Separare LAN da WIFI è possibile?
-
Ciao Zanotti,
sto facendo quella cosa per separare la lan dalla wifi, allora la mia configurazione è questa:
3 Schede WAN LAN e OPT1, WAN Collegata direttamente all'hag fastweb, Lan collegata a uno switch 5porte, e OPT1 collegata da sola ad un access point, ho abilitato il server DHCP su OPT1 e creato la seguente regola in OPT1
Proto Source Port Destination Port Gateway
- OPT1 net * * * *
gli ip sono i seguenti:
LAN: 192.168.1.1
SNM: 255.255.255.0OPT1: 192.168.0.1
SNM: 255.255.255.0Il problema è che il client wireless prende l'indirizzo ip e tutto ma non pinga nemmeno 192.168.0.1 al quale è collegato direttamente tramite access point!!! Cosa ho sbagliato? Grz1000
-
Ho fatto una marea di prove ma niente, ho provato a cambiare il gateway per OPT1 varie regole su OTP1 su WAN ecc. niente la OPT1 non comunica con la WAN!!!
AIUTO ??? ??? ??? :'( :'( :'(
-
Allora, la regola che hai messo va bene, nel senso che abilita i client al traffico in uscita verso qualunque rete. Il fatto che tu dai client non riesca a pingare OPT1 mi fa pensare che il problema sia sull'access point wireless. Dovresti in questo caso provare a pingare da OPT1 verso l'IP dell'access point o l'IP di uno dei client wireless.
Se vai in "Diagnostics" -> "Ping" selezioni come interfaccia OPT1 e dopo l'IP che vuoi pingare. A parte il ping i client wireless riescono a navigare? riescono a risolvere un indirizzo esterno? Per caso hai una regola per bloccare tutto il traffico di OPT1 prima di quella che hai postato?
Ad ogni modo i miei timori sono che l'access point abbia un firewall integrato che blocca qualche protocolo (ICMP in questo caso). Per caso l'access point è quello di Fastweb?
Fammi sapere.
-
Aaaahhh che bello sentirti Zanotti :D:D
Allora raporto:
I client OPT1 non possono fare nulla sembrano come isolati possono solo pingare ed entrare nella config del acces point (Linksys WAP200)
I computer della rete LAN posono pingare tutto e tutti compresi i client wireless e la stessa OPT1
Posso pingare la OPT1 da un client wireless solo per circa 10-11secondi in fase di accensione di pfsense come se fosse una wan ???
Da diagnostic tutte le interfacce si pingano LAN->OPT1 OPT1->LAN ecc.:(
-
Ho scoperto col diagnostic che però OPT1 non pinga ne il gateway (hag fastweb) ne i dns!!
PS: la schermata di configurazione della OPT1 è identica alla schermata WAN è normale ??? ?
-
Potresti postare uno screenshot delle regole di OPT1 e del DHCP server?
-
A te:
-
Per sicurezza posto anche:
-
E pure:
Così hai tutta la config del mio sense!! ;)
-
Allora, ci sono da fare alcune modifiche:
Nella configurazione del DHCP server devi settare i campi realtivi a Gateway e DNS servers. In entrambi puoi mettere 192.168.0.1
In questo modo informi i client wireless di usare OPT1 come gateway e dns per la loro rete.Nelle regole di OPT1 inserisci una regola finale che blocca tutto il traffico e abilita il log. Con il log attivo capisci meglio quali pacchetti passano e quali no, vedi tu poi preferisci. In WAN invece direi che la regola bloccante ci vuole sempre.
Nelle impostazioni di OPT1 ho visto che hai messo come gateway l'IP, presumo, pubblico o l'ip del tuo router. Togli pure il gateway da OPT1.
Al momento non ho la configurazione del mio access point ma a mente ricordo che non gli ho impostato ne' gateway ne' dns percui fa tutto pfSense.Fai queste modifiche e poi ci ribecchiamo.
-
Incredibile funziona tutto, ma di cognome fai copperfield per caso???
Senti cìè solo un piccolo problemino e cioè che i client wireless ora pingano e esplorano anche i client cavo e a me servirebbe che siano separati almeno i wireless, se poi i client cavo esplorano i wireless non mi interessa ma i wireless devono SOLO navigare!!Forse dipende dal fatto che hanno la stessa SubNetMask?
-
Perfetto era proprio la subnetmask, cambiata un bel riavvio di sense e ora i wireless non raggiungono più i cavo!!
Sei il migliore Zanetti hai una cena pagata!!!! ;););)
-
Sono contento di esserti stato d'aiuto. Se in futuro avrai bisogno di aggiungere un proxy per i client wireless fammi un fischio.
-
Puoi scommetterci le chia**e ;)
-
Ciao Zanetti … quanto tempo eh :D :D :D
senti ti chiedo solo un info a titolo di cultura personale,
allora come tu sai ho separato lan e wifi, e la situazione era
LAN 192.168.1.1 255.255.255.0 e WIFI 192.168.0.1 255.255.0.0
i server dhcp avevano come range:
LAN DHCP 192.168.1.0-192.168.1.255
WIFI DHCP: 192.168.0.0-192.168.255.255e quando collegavo il pc fisso alla LAN si beccava 192.168.0.199 come se facesse parte di una WIFI ??? ??? ??? ??? ??? ??? ??? ??? ??? ???
Ora ho messo la OPT1 su 10.10.10.1 255.0.0.0 e il server DHCP ha come range 10.0.0.0 - 10.255.255.255 e il problema non sussiste più
ma volevo sapere mi spieghi il perchè di questo arcano??? Cioè è come se il range di LAN fosse parte integrante del range di OPT1 e quindi c'era solo il DHCP SERVER di OPT1 ??? ??? ??? ???
Grz1000
-
Da quello che vedo hai netmask un po' strane, addirittura la WIFI è configurata per gestire 65536 IP che sono un po' tanti davvero. Io avrei cambiato l'interfaccia WIFI in 192.168.0.1 255.255.255.0
Detto ciò il range dei DHCP mi sa che non va molto bene, cerca di partire da range dove ci sono effettivamente IP liberi perchè in quelli che hai postato sono inclusi gli IP della LAN e del WIFI, un range buono per la WIFI poteva essere 192.168.0.10-192.168.0.250 con netmask 255.255.255.0
Stessa cosa per il DHCP della LAN, se invece ti servono più di 255 IP allora il discorso da affrontare è un altro e in quel caso basta subnettare in modo da unire piu reti piccole.
Per esempio se assegni a WIFI un IP 192.168.0.1 con netmask 255.255.252.0 hai già una unica rete con 1024 IP a disposizione cioè da 192.168.0.1 a 192.168.3.255Per quanto riguarda il problema della LAN che sbagliava a prendere l'IP, sempre guardando quelle subnet mask, il DHCP non digerisce bene una impostazione di IP classe C con subnet /16, in pratica configuri una supernet ovvero una rete con netmask fuori dagli standard /8 /16 /24 delle classi A B C
E infatti assegnato poi un IP di una rete di classe A con netmask /8 ha ripreso a funzionare….solo che hai creato un range di una grandezza siderale ;D
-
Hehehehehe, grosso modo ho capito, quindi scusa una cosa il discorso delle classi A B C è così:
255.0.0.0 sarebbe /8 e quindi classe A
255.255.0.0 sarebbe /16 e quindi classe B
255.255.255.0 sarebbe /24 e quindi classe C ??Un altra cosa … se io mettevo LAN 192.168.1.0 con SNM 255.255.255.0 e WIFI con 192.168.0.1 con stessa SNM i wireless comunicavano con i cavo, cambiata la SNM tutto apposto ma al primo riavvio sè presentato quel problema, come mai ???
Grz1000
-
Le subnet, quando parliamo di IP privati, non sono indicative di quale classe un IP appartiene. Quello che identifica una classe di IP è l'IP stesso e queste classi non sono altro che dei range di IP stabiliti con degli standard.
La classe A va da 0.0.0.0 a 127.255.255.255
La classe B va da 128.0.0.0 a 191.255.255.255
La classe C va da 192.0.0.0 a 223.255.255.255Queste classi, che tra l'altro non sono tutte, rappresentano range di IP. All'interno delle stesse classi esistono ulteriori range di IP destinati all'uso privato, per creare reti di piccole dimensioni separate o comunicanti fra loro, con piu' o meno IP a disposizione per rete a secondo di come uno va a settare la subnet mask. In effetti sono parecchi anni che non si parla piu' di indirizzamento per classi ma per subnet.
Per quanto riguarda la seconda domanda ho un paio di ipotesi e voglio fare un paio di prove anche da me. Ma tu riuscivi da un ip della LAN a pingare un IP della WIFI o viceversa?
-
Allora la situazione era quella descritta sopra:
WIFI 192.168.0.x
LAN 192.168.1.x stesse subnet ossia 255.255.255.0 e riuscivo a pingare da un client WIFI tutti i client CAVO, purtroppo non ho fatto la prova interna, cmq nn appena rientro vado subito a mettere apposto le subnet, in teoria se metto:LAN 192.168.1.x
WIFI 10.10.10.x con stessa SNM non dovrebbero comunicare giusto?GRZ!
LQD! -
Ok ora ho rimesso, lan 192.168.1x e wifi 192.168.0.x con la regola permetti tutto con sorgente OPT1 e i wifi pingano i cavo pur avendo ip diversi!!! ma perchè???