समर्पित 802.1Q VLAN के साथ SSID के अतिथि के लिए कोई इंटरनेट एक्सेस नहीं है

मेरे पास एक फ़ायरवॉल (Pfsense) है। मेरे पास एक प्रबंधित स्विच (TP Link TL-SG108E है।) मेरे पास एक वायरलेस एक्सेस प्वाइंट (TP Link TL-WA833ND) है।

फ़ायरवॉल (Pfsense) में चार सब इंटरफेस के साथ 1 ईथरनेट पोर्ट है।

1. em0.10 अक्षम - परीक्षण के बाद DHCP क्लाइंट होगा
2. em0.20 192.168.0.1/25 (नेटवर्क 192.168.0.0/25 [126 मेजबान पते])
3. em0.30 192.168.0.129/25 (नेटवर्क 192.168.0.128/25 [126 मेजबान पते))
4. em0.40 विकलांग - परीक्षण के बाद 10.0.0.1/30 (नेटवर्क 10.0.0.0/30 [2 मेजबान पते]) होगा

प्रबंधित स्विच (TL-SG108E) को 4 संगत 802.1Q VLAN पर संचालित करने के लिए कॉन्फ़िगर किया गया है:

1. VLAN 10 (इंटरनेट)
2. VLAN 20 (निजी)
3. VLAN 30 (GUEST)
4. VLAN 40 (सार्वजनिक)

वायरलेस एक्सेस प्वाइंट (TL-WA801ND) VLANs सक्षम के साथ मल्टी-एसएसआईडी मोड पर सेट है। कॉन्फ़िगर किए गए दो SSID हैं:

1. SSID- निजी - VLAN 20
2. एसएसआईडी-गेस्ट - वीएलएएन 30

यहाँ 8 पोर्ट प्रबंधित स्विच (TL-SG108E) में प्लग किए गए हार्डवेयर की एक सूची दी गई है:

1. अनप्लग्ड - परीक्षण के बाद मॉडेम में प्लग करेगा
2. फ़ायरवॉल (Pfsense)
3. वायरलेस एक्सेस प्वाइंट (TL-WA801ND)
4. राउटर सफल इंटरनेट कनेक्शन के साथ।
5. निजी vlan होस्ट करता है
6. निजी vlan होस्ट करता है
7. निजी vlan होस्ट करता है
8. अनप्लग्ड - परीक्षण के बाद वेब सर्वर में प्लग करेगा

यहां प्रबंधित स्विच (TL-SG108E) के प्रत्येक पोर्ट के लिए VLAN सेटिंग्स दी गई हैं:

1. PVID 10 | वीएलएएन: [१०-अप्रकाशित]
2. ट्रंक - पीवीआईडी ​​1 | वीएलएएन: [10-टैग किया गया], [20-टैग किया गया], [30-टैग किया गया], [40-टैग किया गया]
3. ट्रंक - पीवीआईडी ​​1 | वीएलएएन: [20-टैग किया गया, 30-टैग किया गया]
4. PVID 20 | वीएलएएन: [२०-अछूता]
5. PVID 20 | वीएलएएन: [२०-अछूता]
6. PVID 20 | वीएलएएन: [२०-अछूता]
7. PVID 20 | वीएलएएन: [२०-अछूता]
8. पीवीआईडी ​​40 | वीएलएएन: [१०-अप्रकाशित]

परीक्षण के लिए सभी इंटरफेस के बीच सभी ट्रैफ़िक को अनुमति देने के लिए फ़ायरवॉल नियम निर्धारित किए गए हैं। मैं अपने अतिथि SSID को इंटरनेट का उपयोग सक्षम करने का तरीका जानने के बाद इसे बंद कर दूंगा।

निजी नेटवर्क पर होस्ट (VLAN 20 192.168.0.0/25) अतिथि नेटवर्क पर इंटरनेट का उपयोग और होस्ट (VLAN 30 192.168.0.128/25) नहीं करते हैं। इंटरनेट का सामना करने वाला राउटर 50-99 में समाप्त होने वाले डीएचसीपी पते को निजी सबनेट को प्रदान कर रहा है और फ़ायरवॉल (पॉफ़ेंसेंस) अतिथि सबनेट को 150-199 में समाप्त होने वाले डीएचसीपी पते प्रदान कर रहा है।

मुझे लगता है कि यह NAT, फ़ायरवॉल नियम, DNS, या कुछ और हो सकता है, लेकिन मुझे लगता है कि यह मेरे प्रबंधित स्विच पर शायद एक गलत धारणा है - लेकिन मुझे यकीन नहीं है।

क्या घर में कोई विशेषज्ञ हैं?

ठीक है, कोई आरेख की जरूरत है। आपके प्रश्न का उत्तर आपकी अंतिम टिप्पणियों में है।

दूसरा सब-नेट का कोई उपयोग नहीं होने का कारण यह है कि pf-sense वास्तव में इंटरनेट का उपयोग नहीं करता है। आपके पास अपना DD-wrt ISP कनेक्शन VLAN 20 में प्लग किया गया है, जिसका अर्थ है कि DD-wrt सबसे अधिक संभावना डीएचसीपी की सेवा कर रहा है और खुद को सभी ग्राहकों के लिए प्रवेश द्वार के रूप में रख रहा है।

पीएफ-अर्थ के अनुसार कोई इंटरनेट कनेक्शन नहीं है। ऐसा इसलिए है क्योंकि VLAN-20 एक LAN इंटरफ़ेस है, न कि एक निर्दिष्ट WAN इंटरफ़ेस। ग्राहकों को Pf-sense की ओर इशारा करते हुए DHCP को उनके प्रवेश द्वार के रूप में Pf-sense की आवश्यकता है। (क्योंकि यह सभी वर्चुअल LAN इंटरफेस के लिए रूटिंग और NAT दोनों कर रहा होगा।)

तो यहाँ आपको क्या करना है,

VLANS 20 और 30 के लिए दो नए उप-नेट चुनें,

मैं व्यक्तिगत रूप से क्लास-एक निजी पर्वतमाला का उपयोग करता हूं जो उस वीएलएएन से मेल खाती है जिससे वे जुड़े हुए हैं।

उदाहरण के बाद आप ऐसा करना चाहते हैं इसका कारण स्पष्ट होगा।

उदाहरण;

VLAN-10 = WAN ( UN-टैग ऑन पोर्ट -10 ) [em0.10 DHCP WAN 192.168.0.0 / 25] में होगा
(बाद में यह आपके ISP का सार्वजनिक आईपी होगा)

VLAN-20 = 10.10.20.0 / 24 (निजी लैन) [em0.20 IP = 10.10.20.1 / 24]

VLAN-30 = 10.10.30.0 / 24 (गेस्ट लैन) [em0.30 आईपी = 10.10.30.1 / 24]

VLAN-40 = 10.10.40.0 / 24 (अतिरिक्त लैन) [em0.40 IP = 10.10.40.1 / 24]

मैं आमतौर पर सादगी के लिए ऐसा करता हूं, कभी-कभी इसका आईपी पर शूट आईपी / वीएलएएन मुद्दों को परेशान करना आसान होता है यदि आप आईपी को देख सकते हैं और तुरंत जान सकते हैं कि यह वीएलएएन का क्या है। लेकिन अगर आपके पास पहले से ड्राइव शेयर और अन्य चीजें हैं, तो मैं समझ सकता हूं कि आपकी वर्तमान योजना को छोड़ना होगा

अपने LAN साइड इथरनेट को DD-wrt राउटर से एक पोर्ट करें (vlan10) अपने वेब इंटरफेस पर जाएं और em0.10 को सक्षम करें, इसे एक सेकंड दें, फिर स्टेटस> इंटरफेस के तहत चेक करें और देखें कि WAN कनेक्शन ने IP एड्रेस रिकवर किया है या नहीं।

इस बिंदु पर सभी LAN इंटरफ़ेस को ISP तक पहुंच होनी चाहिए, जब तक कि आपके पास डिफ़ॉल्ट नियम सेटअप न हो।

अब PF-sense वर्चुअल LAN इंटरफेस के लिए DHCP पूल सेटअप करें। मैं इस चरण में डीएचसीपी के लिए एक कंप्यूटर सेटअप लेने की सिफारिश करूंगा और इसे स्विच पर 10 को छोड़कर प्रत्येक व्यक्तिगत वीएलएएन में प्लग करूंगा। सुनिश्चित करें कि आप प्रत्येक इंटरफ़ेस पर PF-sense से DHCP प्राप्त कर रहे हैं और सुनिश्चित करें कि उनमें से प्रत्येक का अब इंटरनेट से कनेक्शन है।

जब आप DD-wrt राउटर को खोदने के लिए तैयार होते हैं, तो बस इसे हटा दें और ISP से सीधे पोर्ट 1 पर स्विच करने के लिए ईथरनेट जा रहा है, WAN इंटरफ़ेस डीएचसीपी लीज रिफ्रेश करें और आपको जाने के लिए अच्छा होना चाहिए।

अगर आपको समस्या है तो मुझे बताएं।

सभी विचारों के लिए धन्यवाद टिम। लेकिन मैंने जो किया वह यह था:

Pfsense पर, मैंने गेटवे 192.168.0.2 (DD-WRT का LAN पोर्ट एड्रेस) बनाया और इसे निजी इंटरफ़ेस के लिए डिफ़ॉल्ट गेटवे के रूप में सौंपा।

मैंने स्वचालित NAT सक्षम किया, (जो मुझे लगता है कि फायरवॉल के निजी इंटरफ़ेस पते 192.168.0.1 पर लूपबैक और अतिथि सबनेट पते का अनुवाद करता है।)

मुझे लगता है कि मैं अतिथि सबनेट के लिए PFSense के DNS सर्वर (सिस्टम> सामान्य सेटअप> DNS सर्वर सेटिंग्स) का उपयोग कर सकता हूं या तो डीएनएस फारवर्डर सेवा या डीएनएस रिसॉल्वर सेवा को सक्षम कर सकता हूं। और अतिथि नेटवर्क होस्ट के लिए DNS सर्वर के रूप में Pfsense के अतिथि सबनेट आईपी पते 192.168.0.129 को असाइन करने के लिए Pfsense की DHCP सर्वर सेवा की स्थापना।

लेकिन क्योंकि, 1. या तो मैंने फिर से कुछ गलत तरीके से कॉन्फ़िगर किया है या, 2. मैंने आवेदन करने के लिए सेटिंग्स का लंबा इंतजार नहीं किया, मैंने DNS फारवर्डर और डीएनएस रिसॉल्वर दोनों सेवाओं को अक्षम कर दिया और अपने निजी को स्पष्ट रूप से निर्दिष्ट करने के लिए बस डीएचसीपी सेवा की स्थापना की। DNS सर्वर अतिथि सबनेट में।