समर्पित 802.1Q VLAN के साथ SSID के अतिथि के लिए कोई इंटरनेट एक्सेस नहीं है


0

मेरे पास एक फ़ायरवॉल (Pfsense) है। मेरे पास एक प्रबंधित स्विच (TP Link TL-SG108E है।) मेरे पास एक वायरलेस एक्सेस प्वाइंट (TP Link TL-WA833ND) है।

फ़ायरवॉल (Pfsense) में चार सब इंटरफेस के साथ 1 ईथरनेट पोर्ट है।

  1. em0.10 अक्षम - परीक्षण के बाद DHCP क्लाइंट होगा
  2. em0.20 192.168.0.1/25 (नेटवर्क 192.168.0.0/25 [126 मेजबान पते])
  3. em0.30 192.168.0.129/25 (नेटवर्क 192.168.0.128/25 [126 मेजबान पते))
  4. em0.40 विकलांग - परीक्षण के बाद 10.0.0.1/30 (नेटवर्क 10.0.0.0/30 [2 मेजबान पते]) होगा

प्रबंधित स्विच (TL-SG108E) को 4 संगत 802.1Q VLAN पर संचालित करने के लिए कॉन्फ़िगर किया गया है:

  1. VLAN 10 (इंटरनेट)
  2. VLAN 20 (निजी)
  3. VLAN 30 (GUEST)
  4. VLAN 40 (सार्वजनिक)

वायरलेस एक्सेस प्वाइंट (TL-WA801ND) VLANs सक्षम के साथ मल्टी-एसएसआईडी मोड पर सेट है। कॉन्फ़िगर किए गए दो SSID हैं:

  1. SSID- निजी - VLAN 20
  2. एसएसआईडी-गेस्ट - वीएलएएन 30

यहाँ 8 पोर्ट प्रबंधित स्विच (TL-SG108E) में प्लग किए गए हार्डवेयर की एक सूची दी गई है:

  1. अनप्लग्ड - परीक्षण के बाद मॉडेम में प्लग करेगा
  2. फ़ायरवॉल (Pfsense)
  3. वायरलेस एक्सेस प्वाइंट (TL-WA801ND)
  4. राउटर सफल इंटरनेट कनेक्शन के साथ।
  5. निजी vlan होस्ट करता है
  6. निजी vlan होस्ट करता है
  7. निजी vlan होस्ट करता है
  8. अनप्लग्ड - परीक्षण के बाद वेब सर्वर में प्लग करेगा

यहां प्रबंधित स्विच (TL-SG108E) के प्रत्येक पोर्ट के लिए VLAN सेटिंग्स दी गई हैं:

  1. PVID 10 | वीएलएएन: [१०-अप्रकाशित]
  2. ट्रंक - पीवीआईडी ​​1 | वीएलएएन: [10-टैग किया गया], [20-टैग किया गया], [30-टैग किया गया], [40-टैग किया गया]
  3. ट्रंक - पीवीआईडी ​​1 | वीएलएएन: [20-टैग किया गया, 30-टैग किया गया]
  4. PVID 20 | वीएलएएन: [२०-अछूता]
  5. PVID 20 | वीएलएएन: [२०-अछूता]
  6. PVID 20 | वीएलएएन: [२०-अछूता]
  7. PVID 20 | वीएलएएन: [२०-अछूता]
  8. पीवीआईडी ​​40 | वीएलएएन: [१०-अप्रकाशित]

परीक्षण के लिए सभी इंटरफेस के बीच सभी ट्रैफ़िक को अनुमति देने के लिए फ़ायरवॉल नियम निर्धारित किए गए हैं। मैं अपने अतिथि SSID को इंटरनेट का उपयोग सक्षम करने का तरीका जानने के बाद इसे बंद कर दूंगा।

निजी नेटवर्क पर होस्ट (VLAN 20 192.168.0.0/25) अतिथि नेटवर्क पर इंटरनेट का उपयोग और होस्ट (VLAN 30 192.168.0.128/25) नहीं करते हैं। इंटरनेट का सामना करने वाला राउटर 50-99 में समाप्त होने वाले डीएचसीपी पते को निजी सबनेट को प्रदान कर रहा है और फ़ायरवॉल (पॉफ़ेंसेंस) अतिथि सबनेट को 150-199 में समाप्त होने वाले डीएचसीपी पते प्रदान कर रहा है।

मुझे लगता है कि यह NAT, फ़ायरवॉल नियम, DNS, या कुछ और हो सकता है, लेकिन मुझे लगता है कि यह मेरे प्रबंधित स्विच पर शायद एक गलत धारणा है - लेकिन मुझे यकीन नहीं है।

क्या घर में कोई विशेषज्ञ हैं?


वर्चुअल इंटरफ़ेस em0.30 के लिए यह आपको (स्थिति> इंटरफेस) के तहत क्या देता है, क्या यह इसे ऊपर और चलते हुए ट्रैफ़िक के रूप में दिखाता है? केवल पहले इंटरफ़ेस को ही नामित किया गया है क्योंकि लैन को डिफ़ॉल्ट नियम मिलते हैं। आपको बस एक डिफ़ॉल्ट अतिथि एक्सेस नियम सेट करना पड़ सकता है। फ़ायरवॉल के तहत> नियम> जिसे आपने em0.30 नाम दिया है।
टिम_स्टार्ट

em0.30 3325/1077 के पैकेट में / बाहर दिखा रहा है। मेरे पास em0.20 और em0.30 दोनों पर समान फ़ायरवॉल नियम है जो प्रोटो = IPv4, सोर्स = *, स्पॉर्ट = *, डेस्टिनेशन = *, DPort = *, गेटवे = * कतार = कोई नहीं, शेड्यूल = (कोई नहीं) है , विवरण = (कोई नहीं)
५:५० पर Rhyknowscerious

1
अतिथि नेटवर्क के लिए NAT के रूप में कार्य करने के लिए कौन सा उपकरण कॉन्फ़िगर किया गया है? उस NAT गेटवे का निजी (LAN-side) IP पता क्या है? जब फ़ायरवॉल अतिथि नेटवर्क के लिए डीएचसीपी कार्य करता है, तो यह उन गेट डिवाइस का उपयोग करने के लिए कौन सा डिफ़ॉल्ट गेटवे आईपी पता है?
आकर्षक बनाएं

मेरे पास एक राउटर है (DD-WRT के साथ बफ़ेलो एस्ट्रेशन N300) 192.168.0.2 पोर्ट 4 (वीएलएएन 20) पर स्विच में प्लग किया गया। मैंने यह मान लिया कि यह सभी यातायात के लिए NAT था, लेकिन शायद यह केवल 192.168.0.0/25 सबनेट के लिए NAT प्रदान कर रहा है। मुझे लगता है कि मुझे यह देखने के लिए कि क्या कोई NAT चल रहा है, यह देखने के लिए भी Pfsense फ़ायरवॉल की जांच करनी चाहिए। क्या डीडी-डब्ल्यूआरटी राउटर पर सभी आंतरिक नेटवर्क के लिए NAT सेटअप करना सबसे अच्छा होगा? या बस फ़ायरवॉल पर अतिथि नेटवर्क के लिए NAT सेटिंग्स जोड़ें? मुझे NAT नियमों की स्थापना का बहुत अनुभव नहीं है - विशेषकर कई VLANS के लिए।
Rhyknowscerious

आप NAT (H / w फ़ायरवॉल) NAT को हैंडल करने देंगे। Dd-wrt पर आप सेटअप> बेसिक सेटअप> कनेक्शन टाइप डिसेबल पर जाएं। और सुरक्षा> SPI फ़ायरवॉल अक्षम करें। यह इसे सही एपी मोड में बदल देगा, (कोई रूटिंग) नहीं। मैं pvid की tp-links परिभाषा पर 100% नहीं हूँ। मैंने vlans और pvid का उपयोग करके उस स्विच के लिए एक सेटअप गाइड को देखा और ऐसा लग रहा था कि यह डिफ़ॉल्ट पोर्ट / vlan मैपिंग के लिए था और ऐसा लग रहा था कि वे vlan के साथ pvid से मेल खा रहे हैं। मैं अपने pfsense इंस्टॉलेशन के साथ बहुत समान सेटअप का उपयोग कर रहा हूं। मैंने हालांकि सिस्को के छोटे व्यवसाय स्विच का उपयोग किया। और बस सादा पोर्ट-वलान मैपिंग।
टिम_स्टार्ट

जवाबों:


1

ठीक है, कोई आरेख की जरूरत है। आपके प्रश्न का उत्तर आपकी अंतिम टिप्पणियों में है।

दूसरा सब-नेट का कोई उपयोग नहीं होने का कारण यह है कि pf-sense वास्तव में इंटरनेट का उपयोग नहीं करता है। आपके पास अपना DD-wrt ISP कनेक्शन VLAN 20 में प्लग किया गया है, जिसका अर्थ है कि DD-wrt सबसे अधिक संभावना डीएचसीपी की सेवा कर रहा है और खुद को सभी ग्राहकों के लिए प्रवेश द्वार के रूप में रख रहा है।

पीएफ-अर्थ के अनुसार कोई इंटरनेट कनेक्शन नहीं है। ऐसा इसलिए है क्योंकि VLAN-20 एक LAN इंटरफ़ेस है, न कि एक निर्दिष्ट WAN इंटरफ़ेस। ग्राहकों को Pf-sense की ओर इशारा करते हुए DHCP को उनके प्रवेश द्वार के रूप में Pf-sense की आवश्यकता है। (क्योंकि यह सभी वर्चुअल LAN इंटरफेस के लिए रूटिंग और NAT दोनों कर रहा होगा।)

तो यहाँ आपको क्या करना है,

VLANS 20 और 30 के लिए दो नए उप-नेट चुनें,

मैं व्यक्तिगत रूप से क्लास-एक निजी पर्वतमाला का उपयोग करता हूं जो उस वीएलएएन से मेल खाती है जिससे वे जुड़े हुए हैं।

उदाहरण के बाद आप ऐसा करना चाहते हैं इसका कारण स्पष्ट होगा।

उदाहरण;

VLAN-10 = WAN ( UN-टैग ऑन पोर्ट -10 ) [em0.10 DHCP WAN 192.168.0.0 / 25] में होगा
(बाद में यह आपके ISP का सार्वजनिक आईपी होगा)

VLAN-20 = 10.10.20.0 / 24 (निजी लैन) [em0.20 IP = 10.10.20.1 / 24]

VLAN-30 = 10.10.30.0 / 24 (गेस्ट लैन) [em0.30 आईपी = 10.10.30.1 / 24]

VLAN-40 = 10.10.40.0 / 24 (अतिरिक्त लैन) [em0.40 IP = 10.10.40.1 / 24]

मैं आमतौर पर सादगी के लिए ऐसा करता हूं, कभी-कभी इसका आईपी पर शूट आईपी / वीएलएएन मुद्दों को परेशान करना आसान होता है यदि आप आईपी को देख सकते हैं और तुरंत जान सकते हैं कि यह वीएलएएन का क्या है। लेकिन अगर आपके पास पहले से ड्राइव शेयर और अन्य चीजें हैं, तो मैं समझ सकता हूं कि आपकी वर्तमान योजना को छोड़ना होगा

अपने LAN साइड इथरनेट को DD-wrt राउटर से एक पोर्ट करें (vlan10) अपने वेब इंटरफेस पर जाएं और em0.10 को सक्षम करें, इसे एक सेकंड दें, फिर स्टेटस> इंटरफेस के तहत चेक करें और देखें कि WAN कनेक्शन ने IP एड्रेस रिकवर किया है या नहीं।

इस बिंदु पर सभी LAN इंटरफ़ेस को ISP तक पहुंच होनी चाहिए, जब तक कि आपके पास डिफ़ॉल्ट नियम सेटअप न हो।

अब PF-sense वर्चुअल LAN इंटरफेस के लिए DHCP पूल सेटअप करें। मैं इस चरण में डीएचसीपी के लिए एक कंप्यूटर सेटअप लेने की सिफारिश करूंगा और इसे स्विच पर 10 को छोड़कर प्रत्येक व्यक्तिगत वीएलएएन में प्लग करूंगा। सुनिश्चित करें कि आप प्रत्येक इंटरफ़ेस पर PF-sense से DHCP प्राप्त कर रहे हैं और सुनिश्चित करें कि उनमें से प्रत्येक का अब इंटरनेट से कनेक्शन है।

जब आप DD-wrt राउटर को खोदने के लिए तैयार होते हैं, तो बस इसे हटा दें और ISP से सीधे पोर्ट 1 पर स्विच करने के लिए ईथरनेट जा रहा है, WAN इंटरफ़ेस डीएचसीपी लीज रिफ्रेश करें और आपको जाने के लिए अच्छा होना चाहिए।

अगर आपको समस्या है तो मुझे बताएं।


0

सभी विचारों के लिए धन्यवाद टिम। लेकिन मैंने जो किया वह यह था:

Pfsense पर, मैंने गेटवे 192.168.0.2 (DD-WRT का LAN पोर्ट एड्रेस) बनाया और इसे निजी इंटरफ़ेस के लिए डिफ़ॉल्ट गेटवे के रूप में सौंपा।

मैंने स्वचालित NAT सक्षम किया, (जो मुझे लगता है कि फायरवॉल के निजी इंटरफ़ेस पते 192.168.0.1 पर लूपबैक और अतिथि सबनेट पते का अनुवाद करता है।)

मुझे लगता है कि मैं अतिथि सबनेट के लिए PFSense के DNS सर्वर (सिस्टम> सामान्य सेटअप> DNS सर्वर सेटिंग्स) का उपयोग कर सकता हूं या तो डीएनएस फारवर्डर सेवा या डीएनएस रिसॉल्वर सेवा को सक्षम कर सकता हूं। और अतिथि नेटवर्क होस्ट के लिए DNS सर्वर के रूप में Pfsense के अतिथि सबनेट आईपी पते 192.168.0.129 को असाइन करने के लिए Pfsense की DHCP सर्वर सेवा की स्थापना।

लेकिन क्योंकि, 1. या तो मैंने फिर से कुछ गलत तरीके से कॉन्फ़िगर किया है या, 2. मैंने आवेदन करने के लिए सेटिंग्स का लंबा इंतजार नहीं किया, मैंने DNS फारवर्डर और डीएनएस रिसॉल्वर दोनों सेवाओं को अक्षम कर दिया और अपने निजी को स्पष्ट रूप से निर्दिष्ट करने के लिए बस डीएचसीपी सेवा की स्थापना की। DNS सर्वर अतिथि सबनेट में।


और वे आपको कई Pfsense मंचों में बताते हैं कि निजी नेटवर्क पर गेटवे का उपयोग न करें। Pffffft, संशोधन!
Rhyknowscerious

1
आपके पास तब कुछ भी नहीं होने की संभावना है, और मुझे अब पता नहीं है कि आप क्या करने की कोशिश कर रहे हैं। यह इस कॉन्फ़िगरेशन में न तो फ़ायरवॉल या राउटर है। वे आपको इस तरह की चीजें नहीं करने का कारण बताते हैं, क्योंकि आप एक सुरक्षा उपकरण का उपयोग करने की कोशिश कर रहे हैं, जैसे कि यह किसी प्रकार का पुल है, यह एक राउटर है। और इसके बिना ऐसे कार्य करना जैसे कोई सुरक्षा नहीं होगी। Vlans के लिए कोई ट्रैफ़िक नियम नहीं है, और वास्तव में vlans का उपयोग करने का कोई लाभ नहीं है। सबसे अधिक संभावना है कि आपको बाद में इससे परेशानी होगी, और संभवत: अपने ग्राहकों को जंगली से बाहर निकाल दें।
टिम_स्टार्ट मार्ट

मुझे लगा कि मैं सीखूंगा कि वाईफाई पर काम करने वाला इंटरनेट कनेक्शन केवल अतिथि वीएलएएन में कैसे मिलेगा। फिर मुझे पता है कि अन्य वीएलएएन के लिए इंटरनेट की अनुमति कैसे दी जाए। DDWRT इंटरनेट और निजी नेटवर्क के बीच रूटिंग कर रहा है और राउटर को बदलने पर PFSense 4 VLANs के बीच रूटिंग करेगा। अब मैं वीएलएएन 10 और 40 और सेटअप फ़ायरवॉल नियमों को सक्षम करने की योजना बना रहा हूं: 1) वीएलएएन 20 और 30 2 से एकतरफा इंटरनेट एक्सेस की अनुमति दें) वेब सर्वर के लिए वीएलएएन 40 पर 2-तरफ़ा इंटरनेट एक्सेस की अनुमति दें - केवल पोर्ट 80 या 443 इनबाउंड 3 VLAN 20 4 में से किसी को भी ब्लॉक करें) अतिथि नेटवर्क से निजी होस्ट को छोड़कर सभी को ब्लॉक करें।
रिहायशोसेरियस

मेरे द्वारा इस प्रश्न को पोस्ट करने का एकमात्र कारण अतिथि नेटवर्क तक इंटरनेट पहुंच को सक्षम करने में मदद करना था। मुझे लगा कि मैं बाकी काम कर सकता हूं अगर मुझे पहेली के इस टुकड़े के साथ मदद मिल सकती है। आपने मुझे कुछ अच्छे सुझाव दिए और वास्तव में बहुत मदद की इसलिए धन्यवाद।
रिहायसोवेसरियस

जिस तरह से आप इसे ठीक से काम कर रहे हैं वह उन निर्देशों में है जो मैंने कल रात को लिखे थे। जब आपके पास वीएलएएन 10 में जाने का कनेक्शन होता है और vlans को रूट करने के लिए pfsense होता है, तो यह फ़ायरवॉल> नियमों में उस इंटरफ़ेस पर जाने जितना आसान है। और अगर आप अन्य vlans के लिए अभी कनेक्शन नहीं चाहते हैं तो बस उस वर्चुअल इंटरफेस पर एक नियम छोड़ दें। यह वास्तव में मुश्किल नहीं होना चाहिए। लेकिन आप नहीं चाहते हैं कि pfsense ब्रिजिंग vlans चाहता है, यह एक हैक की अधिक है और यह आपको ट्रैफिक नियंत्रण के साथ नहीं छोड़ेगा।
टिम_स्टार्ट मार्ट
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.