LAN não acessa serviço na VLAN

gersonalves

Colegas, me deparei com uma situação ao trabalhar com VLANS.

Versão Pfsense: 2.6.0-RELEASE (amd64)

No ambiente de produção, estou com o Pfsense rodando em pleno vapor, com o seguinte cenário:

WAN (link operadora)
LAN (192.168.0.xxx/24)
VLAN_ADM (172.16.20.xxx/28)
VLAN_VENDAS (172.16.30.xxx/28)
VLAN_WIFI (10.10.60.xxx/24)

As VLANS foram configuradas (estão funcionando perfeitamente) em um switch HP 1910-24, onde a porta 26 está configurada como Trunk/tagged e recebe a conexão LAN do Pfsense.
Já a porta 25 do switch é exclusiva para gerenciamento da rede e vlans e está marcada como access.
Porém, ao acessar a controladora para gerenciar as configurações do AP 360 (access point) que estão conectados na VLAN_WIFI, os mesmos aparecem offline para mim. Só consigo realizar a gerencia dos aparelhos se conectar em uma das portas da referida VLAN_WIFI.
Em Rules/LAN realizei a liberação para acessar a VLAN_WIFI, porém sem sucesso!
Alguma dica de como solucionar essa questão?

Regra Rules / LAN:

No registro de log dessa regra, aparece: CLOSED:SYN_SENT

Agradeço a atenção e ajuda.
Obrigado.

mcury

No switch:

Na porta onde o AP se conecta ao switch, deve estar setado untaged (access) para a VLAN de gerência do AP.
Para as VLANs das redes WIFI, devem estar configuradas como tagged.

Dessa forma você vai poder gerenciar os APs pela controladora, e as redes WIFI irão funcionar, lembrando que deverá fazer a configuração na controladora setando cada rede WIFI criada para sua respectiva VLAN.

gersonalves

@mcury deixa eu ver se entendi ...
No meu switch, está configurado da seguinte forma:

As portas 17,18,19,21 são exclusivas da VLAN 25 (Guest), onde os APs estão conectados (figura 1):

Figura 1:

Na imagem abaixo (figura 2), mostra a configuração da VLAN_25 que é a GUEST, onde a porta 26 recebe a conexão do Pfsense e a porta 25 é onde está conectado o meu notebook.

Figura 2:

Está correto?

mcury

@gersonalves O seu AP suporta múltiplas VLANs? Uma por SSID?

Se for um AP simples, que não suporta 802.1q, a única porta tagged deve ser a 26, que conecta ao pfsense.
As demais portas dessa VLAN devem ser untaggeds (modo acesso).

Caso o access point suporte 802.1q com múltiplas SSID por VLAN no mesmo AP, você deve enviar um trunk para para o access point incluindo todas as VLANs das redes WIFI.

Quanto a gerência do AP pela controladora, o pfsense deve ter uma interface na mesma rede que está a controladora podendo ser uma VLAN diferente ou até mesmo a VLAN1 (interface do pfsense direto). Nesse caso essa VLAN deve chegar como untagged pro access point.

gersonalves

@mcury deu certo! Muito obrigado pela ajuda.

mcury

Disponha