Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PfSense - VLANS - Ubiquiti wifi

    Scheduled Pinned Locked Moved
    Nederlands
    2
    2
    1.2k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      marcel1988
      last edited by marcel1988

      Goedemiddag,

      Ik ben sinds kort in het bezit van een Sophos SG115 Rev3 router en heb daar PfSense op geinstaleerd.
      (Heb hiervoor er wat mee gespeeld in een VM)

      Nu wil ik mijn netwerk gaan scheiden tussen:

      • Standaard internet gebruikers zoals mijn pc en die van mijn vrouw. Met toegang tot alle fileshares enzovoort.
      • Internet voor onder kinderen waarbij ze geen toegang hebben tot bepaalde systemen (PfSense router, Proxmox server, enz.)
      • IOT internet voor wifi devices van mijn smarthome welke verder geen toegang hebben tot de rest van het huis.

      Nou had ik deze tutorial gevonden: https://brendonmatheson.com/2020/03/14/unifi-ap-with-pfsense-vlans.html
      Maar ik kom er niet helemaal uit.

      Want er wordt gesproken dat er 3 VLANS zijn, maar in de tutortial worden er maar 2 aangemaakt. (20 en 30)
      Maar hoe zit het dan met het standaard internet? Want je kan (voor zover ik weet) Niet 2 vlans aanmaken op 1 interface en dan ook nog het standaard internet laten werken)

      Wie kan mij hier mee helpen?

      boukeB 1 Reply Last reply Reply Quote 0
      • boukeB
        bouke @marcel1988
        last edited by bouke

        @marcel1988 Ik weet dat dit topic oud is. Maar mocht je nog hulp nodig hebben, dan kan ik je wel helpen.

        Waar het op neer komt is dat je onder "Interfaces" > "Assignment" > "VLANs" eerst de VLAN's toevoegd aan een parent interface. In de meeste gevallen zal de parent interface IGB1 zijn.

        Zodra je dat gedaan hebt, dan kun je de VLAN's uitdrukken in virtuele interfaces onder "Interfaces" > "Assignments".

        Onderaan de lijst kun je bij "Available network ports" het VLAN toevoegen (selecteer VLAN en klik op de knop "Add". Je hebt er dan een interface bij. Bijvoorbeeld "OPT8" (etc). Wanneer je vervolgens op de nieuwe interface klikt, dan kun je die interface inschakelen (enable) en bij "IPv4 Configuration Type" kiezen voor "Static IPv4".

        Voer vervolgens bij "IPv4 Address" het IPv4 van de nieuw te creeren gateway in. Bijvoorbeeld 10.10.123.254 en kies subnet mask (verander "32" bijvoorbeeld naar "24").

        Klik op de knop "Save" om de wijzigingen op te slaan.

        Vervolgens kun je DHCP instellen voor de interface en de benodigde firewall regels. Zorg er bij de firewall regels er voor dat het ene netwerk niet bij het andere mag (en omgekeerd). Ik doe dat meestal door een alias aan te maken waarin ik alle publieke netwerken in zet. Je kunt dan bijvoorbeeld er voor kiezen om alles toe te staan behalve wanneer het verkeer naar een publiek IP wil. Daarboven zet je dan weer een uitzondering voor DNS (53/UDP) en NTP (123/UDP). Voor DHCP is geen regel nodig (werkt in een andere OSI laag).

        Wanneer je dat allemaal geregeld hebt, dan ben je toe aan de switch. Zorg er voor dat alle VLAN's op de switch zijn ingevoerd. Zorg voor een trunk poort en stel de juiste PVID in op desbetreffende poorten. Gebruik je access points? Dan moet het access point ook met VLAN's kunnen werken (met andere woorden: VLAN kunnen gebruiken per SSID).

        Zelf werk ik met HP/Aruba/ZyXEL/Cisco/TP-Link switches en steeds vaker met TP-Link access points. Daarop kan ik eenvoudig met VLAN's werken. Wat heel erg eenvoudig werkt is de TP-Link EAP245 of EAP600 access points in combinatie met een OC200 of OC300 controller. Tegenwoordig kun je zelfs de TP-Link switches in de controller beheren - en eenvoudig VLAN's instellen.

        Een andere route is dat je per interface een netwerk aanmaakt en daarachter de clients in een specifiek netwerk zet. Dat heeft dan niet zoveel met VLAN's te maken - maar komt firewall-technisch op 't zelfde neer. Je moet dan per interface configureren wat mag en vooral wat niet mag.

        Edit: toevoeging: wat misschien nog goed is om op te merken, is dat je één VLAN het beste in kunt richten als management VLAN. Je zou daar VLAN1 voor kunnen gebruiken. Wanneer je dan kijkt naar IGB1, dan krijg je interface IGB1 met daarop je management LAN; vervolgens stapel je daarop de VLAN's en maak je virtuele interfaces aan. Dat is handig, omdat je de apparatuur dan binnen het management VLAN met elkaar kunt laten communiceren; daar beheer je de apparatuur dan ook (tenzij je vanuit een ander VLAN d.m.v. een firewall regel een uitzondering maakt).

        Ik denk dat dit in een notendop is hoe VLAN's werken onder pfSense. Mochten er vragen zijn, of mocht je screenshot willen hebben - dan hoor ik 't wel.

        1 Reply Last reply Reply Quote 0
        • First post
          Last post