Распределение VLAN между портов.



  • Коллеги, подскажите, возможна ли такая конфигурация в pfSense: должны быть 4 VLAN (Tags 2-5), на порт LAN(igb1) должны приходить VLAN 2 и 4, а на порт OPT4 должны приходить все. Второй вариант: порты LAN и OPT4 должны обрабатывать все VLAN-ы.



  • Добрый
    @Mikhail-Starozhilov
    На свитче вланы верно настроены? Зачем такая схема? ТЗ почетче.



  • Привет вам, @werter.
    Никаких свичей нет. Поэтому и проблема. Надо доставить все VLAN-ы на точку доступа Ruckus R710 (порт OPT4), Можно сократить количество VLAN-ов до двух, но это минимум. Порт LAN для управления оборудованием и подключение к междуофисной сети (VLAN 2) рабочей станции. Не представляю, как уточнить ТЗ! Практически эти два порта должны выглядеть, как порты коммутатора с назначенным доступом к VLAN.



  • @Mikhail-Starozhilov
    Кхм, можно, конечно, тупо вланы на пф настроить в ГУИ, но не думаю, что это поможет. Вам л2-свитч нужен. В него будут воткнуты и пф и ваша Ruckus.
    Вы просто хотите гостевую сеть на ви-фи настроить? Зачем вам вланы?



  • @werter ,
    "тупо" вланы я настроил. На подключенном к LAN компьютере могу по тегу подключиться к любому. А на точку не идет, устройства подключающиеся к wifi не получают ip.
    Вланы повешены на LAN. Как лучше связать их с портом OPT4? Через "Interface Groups" или "Bridges"?
    "Зачем вам вланы?"
    Каждый влан - сеть с определенным ограничением доступа.



  • @Mikhail-Starozhilov
    Вам нужен л2-свитч. Иначе никак. На авито есть б\у.
    Если есть тп-линк, д-линк, зюхел ви-фи роутер, то можно попробовать сделать из него л2-свитч, накатив на него Openwrt. Глянул на цену вашего рукуса - передумал предлагать )



  • @werter
    Ничего странного, переезд, где что будет стоять неизвестно. А я почти в 3 тысячах километров от оборудования. Конечно куплю нормальный коммутатор, но пока хотелось обойтись имеющимся оборудованием, да и интересно стало, можно ли на pfSense такой финт сотворить.



  • @Mikhail-Starozhilov
    Такой "финт" физически невозможен ни на одном софтовом роутере. Вы схему нарисуйте для наглядности и поймете, что без л2-свитча ничего не выйдет.



  • @werter
    Я поступил проще - ввел дополнительные сети для использования свободных портов. Пришлось только дописать соответствующие P2 в IPsec каналах.

    "Такой "финт" физически невозможен ни на одном софтовом роутере"
    Не знаю, можно ли называть Netgate SG-5100 чисто софтовым роутером. Я-то понадеялся на то, что unix он и у Netgate unix. Другой вопрос, что если такого можно добиться только правя файлы конфигурации, то легко можно войти в конфликт с WEB конфигуратором. Причем не сразу, а при каком-то следующем изменении конфигурации. И получить кирпич.



  • @Mikhail-Starozhilov
    Здр
    Чисто теоретически такую задачу можно решить , используя подсистему Netgraph .
    Те на ее основе создаются несколько виртуальных свитчей , каждый из которых обрабатывает свой VLAN. И на базе каждого такого свитча создается виртуальная сетевая карта , которая уже работает с ядром и должна быть видна файрволу.

    Таким образом , интерфейсы LAN и OPT4 не имеют своих ip адресов , а работают только на уровне L2. IP адреса назначаются виртуальным сетевым картам .
    Нужны будут модули ng_ether+ng_vlan+ng_bridge+ng_eiface
    Насколько я вижу , все они встроены в ядро PFSense изначально
    Нужно будет написать скрипт , который будет запускаться до старта PFSense и будет создавать нужную конфигурацию .



  • @Konstanti
    Спасибо за информацию, буду изучать.



  • @Mikhail-Starozhilov

    Не знаю, можно ли называть Netgate SG-5100 чисто софтовым роутером

    Об этом нужно было написать в самом 1-ом сообщении. Телепаты в отпуске.


Log in to reply