Configurazione dhcp multi vlan
-
pfSense-to-switch mi sembra abbastanza chiaro su cosa fa
vmx0 è la scheda di rete LAN con tutte le vlan associata a pfSense-to-switch
controlla anche lo switch
default di solito è sempre VLAN1
tutte le porte sono in Trunk
la 25 nel mio caso è quella che trasporta tutte le vlan
GE1/2/3/4/5 prende l'ip in automatico dal dhcp della LAN (vlan1)
la GE6/7 la fanno solo passare ancora taggata ma non viene usata la VLAN1 in automatico
nella VLAN 30
GE1 è escluso e non la vedrà mai
GE2/3/4 la fanno passare ancora Taggata
GE6/7 usano il dhcp della VLAN30 in automaticoetc etc etc
-
innanzi tutto ti ringrazio tanto per l'aiuto e la precisione.
La mi configurazione è questa:
esxi
ALLVLANPG(vlanid 4095)-->porta 13 switch (allow vlan 1, 10, 20) devo vedere se taggati o no
pfsense fisico--> porta 23 (stessa configurazione della porta 13)
LANigb1-->192.168.1.254/24 DHCP ABILITATO
VLAN10igb1-->192.168.10.254/24 DHCP ABILITATO
VLAN20igb1-->192.168.20.254/24 DHCP ABILITATOun piccolo OT: vedo che hai una macchina centralino voip, con gli abbonamenti home di tim è configurabile? ho provato con fastweb ma bloccano questo tipo di configurazione sulla parte consumer
-
ah pfsense ce l'hai fisico e non virtuale ?
quindi la porta 23 deve essere trunk e trasportare tutte le vlan
poi sulla porta 13 hai esxi ?
quindi anche quella deve essere trunk e trasportare tutte le vlan e poi distribuisci con vswitch taggati vlanid 1 o vlanid 10 o vlanid 20il centralino freepbx è configurato con tiscali home.. funziona dopo aver modificato leggermente i sorgenti di asterisk e ricompilato. per il momento ho esperienza solo con tiscali e infostrada e lì funziona. sono abbastanza sicuro che funzioni anche per tim, google è pieno di guide, e probabilmente qualche trucco per farlo funzionare anche su fastweb c'era ... probabilmente
-
allora la mia intenzione è di fare un ha con pfsense.
attuale solo pfsense fisico
a tendere pfsense virtuale master e fisico slave
la porta 23 c'è pfsense e ho messo tutte le vlan
sulla 13 c'è esxi con tutte le vlanquando torno a casa faccio un paio di screen così si vede meglio
-
Eccomi, ti aggiorno sulla configurazione
le porte 1-2-13-23 hanno le vlan 1 untagged (prend il dhcp 192.168.1.0/24) e le vlan 10 e 20 tagged.
sulle porte 1-2 ci sono gli ap
sulla porta 13 c'è pfsense fisico
sulla 23 c'è pg con vlan 4095 dove c'è il pfsense virtuale e la macchina di domotica dove c'è anche il controller wifi.sembra che questa sia la configurazione migliore
tutte le macchine di servizio, dns e i dispositivi domotici sulla 192.168.1.0/24
la lan interna (tv, pc, smartphone) sulla 192.168.10.0/24
e la guest sulla 192.168.20.0/24 -
Rieccomi per un chiarimento, le vlan ora vanno ma sto notato un sacco di blocchi sulla wan come da screen
in questo caso è un ip fastweb ma sopratutto non capisco che sono tutti questi blocchi e mi stanno riempendo il registro.
Aggiungo un altra cosa, io ho un modem tim e la dmz me la fa settare su singolo ip, ora dovrei implementare un secondo firewall e invece di fare la dmz ho pensato di fare un portforwardin di tutte le porte a quell'indirizzo:
fw1---dmz---192.168.1.101
fw2---portforward--192.168.1.102 -
- potrebbe essere qualcuno che sta scansionando la rete se non conosci quell'indirizzo ip.
- non può funzionare in ingressso nel caso di servizi in ascolto sulla stessa porta, o usi dmz o usi portforward, mentre in uscita andrebbero entrambi. Se ci pensi, se hai due servizi sulla stessa porta come fa il modem a capire a quale dei due ip inviare il pacchetto ? generalmente i modem danno la precedenza al portforward ignorando il dmz. potrebbe funzionare solo se hai servizi su porte diverse e facessi portforward solo di alcune porte.
-
- non può funzionare in ingressso nel caso di servizi in ascolto sulla stessa porta, o usi dmz o usi portforward, mentre in uscita andrebbero entrambi. Se ci pensi, se hai due servizi sulla stessa porta come fa il modem a capire a quale dei due ip inviare il pacchetto ? generalmente i modem danno la precedenza al portforward ignorando il dmz. potrebbe funzionare solo se hai servizi su porte diverse e facessi portforward solo di alcune porte.
Ma a questo punto, nell'ipotesi che mi cade il fw1 (dmz) e il traffico passa per il fw2 avrei dei problemi sopratutto per la vpn, di norma le porte 80-443-53 passano normalmente sui router dei provider, ma le custom tipo 1194 in ingresso sono bloccate.
-
esiste l'HA sync per l'ipotesi che ti cada fw1.
strano ho girato wind / fastweb / tiscali e nessuno mi ha mai bloccato le porte, solo wind aveva la porta 53 bloccata in ingresso ma me la sono fatta sbloccare con una telefonata. generalmente blocchi sulla porta 25 (per limitare lo spam) e 5060 (perchè usato dai modem per il voip) ci sono sulle connessioni "casalinghe" e non su ip statici, ma non vedo il motivo di bloccare 1194. anche se fosse basta impostare il server vpn su 1195 -
@kiokoman said in Configurazione dhcp multi vlan:
esiste l'HA sync per l'ipotesi che ti cada fw1.
strano ho girato wind / fastweb / tiscali e nessuno mi ha mai bloccato le porte, solo wind aveva la porta 53 bloccata in ingresso ma me la sono fatta sbloccare con una telefonata. generalmente blocchi sulla porta 25 (per limitare lo spam) e 5060 (perchè usato dai modem per il voip) ci sono sulle connessioni "casalinghe" e non su ip statici, ma non vedo il motivo di bloccare 1194. anche se fosse basta impostare il server vpn su 1195Io prima avevo fastweb e ora tim, in entrambi i casi se non mettevo il firewall in dmz la vpn non funzionava.
in ogni caso, sto facendo la configurazione in ha, chiaramente la parte dhcp, interfacce, dns resolver va configurata a mano.
tipo:
fw1
LAN 192.168.1.254
VLAN10 192.168.10.254
VLAN20 192.168.20.254
fw2
LAN 192.168.1.253
VLAN10 192.168.10.253
VLAN20 192.168.20.253 -
ok ma quello era una configurazione del tuo modem non dell'operatore, io ho sempre messo i modem in bridge e assegnato l'ip pubblico direttamente su pfsense
non puoi fare l'HA sync con indirizzi locali
devi configurare CARP e compgnia bella con indirizzi ip pubblici. non è supportato quello che stai facendo -
@kiokoman said in Configurazione dhcp multi vlan:
ok ma quello era una configurazione del tuo modem non dell'operatore, io ho sempre messo i modem in bridge e assegnato l'ip pubblico direttamente su pfsense
non puoi fare l'HA sync con indirizzi locali
devi configurare CARP e compgnia bella con indirizzi ip pubblici. non è supportato quello che stai facendoa ecco questo me lo ero perso, quindi devo configurare pfsense in modo che prenda direttamente ip pubblico tramite modem tim?
-
cambierebbe poco, non basta 1 ip pubblico per fare ha sync, te ne servono almeno 3 statici
https://docs.netgate.com/pfsense/en/latest/recipes/high-availability.html -
@kiokoman said in Configurazione dhcp multi vlan:
cambierebbe poco, non basta 1 ip pubblico per fare ha sync, te ne servono almeno 3 statici
https://docs.netgate.com/pfsense/en/latest/recipes/high-availability.htmlsulle linee home non ci sono 3 ip pubblici, a questo punto lo utilizzo stile failover.
-
This post is deleted!
