Kein Internetzugriff mehr aus dem WLAN nach Update auf 2.3.3
-
Ich glaube, ich muss noch eine weitere Netzwerkkarte installieren und trenne das WLAN prod vom restlichen LAN. Das sollte dann ja ähnlich dem WLAN gast auch funktionieren. Es kommt ja vom selben Controller.
@ viragomann Vielen Dank trotzdem !!!
-
Die Idee hatte ich auch schon, allerdings klappt das nicht so einfach, dass die WLAN prod Clients ihre IP vom Windows DHCP bekommen, was du ja wohl möchtest. Sollte aber irgendwie doch gehen, ich glaube, ich hatte Ähnliches schon mal realisiert.
-
Na ja, ich könnte meinen zur Verfügung stehenden DHCP-Bereich etwas splitten und einen kleinen Teil der Adressen einem auf dem neuen pfSense-Interface aktivierten DHCP-Server wieder zur Verfügung stellen. So viele Notebooks sind das nicht, die das brauchen. Wichtig ist, dass die PCs immer eine Adresse bekommen.
Zur Not kann ich auch ein weiteres Segment aus meinem 10.123.0.0/20 nehmen. Es sind ja Adressen genug da. Ich muss mal nachsehen, ob ich noch eine Karte gesteckt bekomme, dann habe ich eine Lösung. Vielleicht nicht so elegant wie ich wollte, aber immerhin.
-
Warum ist dafür eine zusätzliche Netzwerkkarte nötig?
Kannst du nicht die beiden WLANs auf einer gemeinsamen Leitung als VLANs zur pfSense führen? -
Ich muss doch die beiden WLANs trennen. Die Gäste dürfen nicht ins Firmen-LAN. Kann ich das so mit einem Kabel realisieren?
-
Ich habe ja jetzt auch auf dem Controller 2 abgehende Kabel.
-
Genau dafür sind ja VLANs gedacht, um mehrere getrennte Netzwerke über dieselbe Hardware zu führen. Sämtliche Netze müssen natürlich getagged sein.
Wie das auf dem Controller zu lösen ist, weiß ich nicht. Kann mir aber nicht vorstellen, dass der nicht mehrere VLANs auf eine Leitung legen kann, nachdem üblicherweise auch die Access Points selbst dazu fähig sind.
-
Wie könnte das denn aussehen? Aus meiner Sicht probiere ich das mal so:
ich richte auf dem WLAN Controller ein neues VLAN10 ein und verbinde es mit der WLAN SSID prod. VLAN2 für das gast-WLAN lass ich bestehen und ebenso VLAN1 für das Management des Controllers. Dann lege ich alle 3 VLANS auf einen Port des Controllers, setze den Haken bei "Tag Native VLAN", schalte ihn auf "Trunk" und "Allow VLAN 2,10". Damit sollten alle 3 VLANS auf diesem Port des Controllers liegen.
Auf der pfSense nehme ich mir das WLAN-Interface als Parent Interface, richte 3 VLANS ein und ordne sie dem WLAN-Interface unter. Auf den neuen VLAN Interfaces prod und gast aktiviere ich den DHCP-Server, auf dem VLAN Interface Management natürlich nicht. das sollte meines Wissens reichen. Dann verbinde ich pfSense-Interface WLAN mit dem Port auf dem WLAN Controller.
Was muss jetzt auf dem Switch noch getagged werden? Muss überhaupt was getagged werden? Ich glaube nicht. Es ist natürlich nicht im Sinne des Erfinders, das ganze LAN als Tagged Ports auf den Switches zu konfigurieren. Bei 15 Switches ist das 1) eine Heidenarbeit und b) was ist, wenn mal ein Switch ausgetauscht werden muss?
-
Was ist mit den Accesspoints? Kann ích die "Untagged" weiterbetreiben?
-
Was das "Allow" auf dem Controller macht, weiß ich nicht. Ansonsten sollte es so laufen.
Auf dem Switch ist gar nichts zu taggen, der ist ja dann gar nicht in die VLANs involviert.
Bedenke, dass du so das Management Interface in ein separates Netzwerksegment steckst. Dieses muss auch auf der pfSense konfiguriert werden, natürlich müsste das Netz auch einen anderen IP Bereich bekommen, also auch der Controller eine andere IP. Alternativ kannst du aber auch das VLAN1 mit dem LAN Bridgen, bzw. mit dem Netz, in dem er aktuell ist.
Auf den Access Points sollte nichts zu ändern sein. Das müsste alles der Controller managen.
-
Meines Erachtens erlaube ich mit dem "Allow", dass die VLANs auch tagged behandelt werden, das Native VLAN muss ich aber ja nicht unbedingt tagged einrichten (Haken nicht setzen), dann sollte der Controller aus dem LAN weiterhin unter seiner 10.123.x.x erreichbar sein, wenn ich das VLAN1 über einen entsprechenden Port des Controllers weiterhin mit dem LAN verbunden lasse.
Ich glaube, dann haben wir es. Das probiere ich einen Abend nächste Woche aus, sobald hier nicht mehr so viel los ist. Ich bedanke mich erstmal herzlich für Deine Anregungen hier und wünsch Dir ein schönes Wochenende. Ich berichte Dir dann noch, ob es wieder funktioniert. Bis dahin !!!
-
Hatte es so verstanden, als dass du alle 3 VLAN zur pfSense führst. Wenn das VLAN1 am Switch bleibt, passt das natürlich.
Schönes Wochenende.