Распределение VLAN между портов.
-
Коллеги, подскажите, возможна ли такая конфигурация в pfSense: должны быть 4 VLAN (Tags 2-5), на порт LAN(igb1) должны приходить VLAN 2 и 4, а на порт OPT4 должны приходить все. Второй вариант: порты LAN и OPT4 должны обрабатывать все VLAN-ы.
-
Добрый
@Mikhail-Starozhilov
На свитче вланы верно настроены? Зачем такая схема? ТЗ почетче. -
Привет вам, @werter.
Никаких свичей нет. Поэтому и проблема. Надо доставить все VLAN-ы на точку доступа Ruckus R710 (порт OPT4), Можно сократить количество VLAN-ов до двух, но это минимум. Порт LAN для управления оборудованием и подключение к междуофисной сети (VLAN 2) рабочей станции. Не представляю, как уточнить ТЗ! Практически эти два порта должны выглядеть, как порты коммутатора с назначенным доступом к VLAN. -
@Mikhail-Starozhilov
Кхм, можно, конечно, тупо вланы на пф настроить в ГУИ, но не думаю, что это поможет. Вам л2-свитч нужен. В него будут воткнуты и пф и ваша Ruckus.
Вы просто хотите гостевую сеть на ви-фи настроить? Зачем вам вланы? -
@werter ,
"тупо" вланы я настроил. На подключенном к LAN компьютере могу по тегу подключиться к любому. А на точку не идет, устройства подключающиеся к wifi не получают ip.
Вланы повешены на LAN. Как лучше связать их с портом OPT4? Через "Interface Groups" или "Bridges"?
"Зачем вам вланы?"
Каждый влан - сеть с определенным ограничением доступа. -
@Mikhail-Starozhilov
Вам нужен л2-свитч. Иначе никак. На авито есть б\у.
Если есть тп-линк, д-линк, зюхел ви-фи роутер, то можно попробовать сделать из него л2-свитч, накатив на него Openwrt.Глянул на цену вашего рукуса - передумал предлагать ) -
@werter
Ничего странного, переезд, где что будет стоять неизвестно. А я почти в 3 тысячах километров от оборудования. Конечно куплю нормальный коммутатор, но пока хотелось обойтись имеющимся оборудованием, да и интересно стало, можно ли на pfSense такой финт сотворить. -
@Mikhail-Starozhilov
Такой "финт" физически невозможен ни на одном софтовом роутере. Вы схему нарисуйте для наглядности и поймете, что без л2-свитча ничего не выйдет. -
@werter
Я поступил проще - ввел дополнительные сети для использования свободных портов. Пришлось только дописать соответствующие P2 в IPsec каналах."Такой "финт" физически невозможен ни на одном софтовом роутере"
Не знаю, можно ли называть Netgate SG-5100 чисто софтовым роутером. Я-то понадеялся на то, что unix он и у Netgate unix. Другой вопрос, что если такого можно добиться только правя файлы конфигурации, то легко можно войти в конфликт с WEB конфигуратором. Причем не сразу, а при каком-то следующем изменении конфигурации. И получить кирпич. -
@Mikhail-Starozhilov
Здр
Чисто теоретически такую задачу можно решить , используя подсистему Netgraph .
Те на ее основе создаются несколько виртуальных свитчей , каждый из которых обрабатывает свой VLAN. И на базе каждого такого свитча создается виртуальная сетевая карта , которая уже работает с ядром и должна быть видна файрволу.Таким образом , интерфейсы LAN и OPT4 не имеют своих ip адресов , а работают только на уровне L2. IP адреса назначаются виртуальным сетевым картам .
Нужны будут модули ng_ether+ng_vlan+ng_bridge+ng_eiface
Насколько я вижу , все они встроены в ядро PFSense изначально
Нужно будет написать скрипт , который будет запускаться до старта PFSense и будет создавать нужную конфигурацию . -
@Konstanti
Спасибо за информацию, буду изучать. -
Не знаю, можно ли называть Netgate SG-5100 чисто софтовым роутером
Об этом нужно было написать в самом 1-ом сообщении. Телепаты в отпуске.