do sentido Pf apontando para Pf-sense como seu gateway. (porque ele fará tanto o roteamento como o NAT para todas as interfaces LAN virtuais).

Então aqui está o que você precisa fazer,

Escolha duas novas sub-redes para VLANS 20 & 30,

Eu pessoalmente uso os intervalos privados da Classe a que correspondem à VLAN à qual estão associados.

O motivo pelo qual você pode querer fazer isso será aparente após o exemplo.

Exemplo;

VLAN-10 = WAN ( marcado com UN na porta 10 ) [em0.10 DHCP WAN estará no 192.168.0.0 / 25]
             (Mais tarde, será o IP público do seu ISP)

VLAN-20 = 10.10.20.0 / 24 (LAN privada) [em0.20 IP = 10.10.20.1 / 24]

VLAN-30 = 10.10.30.0 / 24 (LAN Convidado) [em0.30 IP = 10.10.30.1 / 24]

VLAN-40 = 10.10.40.0 / 24 (rede extra) [em0.40 IP = 10.10.40.1 / 24]

Normalmente eu faço isso por simplicidade, às vezes é mais fácil de resolver problemas de IP / VLAN na LAN se você pode olhar para o IP e saber imediatamente a qual VLAN ele pertence. mas se você já tem drives compartilhados e outras coisas configuradas eu entenderia deixando seu esquema atual como é

conecte sua Ethernet do lado da LAN do roteador DD-wrt à porta 1 (vlan10) vá para sua interface web e ative em0.10, dê um segundo e marque sob status > interfaces e ver se a conexão WAN recuperou um endereço IP.

Todas as interfaces LAN neste ponto devem ter acesso ao ISP, desde que você tenha a configuração padrão de regras.

Agora, configure os pools DHCP para as interfaces de LAN virtual com detecção de PF. Eu recomendaria, neste estágio, fazer uma configuração do computador para DHCP e conectá-lo a cada VLAN individual, exceto para 10 no switch. Verifique se você está obtendo DHCP do PF-sense em cada interface e certifique-se de que cada um deles tenha uma conexão com a Internet.

Quando você estiver pronto para abandonar o roteador DD-wrt, apenas remova-o e coloque uma Ethernet do ISP diretamente no switch na porta 1, atualize a concessão DHCP da interface WAN e você deve estar pronto.

Deixe-me saber se você tem problemas.

    
por 03.03.2018 / 06:13

Tags

Como eu poderia determinar a criptografia e a criptografia da rede sem fio com o Wireshark? Criando um atalho para um comando CMD