moniquevonnebenan
Goto Top

VLans mit Access Point und pfSense

Guten Tag zusammen, ich arbeite gerade an dem Aufbau einer Wlan Infrastruktur für meine Firma und komme leider nicht weiter. Habe schon diverse Anleitungen von "aqui" studiert und habe dennoch noch Verständnisfragen. Ich hoffe dass mir jemand helfen kann.

Kurz erklärt sollen unsere Staplerfahrer über die Access Points aufs Firmennetz zugreifen können. Desweiteren sollen aber auch Gäste in der Lage sein ins Internet zu gelangen, ohne dass sie Zugriff aufs Firmennetz haben.


Als Captive Portal verwende ich pfSense mit 3 Netzwerkkarten (LAN-> Firmennetz, WAN ist verbunden mit DSLRouter und bekommt von dort eine IP Adresse per DHCP zugewiesen und OPT->zum Testen direkt mit dem Access Point mit einem gekreuztem Kabel verbunden.

Ich verwende zum Testen einen "bintec W1002n" Access Point. Dieser hat 2 SSID's die 2 verschiedenen VLANs zugeordnet sind. (z.B. SSID1 "Stapler" -> VLAN2, und SSID2 "Gast" -> VLAN3).

In pfSense habe ich bei VLANs als "Parent Interface" opt1 genommen und dann die 2 VLANs hizugefügt (VLAN2_Stapler und VLAN3_Gast). Danach habe ich den VLANs eigene IP-Adressbereiche zugewiesen und als TEST auf dem VLAN3_Gast einen DHCP Server eingerichtet, der den Gast Clients eine IP zuweisen soll. Die Config sieht so aus.

604e67b366bafb2253acd065eb4228d9
317602f71bdfb1f4b4ad75a575c4fa06

EDIT:

7495f199534ad651e46e8c208ea98fca

DHCP Server auf VLAN3_Gast aktiv -> Ip Range von 192.168.30.10 -> 30.15


Nun zu meinen Fragen face-smile.

-Habe ich einen Denkfehler, wenn ich den Access Point direkt mit der pfSense verbinde oder muss da ein Switch dazwischen hängen ?

-Wenn nicht, wieso bekommen dann die Clients, die sich über die Gast-SSID verbinden, keine IP-Adresse zugewiesen?


Wenn ich die VLANs weglasse und meinen Access Point direkt über das OPT interface (auf dem ein DHCP Server und das Captive Portal läuft) verbinde und in der Firewall diese Regel definiere,

297825294bdb7016cbe98a170c65c2c0

bekommen meine clients eine IP zugewiesen und können, nachdem sie den generierten Voucher Code eingegeben haben im Internet surfen.

Ich hoffe dass mir jemand weiterhelfen kann.

Content-ID: 135931

Url: https://administrator.de/forum/vlans-mit-access-point-und-pfsense-135931.html

Ausgedruckt am: 25.12.2024 um 21:12 Uhr

tikayevent
tikayevent 15.02.2010 um 10:35:41 Uhr
Goto Top
Moin,

du hast nen Fehler in deiner Konfiguration.

Die IP-Adresse des Gast-VLANs ist fehlerhaft. Diese darf an der dritten Stelle, sprich die 100, nicht identisch mit der des Stapler-VLANs sein. Jedes gängige Betriebssystem, auch pfSense, ist der Meinung, dass die beiden Interfaces im gleichen Netzwerk liegen, daher laufen sämtliche Antworten über eine Netzwerkkarte, egal ob es auf dem einen oder anderen Interface eingegangen ist, da es nicht unterscheiden kann, auf welchem Interface die Anfrage eingegangen ist.
moniquevonnebenan
moniquevonnebenan 15.02.2010 um 10:44:37 Uhr
Goto Top
Oops Sorry, das habe ich vorhin schon bemerkt, habe aber vergessen das Bild zu ändern. Ich ändere das mal kurz.
Tommy70
Tommy70 15.02.2010 um 11:35:43 Uhr
Goto Top
Da du erwähnst, dass du Voucher verwendest nehme ich an, dass du pfSense 2.0-BETA verwendest da die Release-Version Voucher noch nicht unterstützt.
Die Beta ist allerdings noch ziemlich fehlerhaft. Also könnten noch mehrere Probleme auf dich zukommen.
moniquevonnebenan
moniquevonnebenan 15.02.2010 um 11:39:11 Uhr
Goto Top
Ja ich verwende die Beta, jedoch ist die entscheidende Frage ob ich den Access Point direkt mit dem Monowall Rechner verbinden kann und dann die Vlans so wie oben zuweisen.
tikayevent
tikayevent 15.02.2010 um 12:37:44 Uhr
Goto Top
Schmeiß mal Opt1 als Interface raus, die VLANs sind ja gesondert definiert. Hatte da auch schonmal ein Problem, aber mit m0n0wall.
moniquevonnebenan
moniquevonnebenan 15.02.2010 um 13:11:12 Uhr
Goto Top
Zitat von @tikayevent:
Schmeiß mal Opt1 als Interface raus, die VLANs sind ja gesondert definiert. Hatte da auch schonmal ein Problem, aber mit
m0n0wall.

Habs rausgeschmissen, keine Veränderung.
moniquevonnebenan
moniquevonnebenan 15.02.2010 um 14:15:04 Uhr
Goto Top
Danke an alle, ich glaube ich habe es hinbekommen. Habe die Vlans am Switch definiert und nicht in der pfSense, scheint jetzt zu laufen.
aqui
aqui 15.02.2010, aktualisiert am 18.10.2012 um 18:41:09 Uhr
Goto Top
Scheint...???
Du musst die VLANs natürlich am Pfsense UND am Switch konfigurieren, sonst kann es nicht funktionieren !!
Dieses Tutorial sagt dir mit entspr. Switchkonfigs genau wie es geht:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Der Switch MUSS also ein tagged Uplink Interface (also wo alle VLANs vom Switch tagged drinliegen !) auf den OPT1 Port haben wo die VLANs drauf definiert sind !!
Dann funktioniert es auch problemlos !!
moniquevonnebenan
moniquevonnebenan 15.02.2010 um 15:29:05 Uhr
Goto Top
Ok Danke, werde es versuchen und meine Erfahrungen posten. Kann man eigentlich auf einem Vlan ein Captive Portal für Kunden laufen lassen und auf dem zweiten eine Radiusauthentifizierung für lokale Benutzer durchführen lassen? So dass wenn der Staplerfahrer sich auf seinen mobilen Rechner mit seinem Benutzernamen einloggt automatisch ins Firmennetz kommt?

und

Kann man den Thread irgendwie wieder als "unsolved" markieren?
tikayevent
tikayevent 15.02.2010 um 16:43:29 Uhr
Goto Top
Das Captive Portal kann nur auf einer Schnittstelle laufen, daher nur das für Kunden oder nur das für die Stapelgablerfahrer.

pfSense bietet aber noch die Möglichkeit, PPTP- und PPPoE-Verbindungen zu terminieren, ebenfalls gegen RADIUS authentifiziert.
moniquevonnebenan
moniquevonnebenan 15.02.2010 um 17:54:42 Uhr
Goto Top
Danke. könntest du mir bitte näher erläutern was das ist und ob ich das in meinem Fall irgendwie einsetzen könnte ? Wäre echt sehr nett. Danke im Voraus!

Oder gibt es eine andere Möglichkeit die Staplerfahrer zu authentifizieren, abgesehen von MAC Adresse un IP ?

Es soll eben ziemlich unkompliziert sein für die Staplerfahrer z.B. wie oben beschrieben, bei der Anmeldung.
tikayevent
tikayevent 15.02.2010 um 18:01:14 Uhr
Goto Top
PPTP ist VPN, sprich jeder Staplerfahrer baut eine VPN-Verbindung zum pfSense auf, über die er dann ins Firmennetz kommt. Beim Verbindungsaufbau muss er sich dann mit Benutzername und Passwort anmelden.
moniquevonnebenan
moniquevonnebenan 15.02.2010 um 19:52:00 Uhr
Goto Top
Ok Vielen Dank soweit, ich informiere mich, und wenn ich Fragen hab, melde ich mich.
aqui
aqui 16.02.2010 um 12:45:06 Uhr
Goto Top
Oder du hängst die Staplerfahrer mit ins GastVLAN/WLAN. Du kannst ihnen eine feste IP Adresse geben und diese Ausnehmen von der HotSpot Authentifizierung aber statt der IP Adresse die Mac Adresse deren Geräte nehmen. So können sie das Gast WLAN mitnutzen müssen sich aber nicht extra authentifizieren.
Wenn sie WLAN Barcode Scanner oder solche Geräte haben geht das so oder so nicht, auch ein PPTP VPN ist damit (vermutlich) nicht möglich !!
Leider klärst du uns über dessen Gerätschaften ja nicht auf so das wir nur raten können face-sad
moniquevonnebenan
moniquevonnebenan 15.04.2010, aktualisiert am 18.10.2012 um 18:41:45 Uhr
Goto Top
Hatte einen Denkfehler und habe es nun so gelöst:

VLan Konfiguration am HP Procurve 1700-24

Vielen Dank für eure Hilfe