WLAN Bridge + separates LAN



  • Hallo zusammen,
    ich bin gerade mit pfSense am spielen/testen und gerade beschäftige ich mich mit dem Thema WLAN und Bridging.

    In meiner Hardware habe ich 4 LAN-Schnittstellen und eine WLAN-Karte. Ziel ist folgendes Nutzung der Schnittstellen:

    1. WAN
    2. LAN
    3. optional DMZ (die ist noch ungenutzt...)
    4. LAN-Schnittstelle im Bridge-Modus mit der WLAN-Karte

    Ich möchte also das interne Netz ausschließlich über die LAN-Schnittstelle 2 machen und erstmal WLAN über die eingebaute WLAN-Karte machen, zusätzlich aber die Option offen halten, dass ich auch über die 4. LAN-Schnittstelle noch weitere externe AccessPoints anbinden kann. Das gebrückte Netz für die WLAN-Geschichte soll getrennt vom internen Netz auf 2 sein/bleiben. Im WLAN sollen die Geraäte per DHCP ihre IPs bekommen und dann lasse ich meine eigenen Geräte vom WLAN ins interne Netz. Alle anderen sollen "isoliert" bleiben, evtl. wird am Ende CaptivePortal noch interessant. Nun zur eigentlichen Frage:

    Für die Bridge, bestehend aus der WLAN- und der 4. LAN-Schnittstelle vergebe ich ja, wenn ich das richtig verstanden habe die IP-Einstellungen auf der Bridge und auch danach die DHCP-Einstellungen, richtig? Muss ich den einzelnen Schnittstellen auch Adressen verpassen oder kann/muss ich die weglassen. Nach meinem Verständnis brauchen die keine, oder? Leider habe ich dazu speziell nichts gefunden.

    Ich würde mich über Hilfe freuen.

    Danke!

    Gruß, Jan



  • Hallo,

    ich würde mir nochmals überlegen, ob du die Brücke tatsächlich benötigst. So wie ich es verstanden habe, ist da aktuell nur eine WLAN-Karte dran, ein AP kommt eventuell später dazu. Muss dieser eventuelle AP wirklich im selben Netz sein?

    Wenn Brücke, die Member-Interfaces müssen nur aktiviert werden. Der Bridge wird dann ein zusätzliches Interface zugewiesen und auf diesem kannst du die IP setzen und auch den DHCP aktivieren.
    All diese Einstellungen könntest du ebenso gut auf jedem Member-Interface machen, aber nur insgesamt einmal auf der Bridge.

    Grüße



  • Die beiden Bereiche müssen natürlich nicht ein Netz bilden. Ich dachte nur,d ass es damit übersichtlicher bleibt, wenn ich dann hinterher Firewallregeln usw. nur für die Bridge setzen muss und zusätzlich würden sich die WLAN-Geräte erstmal untereinander sehen.

    Oder gibt es wichtige Gründe, die gegen die Konfiguration sprechen?

    Gruß, Jan



  • @rose said in WLAN Bridge + separates LAN:

    Ich dachte nur,d ass es damit übersichtlicher bleibt, wenn ich dann hinterher Firewallregeln usw. nur für die Bridge setzen muss

    Das lässt sich auch mit einer Interface Group erreichen.

    @rose said in WLAN Bridge + separates LAN:

    Oder gibt es wichtige Gründe, die gegen die Konfiguration sprechen?

    Ganz optimal ist eine L2-Bridge nicht. Bspw: https://forum.netgate.com/topic/138490/traffic-wird-durch-transparente-bridge-limitiert-wieso

    Aber wenn du es für notwendig erachtest...
    Ich habe aber zuhause selber ein VLAN (WLAN) mit dem LAN gebrückt.



  • Ok, hört sich auch ganz brauchbar an. Läuft das mit einer Gruppe so, dass cih die beiden Schnittstellen in eine Gruppe packe und beide separat konfigurieren, sodass die Gruppe dann wirklich nur für administrative Zwecke genutzt wird/hilft. Wie läuft das dann mit DHCP?

    Gruß, Jan



  • Ich kenne Interface Groups nur aus der Theorie. Demnach dienst diese nur um gemeinsame Firewall-Regeln setzen zu können.
    D.h., ein Interface Group anlegen, dann erscheint in den Regeln ein zusätzlicher Tab, auf welchem die Regeln eingerichtet werden können. Regeln an den einzelnen Interfaces sind aber nach wie vor gültig, haben allerdings Nachrang (https://www.netgate.com/docs/pfsense/firewall/firewall-rule-processing-order.html).

    DHCP muss natürlich auf jedem Interface gesondert eingerichtet werden. Die Interfaces gehören dann ja unterschiedlichen Subnetzen an.

    Grüße