Pfsense als wlan-AP
-
Hallo zusammen,
nachdem ich mich durch die Suche gearbeitet habe und leider nicht fündig geworden bin, bitte ich Euch um Hilfe.
Ich bin noch relativ neu und unvertraut mit pfsense und hoffe, ich habe keinen wichtigen Thread zu meinem Problem übersehen. Sorry, falls doch. Vielleicht ist die Frage auch zu trivial und ich sehe den Wald vor lauter Bäumen nicht mehr?Ich habe als zweiten Router "hinter" einer DMZ eine pfsense (2.2.2, pfsense1). Sie stellt das LAN zur Verfügung. Das LAN-Interface hat die 192.168.14.10. Internet-Zugang und LAN-interne Kommunikation in pfsense1 klappen problemlos.
Nun soll ein WLAN-AP eingerichtet werden. Ich habe gelesen, dass das mit Bridging gehen könnte, möchte aber - wenn das überhaupt geht - ohne Bridging, stattdessen mit einem eigenen Subnetz arbeiten. Dazu ist in der pfsense1 eine weitere Neztwerkkarte installiert (192.168.15.10). An dieser Karte hängt eine zweite pfsense (räumlich weit getrennt, pfsense2).
Nun habe ich also zusätzlich die pfsense2 (ebenfalls 2.2.2), die über ihr WAN-Interface (192.168.15.11) die Verbindung zur pfsense1 herstellt und WLAN anbieten soll. Standard-Gateway der pfsense2 ist 192.168.15.10.
Die WLAN-Schnittstelle ath0 hat die 192.168.13.10.
Also:
pfsense1:
WAN: 192.168.11.11 -> ins Internet über 1. Firewall der DMZ, Standard GW 192.168.11.10
LAN: 192.168.14.10 -> LAN-Clients
OPT1: 192.168.15.10 -> Verbindung zur pfsense2pfsense2:
WAN: 192.168.15.11 (Standard-GW 192.168.15.10) -> Verbindung zur pfsense1
OPT1: 192.168.13.10 -> WLAN-ClientsDas WLAN selbst läuft problemlos.
NAT und Firewalling in pfsense2 sind deaktiviert, ich vertraue allen Clients im LAN und WLAN. Zudem sollen alle Clients untereinander frei und unmaskiert kommunizieren können.
In pfsense1 habe ich als zusätzliche Route eingetragen, dass das Netz 192.168.13.0 über das neue Gateway 192.168.15.11 (also pfsense2) erreichbar ist.
Ich kann von pfsense2 jedoch noch nicht einmal 192.168.15.10 und von pfsense2 zwar pfsense1 (192.168.15.11 und 192.168.13.10), nicht aber die WLAN-Clients (192.168.13.x) erreichen.
Irgendwas ist da also grundsätzlich falsch oder fehlt. Aber was? Bzw. wo muss ich die Konfiguration anpassen. Kann jemand helfen? Oder geht das tatsächlich nur über eine Bridge und die hier gewählte Architektur ist Unsinn?
Danke Euch für Eure Unterstützung!
Herzliche Grüße
-
möchte aber - wenn das überhaupt geht - ohne Bridging, stattdessen mit einem eigenen Subnetz arbeiten
Natürlich geht das. Keine Frage.Dazu ist in der pfsense1 eine weitere Neztwerkkarte installiert (192.168.15.10). An dieser Karte hängt eine zweite pfsense (räumlich weit getrennt, pfsense2).
Was für eine Netzwerkkarte? WLAN? LAN? Wie ist die zweite pfSense angebunden?Die WLAN-Schnittstelle ath0 hat die 192.168.13.10.
Wo ist diese denn verbaut? Pfsense 2?NAT und Firewalling in pfsense2 sind deaktiviert, ich vertraue allen Clients im LAN und WLAN. Zudem sollen alle Clients untereinander frei und unmaskiert kommunizieren können.
Nunja letzteres ist aber nicht unbedingt ein Grund das komplette Feature abzuschalten. Man kann die WLAN Geräte ja durchaus untereinander kommunizieren lassen (doch häufig eher: warum?) und frei von WLAN -> WAN zugreifen lassen (WLAN to any Regel), ohne das gleich abzuschalten.Irgendwas ist da also grundsätzlich falsch oder fehlt. Aber was?
- Auf pfsense2: ist dort auf dem "WAN" also dem Uplink im 15er Netz zur pfSense 1 denn eine Regel für einkommenden Verkehr angelegt, dass Verkehr vom Netz/Interface der pfSense 1 überhaupt rein darf?
- ist auf pfSense 1 denn eine Regel angelegt, dass Verkehr vom Link Interface zu pfSense 2 denn überhaupt rein/raus darf?
Oder geht das tatsächlich nur über eine Bridge und die hier gewählte Architektur ist Unsinn?
Nein, was du machst ist Routing und das ist vollkommen OK so. Es werden nur sehr wahrscheinlich Firewallregeln und ggf. noch eine Route fehlen.Grüße
Jens -
Hallo Jens,
danke Dir für Deine Rückantwort!
Vorweg erst noch einmal zur Präzisierung, hatte ich gestern vergessen: Alle Adressen sind statisch definiert. Nirgendwo läuft DHCP.
Ich möchte auf der pfsense1 so wenig wie möglich Traffic haben, daher die Trennung und ein separater WLAN-Router. Dann können die WLAN-Geräte untereinander "ungestört" über "ihren" AP kommunizieren.Jetzt zu Deinen Fragen:
Dazu ist in der pfsense1 eine weitere Neztwerkkarte installiert (192.168.15.10). An dieser Karte hängt eine zweite pfsense (räumlich weit getrennt, pfsense2).
Was für eine Netzwerkkarte? WLAN? LAN? Wie ist die zweite pfSense angebunden?Die pfsense2 ist über ein normales LAN-Kabel mit pfsense1 verbunden. Die "weitere Netzwerkkarte" in pfsense1 ist eine ganz normale LAN-Karte (OPT1). Gegenstück auf pfsense2 ist das WAN-Interface.
Die WLAN-Schnittstelle ath0 hat die 192.168.13.10.
Wo ist diese denn verbaut? Pfsense 2?Genau! In der pfsense2 ist OPT1 als ath0-Schnittstelle (das WLAN) eingerichtet. Funktionierte auf Anhieb, die Einrichte-Maske ist sehr gut gemacht!
Zur pfsense1 führt die oben beschriebene LAN-Verbindung über das WAN-Interface.
Das LAN-Interface in der pfsense2 ist auch vorhanden, wird aber derzeit nicht genutzt (hatte es zur ersten Einrichtung genutzt, wer weiß, wozu ich es später mal noch brauchen kann….)Nunja letzteres ist aber nicht unbedingt ein Grund das komplette Feature abzuschalten. Man kann die WLAN Geräte ja durchaus untereinander kommunizieren lassen (doch häufig eher: warum?) und frei von WLAN -> WAN zugreifen lassen (WLAN to any Regel), ohne das gleich abzuschalten.
Stimmt. Ehrlich gesagt habe ich mir gedacht, ich schalte das mal ab zur Komplexitätsreduktion bei der Fehlersuche. Klar kann man auch da eine Firewall aktiv lassen. Ggf. kann man sich dadurch auch einen Hauch Performanceverlust einsparen? Das ist aber eher nebensächlich.
Da hier einige Notebooks werkeln, kann es durchaus mal sinnvoll sein, dass die Geräte über sftp/ssh untereinander kommunizieren können, und sei es nur für "primitiven" Datenaustausch.- Auf pfsense2: ist dort auf dem "WAN" also dem Uplink im 15er Netz zur pfSense 1 denn eine Regel für einkommenden Verkehr angelegt, dass Verkehr vom Netz/Interface der pfSense 1 überhaupt rein darf?
Hm, erziele ich das nicht durch Abschalten der Firewall? Falls nein, habe ich jetzt die Regel entsprechend eingerichtet und alles erlaubt.
- ist auf pfSense 1 denn eine Regel angelegt, dass Verkehr vom Link Interface zu pfSense 2 denn überhaupt rein/raus darf?
Asche auf mein Haupt, nein. Ich dachte, für OPT gelten die gleichen Regeln wie für LAN, bei dem das ja standardmäßig erlaubt ist. Dazu gelernt: Dem ist nicht so. Habe ich also nachgepflegt. Aber auch hier: Wenn die Firewall deaktiviert ist....??
Fazit nach erneutem Versuch mit den eingetragenen Regeln: Trotz entsprechender Regeln keine Veränderung. Von den WLAN-Clients kein Zugriff auf pfsense1 und von pfsense1 kein Zugriff auf die WLAN-Clients.
Also tatsächlich eine Routing-Frage, die ich dann wohl unter "Routing" klären müsste? Nur wie? Es gibt bereits eine Regel auf pfsense1 die das Netzwerk 192.168.13.0 über das Gateway 192.168.15.11 (also WAN-Interface von pfsense2) erreichbar machen sollte. Sie muss demzufolge falsch oder unvollständig sein? Oder es fehlt an anderer Stelle etwas Grundsätzliches?
Wo ist mein Denkfehler?Danke und Grüße,
Matthias