专用 802.1Q VLAN 的访客 SSID 无法访问互联网

tag-icon tag-icon wireless-networking routing vlan pfsense ssid
专用 802.1Q VLAN 的访客 SSID 无法访问互联网

我有一个防火墙 (Pfsense)。我有一个托管交换机 (TP Link TL-SG108E)。我有一个无线接入点 (TP Link TL-WA801ND)。

防火墙(PfSense)有 1 个以太网端口,带 4 个子接口。

  1. em0.10 已禁用 - 测试后将成为 DHCP 客户端
  2. em0.20 192.168.0.1/25(网络 192.168.0.0/25 [126 个主机地址])
  3. em0.30 192.168.0.129/25(网络 192.168.0.128/25 [126 个主机地址])
  4. em0.40 已禁用 - 测试后将为 10.0.0.1/30(网络 10.0.0.0/30 [2 个主机地址])

管理型交换机(TL-SG108E)配置为在 4 个相应的 802.1Q VLAN 上运行:

  1. VLAN 10(互联网)
  2. VLAN 20(私有)
  3. VLAN 30(访客)
  4. VLAN 40(公共)

无线接入点 (TL-WA801ND) 设置为多 SSID 模式,并启用 VLAN。配置了两个 SSID:

  1. SSID-专用-VLAN 20
  2. SSID-访客-VLAN 30

以下是插入 8 端口管理型交换机 (TL-SG108E) 的硬件列表:

  1. 拔掉电源 - 测试后将插入调制解调器
  2. 防火墙(PfSense)
  3. 无线接入点(TL-WA801ND)
  4. 路由器已成功连接互联网。
  5. 私有 VLAN 主机
  6. 私有 VLAN 主机
  7. 私有 VLAN 主机
  8. 拔掉电源-测试后将插入网络服务器

以下是管理型交换机(TL-SG108E)上每个端口的 VLAN 设置:

  1. PVID 10 | VLAN:[10-未标记]
  2. TRUNK - PVID 1 | VLAN:[10-标记]、[20-标记]、[30-标记]、[40-标记]
  3. TRUNK - PVID 1 | VLAN:[20 标记,30 标记]
  4. PVID 20 | VLAN:[20-未标记]
  5. PVID 20 | VLAN:[20-未标记]
  6. PVID 20 | VLAN:[20-未标记]
  7. PVID 20 | VLAN:[20-未标记]
  8. PVID 40 | VLAN:[10-未标记]

防火墙规则已设置为允许所有接口之间的所有流量进行测试。在我弄清楚如何启用访客 SSID 的互联网访问后,我将锁定它。

私有网络 (VLAN 20 192.168.0.0/25) 上的主机可以访问 Internet,而访客网络 (VLAN 30 192.168.0.128/25) 上的主机则不能。面向 Internet 的路由器为私有子网提供以 50-99 结尾的 DHCP 地址,而防火墙 (Pfsense) 为访客子网提供以 150-199 结尾的 DHCP 地址。

我猜可能是 NAT、防火墙规则、DNS 或其他什么东西,但我认为这可能是我的托管交换机上的配置错误 - 但我不确定。

家里有专家吗?

答案1

好的,不需要图表。你的问题的答案就在你最后的评论里。

第二个子网无法访​​问的原因是 pf-sense 实际上无法访问互联网。您已将 DD-wrt ​​ISP 连接插入 VLAN 20,这意味着 DD-wrt ​​很可能正在提供 DHCP 服务并将自己作为所有客户端的网关。

根据 PF-sense,没有互联网连接。这是因为 VLAN-20 是 LAN 接口,而不是指定的 WAN 接口。客户端需要从 Pf-sense 获得 DHCP,指向 Pf-sense 作为其网关。(因为它将为所有虚拟 LAN 接口执行路由和 NAT。)

所以你需要做的是,

为 VLANS 20 和 30 选择两个新子网,

我个人使用与所关联的 VLAN 相匹配的 A 类私有范围。

看完这个例子之后你就会明白为什么你想要这么做。

例子;

VLAN-10 = WAN(端口 10 上未标记) [em0.10 DHCP WAN 将位于 192.168.0.0 /25]
(稍后它将是来自您的 ISP 的公共 IP)

VLAN-20 = 10.10.20.0 /24(私有局域网)[em0.20 IP=10.10.20.1 /24]

VLAN-30 = 10.10.30.0 /24(访客局域网)[em0.30 IP=10.10.30.1 /24]

VLAN-40 = 10.10.40.0 /24(额外局域网)[em0.40 IP=10.10.40.1 /24]

我通常这样做是为了简单起见,有时如果你能查看 IP 并立即知道它属于哪个 VLAN,那么在 LAN 上解决 IP/VLAN 问题会更容易。但如果你已经设置了驱动器共享和其他东西,我会理解保留你当前的方案

将 DD-wrt ​​路由器的 LAN 侧以太网插入端口一 (vlan10),转到您的 Web 界面并启用 em0.10,等待一秒钟,然后在状态 > 接口下检查,看看 WAN 连接是否已检索到 IP 地址。

此时,只要您设置了默认规则,所有 LAN 接口都应该可以访问 ISP。

现在为 PF-sense 虚拟 LAN 接口设置 DHCP 池。我建议在此阶段使用计算机设置 DHCP,并将其插入交换机上除 10 之外的每个单独的 VLAN。确保每个接口都从 PF-sense 获取 DHCP,并确保它们现在都已连接到互联网。

当您准备放弃 DD-wrt ​​路由器时,只需将其移除并将来自 ISP 的以太网直接连接到端口 1 上的交换机,刷新 WAN 接口 DHCP 租约,就可以了。

如果您有问题请告诉我。

答案2

感谢 Tim 提出的所有想法。但我最终做的是:

在 Pfsense 上,我创建了一个网关 192.168.0.2(DD-WRT 的 LAN 端口地址)并将其指定为私有接口的默认网关。

我启用了自动 NAT,(我猜只是将环回和客户子网地址转换为防火墙的私有接口地址 192.168.0.1。)

我认为我可以通过启用 DNS 转发器服务或 DNS 解析器服务来将 Pfsense 的 DNS 服务器(系统 > 常规设置 > DNS 服务器设置)用于来宾子网。并设置 Pfsense 的 DHCP 服务器服务以分配 Pfsense 的来宾子网 IP 地址 192.168.0.129 作为来宾网络主机的 DNS 服务器。

但是因为,1. 我再次错误配置了某些东西,或者,2. 我没有等待足够长的时间让设置应用,我禁用了 DNS 转发器和 DNS 解析器服务,并且只设置了 DHCP 服务以明确将我的私有 DNS 服务器分配给来宾子网。

相关内容