PfSense 2.4.1 Bridge VLAN to WAN
-
Ok, wie schon geschrieben müssen die Geräte direkt mit der Fritzbox verbunden sein und die IPs über DHCP beziehen, dann scheinen sie in der Netzwerkliste auf und können beschränkt werden…
Ich habe gerade eine Möglichkeit gefunden die MAC und IP Manuell einzugeben, würde das weiterhelfen ??
Aber zurück zur eigentlichen Frage, warum funktioniert die Bridge nicht wie im pfSense Handbuch beschrieben ?
-
Ja. Würde so aussehen:
Die IPs für das Kinder-VLAN kann ja auch die pfSense vergeben, der Unifi-AP kann das, glaub ich, auch.
Du gibt der pfSense eine zusätzliche WAN Adresse. Firewall > Virtual IP. Typ: IP Alias. Die IP kann oder soll im selben Subnetz sein.
Dann erstellst du für das Kinder-VLAN eine eigene Outbound NAT-Regel:
Firewall > NAT > Outbound
Den Modus musst du auf Hybrid stellen, wenn er auf Automatische NAT-Regel-Generation steht (Default).
Dann eine neue Regel erstellen:
Interface: WAN
Source: Das Kinder-VLAN Subnetz
Dest: any
Translation: "Other Subnet" und darunter die oben gestzte virtuelle WAN-IP und /32Dann erhalten alle ausgehenden Pakete vom Kinder-VLAN diese IP und die FB sieht nur die eine IP so wie sie aktuell nur die WAN-IP für alles hinter der pfSense liegende sieht.
-
Ok, Danke werde ich morgen versuchen !
Die IPs für das Kinder-VLAN kann ja auch die pfSense vergeben, der Unifi-AP kann das, glaub ich, auch.
D.h. am Kinder-VLAN den pfSense DHCP Server verwenden ?
Dann erhalten alle ausgehenden Pakete vom Kinder-VLAN diese IP und die FB sieht nur die eine IP so wie sie aktuell nur die WAN-IP für alles hinter der pfSense liegende sieht.
Aber wenn die FB nur noch eine IP sieht, wie soll ich dann die 6 Geräte unterscheiden und die Regeln festlegen oder muss ich für jedes Gerät eine VIP anlegen ??
-
D.h. am Kinder-VLAN den pfSense DHCP Server verwenden ?
Ja, das Interface muss erst wieder eine feste IP bekommen, dann den DHCP konfigurieren.
Aber wenn die FB nur noch eine IP sieht, wie soll ich dann die 6 Geräte unterscheiden und die Regeln festlegen oder muss ich für jedes Gerät eine VIP anlegen ??
Ich hatte es so verstanden, dass für alle Clients am Kinder-VLAN dieselben Regeln gelten sollen. Soll das nicht so sein?
Wenn unterschiedliche Regeln erforderlich sind, dann müssen natürlich alle eine eigene IP haben. In diesem Fall ist das aber wohl nicht die optimale Lösung, denn du müsstest die IPs wiederum im pfSense DHCP "fixieren", da ließe sich eventuell doch was mit Brücke machen. -
Ich hatte es so verstanden, dass für alle Clients am Kinder-VLAN dieselben Regeln gelten sollen. Soll das nicht so sein?
Wenn unterschiedliche Regeln erforderlich sind, dann müssen natürlich alle eine eigene IP haben. In diesem Fall ist das aber wohl nicht die optimale Lösung, denn du müsstest die IPs wiederum im pfSense DHCP "fixieren", da ließe sich eventuell doch was mit Brücke machen.Nein so soll es nicht sein ;)
Ich hatte ja schon geschrieben:
Bei der Fritzbox Kindersicherung kann man jedem Gerät ein Kontingent und Zeiten zuweisen, daher ist eine IP zuwenig.. Es handelt sich um 6 Geräte welche ich einschränken möchte.
Daher wäre die einfachste Lösung wenn die Geräte im IF/VLAN Kinder direkt mit der Fritzbox verbunden wären.Aber zurück zur eigentlichen Frage, warum funktioniert die Bridge nicht wie im pfSense Handbuch beschrieben ?
-
Soll / muss die FritzBox die IPs per DHCP vergeben, gibt es noch eine Möglichkeit, die besser als eine Bridge ist:
Die pfSense kann als DHCP-Relay arbeiten. D.h. auf FB läuft der DHCP-Server und die FB reicht die Anfragen der Clients sowie die Antworten weiter.
Ich habe das einmal erfolgreich konfiguriert und eingesetzt.Service > DHCP Relay
Einfach aktivieren und das Kinder-VLAN auswählen.Edit:
Ob das aber auch so klappt, dass die FB die MAC der Geräte bekommt, weiß ich nun nicht mehr. -
Ok, das wäre eine Lösung, aber wie muss das IF Kinder konfiguriert werden ?
Statische IP und wenn ja welche ?? (bei einer freien statischen Adresse aus dem FB Pool meckert pfSense immer das diese schon am IF WAN vergeben ist?
Muss ich am IF WAN mit der Subnet Maske arbeiten ? (bis jetzt verwende ich /24 da ich ja zusätzlich zur WAN IF Ip noch VIPs verwende) -
DHCP-Relay funktioniert auch nicht >:(
DHCP Server is currently enabled. Cannot enable the DHCP Relay service while the DHCP Server is enabled on any interface.
-
Okay, dann wird es eng mit den Möglichkeiten:
-
Alle Geräte beziehen die IP von der FB, d.h. DHCP-Server der pfSense deaktivieren und DHCP-Relay an allen Interfaces aktivieren. Je nach dem, was die pfSense machen soll, schränkst du damit ggf. ihre Möglichkeiten ein.
-
Doch versuchen eine WAN - Kinder-VLAN Bridge zum Laufen zu bringen.
Wenn du es mit der Bridge versuchst, darfst du das VLAN-Interface und das WAN-Interface erst nicht konfigurieren, nur aktivieren.
Dann die beiden zu einer Bridge hinzufügen und anschließend der Bridge ein neues Interface zuweisen, das du dann konfigurieren kannst. -
-
Wenn doch eh alles über eine virtualisierte Umgebung läuft wäre es dann nicht einfacher jeweils einen virtuellen switch zwischen FB und pfSense sowie pfSense und dem OPT interface zu packen und für das Kinder vlan dann eine direkte Verbindung vom AP zur FB zu konfigurieren? Ich nutze leider kein ESXi, aber zumindest in der Theorie wäre es möglich.
-
Ich mag mich täuschen aber meines Wissens muss die FB die IPs NICHT selbst vergeben, sondern muss lediglich mehrere IPs konfiguriert haben, die dann eben in ihrer Pseudo-schlauen GUI auftauchen. Wenn sie selbst die IP vergibt ist das "Dummy-Gerät" eben sofort da, andernfalls muss sie es erst "discovern und lernen". Das tut sie aber mit jeder IP die bei ihr vorbei kommt. Sprich: Man kann auch einfach die 6 Kinder Geräte (oder mehr) einfach in ein internes VLAN packen mit bspw. /29 oder /28 damit nicht so viel IPs verbraten werden und diese 1:1 in das Transfernetz mit der Fritte reinmappen (bspw. .2 hat die pfSense, 240-254 wird als /29 1:1 in das Kinder-VLAN durchgemappt). Dann kommt man mit ganz normalem Routing/NATting aus und muss hier gar nichts umständlich bridgen, aber das sollten nur meine 2Cent Erinnerungs-Hirnmasse sein :)
-
Hallo JeGr,
vielen Dank für Deine Antwort. Ich habe das ganz mal so konfiguriert wie du geschrieben hast:
WAN auf ein /25 (.1-.126) Netz, VLAN Kinder auf ein /26 (.193-254) Netz, Outbound NAT auf 192.168.138.192/26, DHCP VLAN Kinder auf .201-.250, IF VLAN Kinder auf .200 !
Die Geräte erhalten ihren IPs aus dem richtigen Pool und kommen auch uns Internet, nur in der Fritzbox scheinen sie nicht auf.
Ich kann zwar Geräte manuell eingeben, aber dann möchte die Fritzbox auch die IP zuweisen, die Maske schaut so aus:Geben Sie einen Namen und die MAC-Adresse des Netzwerkgerätes ein.
Name:
MAC-Adresse:
Geben Sie die IP-Adresse ein, die dem Netzwerkgerät fest zugewiesen werden soll.
IP-Adresse:D.h. ich müsste die MAC Adressen manuell eingeben, was ich testweise auch gemacht habe. Funktioniert aber leider nicht, die Geräte im VLAN Kinder erhalten eine IP von der pfSense und können ungehindert ins Internet… Ich habe DHCP Server am IF VLAN Kinder auch schon mal testweise deaktiviert, nur dann erhalten die Geräte gar keine IP !?
-
Ich habe die Bridge zwischen WAN und VLAN Kinder jetzt soweit zum laufen bekommen, mein Problem ist nur, noch das die Clients im VLAN von der Fritzbox keine IPs zugewiesen bekommen.
Lustigerweise scheinen Sie jetzt in der FB unter Geräte auf (sogar mit IP), nur am Gerät zeigt der WLAN Status IP-Adresse wird abgerufen an und geht nicht auf verbunden.
Die IFs WAN und VLAN Kinder sind auf IP none gesetzt, über eine Bridge verbunden, die eine Statische IP konfiguriert hat..Die Firewall an der Bridge, WAN, und VLAN ist komplett offen, hat jemand eine Idee woran es noch liegen kann ??? :'(
-
WAN auf ein /25 (.1-.126) Netz, VLAN Kinder auf ein /26 (.193-254) Netz, Outbound NAT auf 192.168.138.192/26, DHCP VLAN Kinder auf .201-.250, IF VLAN Kinder auf .200 !
So hatte ich das allerdings gar nicht gesagt/gemeint. Meine Aussage war/ist: Wenn die pfSense hinter der Fritzbox NAT macht, erscheint sie beim ersten Kontakt der pfSense bzw. eines Clients dahinter in den Einstellungen der Fritzbox. Legt man jetzt für ein paar Adressen intern ein 1:1 NAT der pfSense ins FB Netz an (OHNE das FB Netz /24 zu verändern), dann erscheint die pfSense plötzlich "mehrfach" weil die FB Traffic von verschiedenen IPs von der pfSense bekommt. Einmal bspw. als .2 wenn das ihre IP ist und dann noch als .200 bspw. wenn man das als 1:1 NAT für eine Test IP genutzt hat. Da der Eintrag in der Fritte jetzt erscheint/aufgetaucht ist, kann man den dann auch entsprechend zuordnen, dass man auf der IP irgendwelche Filter/Kindersicherungen aktivieren will.
Das war gemeint - ganz ohne Bridge :) Die Unterscheidung erfolgt lediglich anhand der anderen NAT IP. Normaler Traffic geht über die default NAT IP raus, bestimmte Geräte werden 1:1 auf andere IPs geNATtet und damit anders behandelt. Das könnten theoretisch auch mehrere Clients sein, die man abgehend auf eine andere IP mappt und damit dann bspw. mit dem Kinderfilter bespaßt.
