PfSense 2.4.1 Bridge VLAN to WAN
-
Hallo,
ich bin Neueinsteiger in pfSense und habe dank nachlesen in dem Forum schon so manches Problem gelöst :).
Meine pfSense läuft auf einem HP Server unter ESXi 6.5 mit mehreren VLANs, Captive Portal für Gäste …
Jetzt habe ich aber ein Problem:
Ich möchte ein VLAN direkt mit dem WAN Port verbinden und den DHCP Server der Fritzbox nutzen.
(Wegen der Kindersicherung mit Zeitkontingenten... die es ja anscheinend für die pfSense leider so nicht gibt).
Hinter der Firewall hängen am OPT1 mehrere Unify APs welche dann 3 WLAN Netze hätten: Privat, Gast und Kinder..
Ich habe das Kinder VLAN nach dieser Anleitung konfiguriert https://www.cyberciti.biz/faq/how-to-pfsense-configure-network-interface-as-a-bridge-network-switch/.
Leider erhalte ich im Kinder VLAN/WLAN keine IP Adresse von der Fritzbox . Firewall regeln sind zum testen sowohl im VLAN und der Bridge auf "pass any" gesetzt. Ich kann aus dem VLAN auch die Fritzbox anpingen, nur der DHCP Server funktioniert nicht.
Hat jemand eine Idee, woran das liegen könnte oder gibt es vielleicht eine bessere Lösung als mit der Bridge ? -
Hallo,
Ich habe das Kinder VLAN nach dieser Anleitung konfiguriert https://www.cyberciti.biz/faq/how-to-pfsense-configure-network-interface-as-a-bridge-network-switch/.
die Seite hinter dem Link zeigt lediglich ein generelles Beispiel für eine Bridge, hat aber nicht mit VLAN zu tun. Die gezeigten Einstellungen sind zudem veraltet.
Vielleicht ist es besser, wenn du beschreibst, was du wirklich gemacht hast. Der Überschrift folgend, verstehe ich, du hast das Kinder-VLAN mit dem WAN-Interface gebrückt, das aber auch noch andere Aufgaben hat. Das geht so gar nicht.
Was benötigt die FB, damit die Kindersicherung funktioniert? Bestimmte IP-Adressen? Ein eigenes Subnetz? Ein VLAN?
Machst du auf der pfSense NAT ausgehend oder werden die Netze dahinter durchgereicht?
-
Hallo viragomann,
vielen Dank für Deine Antwort.
Vielleicht ist es besser, wenn du beschreibst, was du wirklich gemacht hast. Der Überschrift folgend, verstehe ich, du hast das Kinder-VLAN mit dem WAN-Interface gebrückt, das aber auch noch andere Aufgaben hat. Das geht so gar nicht.
Das ist richtig, das WAN hat noch viele andere Aufgaben, Internet Zugang über die Fritzbox für Privat und über einen OpenVPN Client für das Gäste WLAN, diverse Virtual IPs für die Geräte in den VLANs …
Es gibt 3 VLANs die über NAT mit dem WAN oder OpenVPN Client mit der Fritzbox ins Internet verbunden sind. Alles funktioniert nach anfänglichen Problem sehr gut.
FritzBox 192.168.138.1 ---- WAN Pfsense 192.168.138.12 ---NAT -- VLAN1 192.168.11.0 / VLAN2 192.168.12.0 / VLAN3 192.168.13.0 / die APs hängen am OPT1 Port der Firewall 192.168.10.0 / am LAN Port hängen die LAN PC.Was benötigt die FB, damit die Kindersicherung funktioniert? Bestimmte IP-Adressen? Ein eigenes Subnetz? Ein VLAN?
Ich denke die Clients müssen sich im selben Subnet wie die Box befinden und über DHCP die IP-Adresse von der Box beziehen. Dann können über die MAC jedem Client Regeln für die Kindersicherung zugewiesen werden. Das ganze hat vor der Umstellung gut funktioniert, aber da waren die Clients auch noch direkt mit dem WLAN der Box verbunden. Daher gehe ich davon aus das eine Bridge die beste Lösung wäre !? Ich hatte es schon über NAT versucht aber dann erscheinen die Clients an der Box überhaupt nicht…
Ich habe leider keine neuere Anleitung gefunden und im Pfsense Handbuch steht auch nichts anderes: https://doc.pfsense.org/index.php/Interface_Bridges
Im Prinzip habe ich ein neues Interface "Kinder" ohne IP Adresse angelegt, danach ein Bridge Interface erzeugt und dieses mit dem WAN und dem "Kinder" Interface verbunden.
Dann noch die Firewall Regeln für alle 3 IF auf "Pass any" angelegt. Ein Ping vom "Kinder" IF auf die Fritzbox funktioniert ja auch, ich bekomme nur keine IP über DHCP… -
Das Interface Kinder musst du aber auch mit irgendeinem (auch virtuellen) Netzwerkgerät verbunden haben. Mit welchem?
Ich weiß leider nicht, wie die FB funktioniert. Klar, wenn sie selbst IP Adressen vergibt, braucht sie eine MAC-Adresse um ein Gerät klar zu bestimmen. In deinem Fall wäre das aber nicht nötig, weil dies schon der AP tut.
Wenn du auch eine einzige IP als "Kind" in der FB angeben kannst, kannst du diese per Outbound NAT dem Kinder-VLAN zuweisen.So wie ich das verstehe, macht die FB auch DHCP. Wofür? Hängt da abgesehen von der pfSense noch was dran?
Die pfSense hat doch eine fixe IP, oder? -
Das Interface Kinder musst du aber auch mit irgendeinem (auch virtuellen) Netzwerkgerät verbunden haben. Mit welchem?
Das IF Kinder ist über OPT1 über ein VLAN mit den Unify APs verbunden.
[[quote]So wie ich das verstehe, macht die FB auch DHCP. Wofür? Hängt da abgesehen von der pfSense noch was dran?
Die pfSense hat doch eine fixe IP, oder?Das DHCP benötige ich nur für das Kinder Netz damit die Kindersicherung funktioniert.. Die pfSense hat eine statische IP am WAN Port und an den anderen IF beziehen die Clients über den pf Sense DHCP Server ihre IPs
Ich weiß leider nicht, wie die FB funktioniert. Klar, wenn sie selbst IP Adressen vergibt, braucht sie eine MAC-Adresse um ein Gerät klar zu bestimmen. In deinem Fall wäre das aber nicht nötig, weil dies schon der AP tut.
Wenn du auch eine einzige IP als "Kind" in der FB angeben kannst, kannst du diese per Outbound NAT dem Kinder-VLAN zuweisen.Bei der Fritzbox Kindersicherung kann man jedem Gerät ein Kontingent und Zeiten zuweisen, daher ist eine IP zuwenig.. Es handelt sich um 6 Geräte welche ich einschränken möchte.
Daher wäre die einfachste Lösung wenn die Geräte im IF/VLAN Kinder direkt mit der Fritzbox verbunden wären. -
Falsch verstanden. Die Frage war, ob die FritzBox auch eine IP für ein Kind akzeptiert oder ob die Kindersicherung nur klappt, wenn die FB die IP selbst zuweist und man damit die MACs angeben muss.
-
Ok, wie schon geschrieben müssen die Geräte direkt mit der Fritzbox verbunden sein und die IPs über DHCP beziehen, dann scheinen sie in der Netzwerkliste auf und können beschränkt werden…
Ich habe gerade eine Möglichkeit gefunden die MAC und IP Manuell einzugeben, würde das weiterhelfen ??
Aber zurück zur eigentlichen Frage, warum funktioniert die Bridge nicht wie im pfSense Handbuch beschrieben ?
-
Ja. Würde so aussehen:
Die IPs für das Kinder-VLAN kann ja auch die pfSense vergeben, der Unifi-AP kann das, glaub ich, auch.
Du gibt der pfSense eine zusätzliche WAN Adresse. Firewall > Virtual IP. Typ: IP Alias. Die IP kann oder soll im selben Subnetz sein.
Dann erstellst du für das Kinder-VLAN eine eigene Outbound NAT-Regel:
Firewall > NAT > Outbound
Den Modus musst du auf Hybrid stellen, wenn er auf Automatische NAT-Regel-Generation steht (Default).
Dann eine neue Regel erstellen:
Interface: WAN
Source: Das Kinder-VLAN Subnetz
Dest: any
Translation: "Other Subnet" und darunter die oben gestzte virtuelle WAN-IP und /32Dann erhalten alle ausgehenden Pakete vom Kinder-VLAN diese IP und die FB sieht nur die eine IP so wie sie aktuell nur die WAN-IP für alles hinter der pfSense liegende sieht.
-
Ok, Danke werde ich morgen versuchen !
Die IPs für das Kinder-VLAN kann ja auch die pfSense vergeben, der Unifi-AP kann das, glaub ich, auch.
D.h. am Kinder-VLAN den pfSense DHCP Server verwenden ?
Dann erhalten alle ausgehenden Pakete vom Kinder-VLAN diese IP und die FB sieht nur die eine IP so wie sie aktuell nur die WAN-IP für alles hinter der pfSense liegende sieht.
Aber wenn die FB nur noch eine IP sieht, wie soll ich dann die 6 Geräte unterscheiden und die Regeln festlegen oder muss ich für jedes Gerät eine VIP anlegen ??
-
D.h. am Kinder-VLAN den pfSense DHCP Server verwenden ?
Ja, das Interface muss erst wieder eine feste IP bekommen, dann den DHCP konfigurieren.
Aber wenn die FB nur noch eine IP sieht, wie soll ich dann die 6 Geräte unterscheiden und die Regeln festlegen oder muss ich für jedes Gerät eine VIP anlegen ??
Ich hatte es so verstanden, dass für alle Clients am Kinder-VLAN dieselben Regeln gelten sollen. Soll das nicht so sein?
Wenn unterschiedliche Regeln erforderlich sind, dann müssen natürlich alle eine eigene IP haben. In diesem Fall ist das aber wohl nicht die optimale Lösung, denn du müsstest die IPs wiederum im pfSense DHCP "fixieren", da ließe sich eventuell doch was mit Brücke machen. -
Ich hatte es so verstanden, dass für alle Clients am Kinder-VLAN dieselben Regeln gelten sollen. Soll das nicht so sein?
Wenn unterschiedliche Regeln erforderlich sind, dann müssen natürlich alle eine eigene IP haben. In diesem Fall ist das aber wohl nicht die optimale Lösung, denn du müsstest die IPs wiederum im pfSense DHCP "fixieren", da ließe sich eventuell doch was mit Brücke machen.Nein so soll es nicht sein ;)
Ich hatte ja schon geschrieben:
Bei der Fritzbox Kindersicherung kann man jedem Gerät ein Kontingent und Zeiten zuweisen, daher ist eine IP zuwenig.. Es handelt sich um 6 Geräte welche ich einschränken möchte.
Daher wäre die einfachste Lösung wenn die Geräte im IF/VLAN Kinder direkt mit der Fritzbox verbunden wären.Aber zurück zur eigentlichen Frage, warum funktioniert die Bridge nicht wie im pfSense Handbuch beschrieben ?
-
Soll / muss die FritzBox die IPs per DHCP vergeben, gibt es noch eine Möglichkeit, die besser als eine Bridge ist:
Die pfSense kann als DHCP-Relay arbeiten. D.h. auf FB läuft der DHCP-Server und die FB reicht die Anfragen der Clients sowie die Antworten weiter.
Ich habe das einmal erfolgreich konfiguriert und eingesetzt.Service > DHCP Relay
Einfach aktivieren und das Kinder-VLAN auswählen.Edit:
Ob das aber auch so klappt, dass die FB die MAC der Geräte bekommt, weiß ich nun nicht mehr. -
Ok, das wäre eine Lösung, aber wie muss das IF Kinder konfiguriert werden ?
Statische IP und wenn ja welche ?? (bei einer freien statischen Adresse aus dem FB Pool meckert pfSense immer das diese schon am IF WAN vergeben ist?
Muss ich am IF WAN mit der Subnet Maske arbeiten ? (bis jetzt verwende ich /24 da ich ja zusätzlich zur WAN IF Ip noch VIPs verwende) -
DHCP-Relay funktioniert auch nicht >:(
DHCP Server is currently enabled. Cannot enable the DHCP Relay service while the DHCP Server is enabled on any interface.
-
Okay, dann wird es eng mit den Möglichkeiten:
-
Alle Geräte beziehen die IP von der FB, d.h. DHCP-Server der pfSense deaktivieren und DHCP-Relay an allen Interfaces aktivieren. Je nach dem, was die pfSense machen soll, schränkst du damit ggf. ihre Möglichkeiten ein.
-
Doch versuchen eine WAN - Kinder-VLAN Bridge zum Laufen zu bringen.
Wenn du es mit der Bridge versuchst, darfst du das VLAN-Interface und das WAN-Interface erst nicht konfigurieren, nur aktivieren.
Dann die beiden zu einer Bridge hinzufügen und anschließend der Bridge ein neues Interface zuweisen, das du dann konfigurieren kannst. -
-
Wenn doch eh alles über eine virtualisierte Umgebung läuft wäre es dann nicht einfacher jeweils einen virtuellen switch zwischen FB und pfSense sowie pfSense und dem OPT interface zu packen und für das Kinder vlan dann eine direkte Verbindung vom AP zur FB zu konfigurieren? Ich nutze leider kein ESXi, aber zumindest in der Theorie wäre es möglich.
-
Ich mag mich täuschen aber meines Wissens muss die FB die IPs NICHT selbst vergeben, sondern muss lediglich mehrere IPs konfiguriert haben, die dann eben in ihrer Pseudo-schlauen GUI auftauchen. Wenn sie selbst die IP vergibt ist das "Dummy-Gerät" eben sofort da, andernfalls muss sie es erst "discovern und lernen". Das tut sie aber mit jeder IP die bei ihr vorbei kommt. Sprich: Man kann auch einfach die 6 Kinder Geräte (oder mehr) einfach in ein internes VLAN packen mit bspw. /29 oder /28 damit nicht so viel IPs verbraten werden und diese 1:1 in das Transfernetz mit der Fritte reinmappen (bspw. .2 hat die pfSense, 240-254 wird als /29 1:1 in das Kinder-VLAN durchgemappt). Dann kommt man mit ganz normalem Routing/NATting aus und muss hier gar nichts umständlich bridgen, aber das sollten nur meine 2Cent Erinnerungs-Hirnmasse sein :)
-
Hallo JeGr,
vielen Dank für Deine Antwort. Ich habe das ganz mal so konfiguriert wie du geschrieben hast:
WAN auf ein /25 (.1-.126) Netz, VLAN Kinder auf ein /26 (.193-254) Netz, Outbound NAT auf 192.168.138.192/26, DHCP VLAN Kinder auf .201-.250, IF VLAN Kinder auf .200 !
Die Geräte erhalten ihren IPs aus dem richtigen Pool und kommen auch uns Internet, nur in der Fritzbox scheinen sie nicht auf.
Ich kann zwar Geräte manuell eingeben, aber dann möchte die Fritzbox auch die IP zuweisen, die Maske schaut so aus:Geben Sie einen Namen und die MAC-Adresse des Netzwerkgerätes ein.
Name:
MAC-Adresse:
Geben Sie die IP-Adresse ein, die dem Netzwerkgerät fest zugewiesen werden soll.
IP-Adresse:D.h. ich müsste die MAC Adressen manuell eingeben, was ich testweise auch gemacht habe. Funktioniert aber leider nicht, die Geräte im VLAN Kinder erhalten eine IP von der pfSense und können ungehindert ins Internet… Ich habe DHCP Server am IF VLAN Kinder auch schon mal testweise deaktiviert, nur dann erhalten die Geräte gar keine IP !?
-
Ich habe die Bridge zwischen WAN und VLAN Kinder jetzt soweit zum laufen bekommen, mein Problem ist nur, noch das die Clients im VLAN von der Fritzbox keine IPs zugewiesen bekommen.
Lustigerweise scheinen Sie jetzt in der FB unter Geräte auf (sogar mit IP), nur am Gerät zeigt der WLAN Status IP-Adresse wird abgerufen an und geht nicht auf verbunden.
Die IFs WAN und VLAN Kinder sind auf IP none gesetzt, über eine Bridge verbunden, die eine Statische IP konfiguriert hat..Die Firewall an der Bridge, WAN, und VLAN ist komplett offen, hat jemand eine Idee woran es noch liegen kann ??? :'(
-
WAN auf ein /25 (.1-.126) Netz, VLAN Kinder auf ein /26 (.193-254) Netz, Outbound NAT auf 192.168.138.192/26, DHCP VLAN Kinder auf .201-.250, IF VLAN Kinder auf .200 !
So hatte ich das allerdings gar nicht gesagt/gemeint. Meine Aussage war/ist: Wenn die pfSense hinter der Fritzbox NAT macht, erscheint sie beim ersten Kontakt der pfSense bzw. eines Clients dahinter in den Einstellungen der Fritzbox. Legt man jetzt für ein paar Adressen intern ein 1:1 NAT der pfSense ins FB Netz an (OHNE das FB Netz /24 zu verändern), dann erscheint die pfSense plötzlich "mehrfach" weil die FB Traffic von verschiedenen IPs von der pfSense bekommt. Einmal bspw. als .2 wenn das ihre IP ist und dann noch als .200 bspw. wenn man das als 1:1 NAT für eine Test IP genutzt hat. Da der Eintrag in der Fritte jetzt erscheint/aufgetaucht ist, kann man den dann auch entsprechend zuordnen, dass man auf der IP irgendwelche Filter/Kindersicherungen aktivieren will.
Das war gemeint - ganz ohne Bridge :) Die Unterscheidung erfolgt lediglich anhand der anderen NAT IP. Normaler Traffic geht über die default NAT IP raus, bestimmte Geräte werden 1:1 auf andere IPs geNATtet und damit anders behandelt. Das könnten theoretisch auch mehrere Clients sein, die man abgehend auf eine andere IP mappt und damit dann bspw. mit dem Kinderfilter bespaßt.