Ubiquiti Wireless Guest Network VLAN mit pfSense + Cisco Switch

8

Ich versuche, ein drahtloses Gastnetzwerk in einer Umgebung einzurichten, in der es schon seit einiger Zeit gut läuft. Das WLAN läuft auf Ubiquiti UniFi- APs.

Ich hoffe das ist klar. Wenn nicht, können Sie gerne Fragen stellen. Ich habe das Gefühl, dass dies verwirrend sein könnte.

Bei dem fraglichen Cisco-Switch handelt es sich um eine SG 200-Serie, und die Firewall ist pfSense. Ubiquiti UniFi-APs sind mit 2 SSIDs ("NNH" und "NNH Guest") konfiguriert.

Bevor ich mehr von der Typografie beschreibe, ist hier die Situation:

  • Mitarbeiter erhalten DHCP einwandfrei vom richtigen DHCP-Server
  • Computer, die physisch mit VLAN 200 verbunden sind, empfangen DHCP einwandfrei von pfSense (dh dem DHCP-korrekten DHCP-Server des VLAN).
  • Drahtlose Clients auf NNH erhalten DHCP-Geldstrafe
  • Drahtlose Clients auf "NNH Guest" erhalten KEINE DHCP-Adresse und können keine Verbindung herstellen

Mehr Details

pfSense wird nur als Firewall und DHCP-Server für das Gastnetzwerk ausgeführt (das Mitarbeiter- / Primärnetzwerk verfügt über ein Synology NAS als DHCP-Server).

Das Netzwerk verfügt über diese beiden Subnetze

  • 10.1.10.0/24 = Mitarbeiter
  • 10.1.200.0/24 = Gäste (markiert mit VLAN 200)

pfSense ist wie folgt konfiguriert:

  • 3 Schnittstellen (WAN an Schnittstelle bce0, LAN an bce1, OPT1 an VLAN 200)
  • VLAN 200 ist so eingerichtet, dass es über LAN ausgeführt wird

Geben Sie hier die Bildbeschreibung ein

Es gibt ein Computerlabor, das physisch mit VLAN 200 verbunden ist. Der Port des Cisco-Switches, der eine Verbindung zum Labor herstellt (das über einen eigenen Switch verfügt), ist als Access-Port in VLAN 200 eingerichtet (ohne Tags).

Alle PCs im Computerraum (physisch verbunden) erhalten ihre richtige DHCP-Adresse von pfSense (10.1.200.0/24).

Ich habe die Ports auf dem Cisco-Switch, die eine direkte Verbindung zu den Ubiquiti UniFi-APs herstellen, so konfiguriert, dass sie sich im Modus "Allgemein" in einer VLAN-Mitgliedschaft von 200 Tags befinden: Geben Sie hier die Bildbeschreibung ein

Darüber hinaus ist der mit pfSense verbundene Trunk-Port des Switches Mitglied von VLAN 200:

Geben Sie hier die Bildbeschreibung ein

Ubiquiti UniFi-APs sind wie folgt konfiguriert:

  • 2 SSIDs
  • "NNH Guest" ist auf "VLAN 200 verwenden" eingestellt.

Zusammenfassend ...

Drahtlose Clients, die eine Verbindung zu "NNH Guest" herstellen, erhalten keine DHCP-Adresse (10.1.200.0/24), wenn "NNH Guest" auf den Ubiquiti UniFi-APs für die Verwendung von VLAN 200 konfiguriert ist.

Wenn ich VLAN 200 aus der Gleichung herausnehme (VLAN 200 aus der SSID in den Ubiquiti-Einstellungen entfernen), können Clients eine Verbindung zum Gastnetzwerk herstellen, aber sie erhalten eine IP-Adresse aus dem Employee-Subnetz, was ich natürlich bin versuchen zu vermeiden.

Wie kann ich das beheben?

David W.
quelle
"Wenn ich VLAN 200 aus der Gleichung herausnehme" ... meinen Sie damit, es auf der SSID oder auf dem Cisco-Switch oder auf beiden zu entfernen?
TheCleaner
Wenn ich VLAN 200 aus den Ubiquiti-Einstellungen / SSID entferne. NICHT, wenn ich es vom Cisco Switch entferne.
David W
Der Switch sendet also immer noch die nicht getaggten Pakete, nur nicht die getaggten. Haben Sie einen anderen Port am Switch, der als Trunk-Port fungiert und Mitglied von VLAN 200 ist und mit der pfsense-Firewall verbunden ist, die mir in Ihrem Beitrag fehlt? Wenn nicht, benötigen Sie eines, um das mit Tags versehene Paket vom Switch-Port an die pfsense-Firewall zu senden. Andernfalls wird das Tagging gelöscht.
TheCleaner
Oh, eigentlich habe ich einen Trunk-Port, der Mitglied dieses VLAN ist. Ich werde die Frage aktualisieren.
David W
Ich hatte genau das gleiche Problem, nur mit einem Netgear "Smart" Switch anstelle eines Cisco Switch. Das Problem sind mit ziemlicher Sicherheit die VLAN / Trunk-Einstellungen am Switch selbst.
Moshe Katz

Antworten:

0

Meine anfängliche Annahme wäre, dass der AP keinen Zugriff auf VLAN 200 hat.

So überprüfen Sie Folgendes: Schließen Sie anstelle des AP einen Computer an GE16 an. Führen Sie WireShark aus. Suchen Sie nach Broadcast-Verkehr in VLAN 200. Verwenden Sie alternativ den virtuellen Hyper-V-Switch, um eine virtuelle Netzwerkkarte in VLAN 200 und Ping-Hosts hinzuzufügen (verwenden Sie eine statische IP zum Testen). Hier ist ein Artikel darüber, wie das gemacht werden kann: https://blogs.msdn.microsoft.com/virtual_pc_guy/2015/02/09/adding-a-second-and-third-management-os-adapter-to-a -virtual-switch /

Wenn der Port Zugriff auf VLAN 200 hat, überprüfen Sie die AP-Konfiguration. Wenn nicht, sehen Sie sich die Switchport-Konfiguration an.

Diese Antwort ist für das OP wahrscheinlich nicht mehr relevant, kann aber anderen helfen.

TS79
quelle