PfSense + две точки доступа



  • Друзья, помогите!

    Есть локальная сеть (10.1.1.0/24, ), состоящая из коммутатора sw-01 (без настроенных VLAN)и маршрутизатора gw-01 (GW+DHCP).
    Есть железка Alix 2D13 (3 порта Fast Ethernet, Wifi-модуль Wistron DNMA92 (AR9220), на которую я накатил pfSense 2.2.3.

    Задумка следующая:

    • поднять на pfSense две точки доступа - корпоративную и гостевую;

    • корпоративным клиентам раздавать адреса из подсети 10.1.1.0/24 с DHCP на gw-01, гостям раздавать с DHCP настроенном на самом pfSense из подсети 192.168.90.0/24;

    • гостевую подсеть коммутировать с тегами (VLAN 90 tagged), корпоративную - без;

    • обе подсети маршрутизировать через gw-01.

    Что было сделано.
    На sw-01:

    • два порта переключил в Trunk (Vlan 1 native untagged, Vlan 90 tagged). Один порт для pfSense, другой для gw-01.

    На gw-01:

    • Порт, смотрящий в локальную сеть переключил в Trunk (Vlan 1 untagged, Vlan 90 tagged). Интерфейс Vlan 1 для 10.1.1.1, Vlan 90 для 192.168.90.1;

    На pfSense:

    • интерфейс LAN перенес на порт vr2, отключил DHCP-сервер, назначил IP 10.1.1.2/24;

    • поднял интерфейс AP (ath0);

    • интерфейсы LAN и AP объединил в Bridge0 и поднял интерфейс CropNet (Bridge0);

    • на порту vr2 включил vlan 90 и поднял интерфейс VLAN90 (VLAN 90 on vr2) 192.168.90.2, включил DHCP-сервер для подсети 192.168.90.0/24;

    • на базе ath0 создал ath0_wlan1 и поднял интерфейс GuestAP (ath0_wlan1);

    • VLAN90 и GuestAP объединил в Bridge1 и поднял интерфейс GuestNet (Bridge1);

    • фаерволы на gw-01 и pfSense отключил на период тестирования.

    В итоге:
    Пока включен один мост, например GuestNet, а корпоративная подсеть коммутируется просто на LAN (vr2), все работает.
    Клиенты гостевой сети ходят в в свою подсеть, в интернет, видят хосты 10.1.1.0/24.
    Когда включаю второй мост (CorpNet, и соответственно точку доступа GuestAP), на pfSense отваливается либо гостевая подсеть, либо корпоративная.

    Подозреваю, что делаю что-то не так.

    Помогите пжлста.



  • Имейте совесть. Вы же хотите, чтобы Вам помогли ? Меняйте кодировку при постинге.

    В трех браузерах вот такое :

    ![2015-07-16 09_53_52-pfSense.jpg](/public/imported_attachments/1/2015-07-16 09_53_52-pfSense.jpg)
    ![2015-07-16 09_53_52-pfSense.jpg_thumb](/public/imported_attachments/1/2015-07-16 09_53_52-pfSense.jpg_thumb)



  • http://habrahabr.ru/post/140340/

    Человек пишет, что его роутер с AR9220 не поддерживает VLAN 802.1Q (?)

    Поищите datasheet на AR9220 для уточнения это момента.

    P.s. http://www.datasheet-pdf.com/datasheet-html/A/R/9/AR9220_Atheros.pdf.html  Про VLAN 802.1Q - ни слова  :(

    P.s2. Если можно вместо gw-1 поставить pfsense, то в кач-ве wi-fi рекомендую asus rt-n12c1\d1\vp, rt-n15u или что-то похожее на broadcom-e в связке с TomatoUSB (http://tomato.groov.pl/?page_id=31, http://tomato.groov.pl/?page_id=69). Будет Вам и VLAN и оч. много чего другого. У самого asus rt-15u трудится с рабочей и гостевой сетями скоро год как.



  • @werter:

    http://habrahabr.ru/post/140340/

    Человек пишет, что его роутер с AR9220 не поддерживает VLAN 802.1Q (?)

    Поищите datasheet на AR9220 для уточнения это момента.

    P.s. http://www.datasheet-pdf.com/datasheet-html/A/R/9/AR9220_Atheros.pdf.html  Про VLAN 802.1Q - ни слова  :(

    P.s2. Если можно вместо gw-1 поставить pfsense, то в кач-ве wi-fi рекомендую asus rt-n12c1\d1\vp, rt-n15u или что-то похожее на broadcom-e в связке с TomatoUSB (http://tomato.groov.pl/?page_id=31, http://tomato.groov.pl/?page_id=69). Будет Вам и VLAN и оч. много чего другого. У самого asus rt-15u трудится с рабочей и гостевой сетями скоро год как.

    Вопрос в том, должен ли вообще ath0 поддерживать VLAN? Ведь с конкретным vlan я объединяю конкретный wlan мостом.
    Другими словами - точка доступа должна поддерживать MulitSSID, что AR9220 и делает.



  • @Bobbe:

    @werter:

    http://habrahabr.ru/post/140340/

    Человек пишет, что его роутер с AR9220 не поддерживает VLAN 802.1Q (?)

    Поищите datasheet на AR9220 для уточнения это момента.

    P.s. http://www.datasheet-pdf.com/datasheet-html/A/R/9/AR9220_Atheros.pdf.html  Про VLAN 802.1Q - ни слова  :(

    P.s2. Если можно вместо gw-1 поставить pfsense, то в кач-ве wi-fi рекомендую asus rt-n12c1\d1\vp, rt-n15u или что-то похожее на broadcom-e в связке с TomatoUSB (http://tomato.groov.pl/?page_id=31, http://tomato.groov.pl/?page_id=69). Будет Вам и VLAN и оч. много чего другого. У самого asus rt-15u трудится с рабочей и гостевой сетями скоро год как.

    Вопрос в том, должен ли вообще ath0 поддерживать VLAN? Ведь с конкретным vlan я объединяю конкретный wlan мостом.
    Другими словами - точка доступа должна поддерживать MulitSSID, что AR9220 и делает.

    Верно. Однако, Вы правы. Вэ-ланится же eth-интерфейс, а затем к нему "привязывается" wlan (!)

    А что в логах pf при поднятии 2-го wlan-моста\падении первого?

    P.s. Решение влоб - приобрести usb-свисток и на его основе создать гостевую сеть. Это на крайний случай.


Log in to reply