15
VLans mit Access Point und pfSense
Guten Tag zusammen, ich arbeite gerade an dem Aufbau einer Wlan Infrastruktur für meine Firma und komme leider nicht weiter. Habe schon diverse Anleitungen von "aqui" studiert und habe dennoch noch Verständnisfragen. Ich hoffe dass mir jemand helfen kann.
Kurz erklärt sollen unsere Staplerfahrer über die Access Points aufs Firmennetz zugreifen können. Desweiteren sollen aber auch Gäste in der Lage sein ins Internet zu gelangen, ohne dass sie Zugriff aufs Firmennetz haben.
Als Captive Portal verwende ich pfSense mit 3 Netzwerkkarten (LAN-> Firmennetz, WAN ist verbunden mit DSLRouter und bekommt von dort eine IP Adresse per DHCP zugewiesen und OPT->zum Testen direkt mit dem Access Point mit einem gekreuztem Kabel verbunden.
Ich verwende zum Testen einen "bintec W1002n" Access Point. Dieser hat 2 SSID's die 2 verschiedenen VLANs zugeordnet sind. (z.B. SSID1 "Stapler" -> VLAN2, und SSID2 "Gast" -> VLAN3).
In pfSense habe ich bei VLANs als "Parent Interface" opt1 genommen und dann die 2 VLANs hizugefügt (VLAN2_Stapler und VLAN3_Gast). Danach habe ich den VLANs eigene IP-Adressbereiche zugewiesen und als TEST auf dem VLAN3_Gast einen DHCP Server eingerichtet, der den Gast Clients eine IP zuweisen soll. Die Config sieht so aus.
EDIT:
DHCP Server auf VLAN3_Gast aktiv -> Ip Range von 192.168.30.10 -> 30.15
Nun zu meinen Fragen
.
-Habe ich einen Denkfehler, wenn ich den Access Point direkt mit der pfSense verbinde oder muss da ein Switch dazwischen hängen ?
-Wenn nicht, wieso bekommen dann die Clients, die sich über die Gast-SSID verbinden, keine IP-Adresse zugewiesen?
Wenn ich die VLANs weglasse und meinen Access Point direkt über das OPT interface (auf dem ein DHCP Server und das Captive Portal läuft) verbinde und in der Firewall diese Regel definiere,
bekommen meine clients eine IP zugewiesen und können, nachdem sie den generierten Voucher Code eingegeben haben im Internet surfen.
Ich hoffe dass mir jemand weiterhelfen kann.
Kurz erklärt sollen unsere Staplerfahrer über die Access Points aufs Firmennetz zugreifen können. Desweiteren sollen aber auch Gäste in der Lage sein ins Internet zu gelangen, ohne dass sie Zugriff aufs Firmennetz haben.
Als Captive Portal verwende ich pfSense mit 3 Netzwerkkarten (LAN-> Firmennetz, WAN ist verbunden mit DSLRouter und bekommt von dort eine IP Adresse per DHCP zugewiesen und OPT->zum Testen direkt mit dem Access Point mit einem gekreuztem Kabel verbunden.
Ich verwende zum Testen einen "bintec W1002n" Access Point. Dieser hat 2 SSID's die 2 verschiedenen VLANs zugeordnet sind. (z.B. SSID1 "Stapler" -> VLAN2, und SSID2 "Gast" -> VLAN3).
In pfSense habe ich bei VLANs als "Parent Interface" opt1 genommen und dann die 2 VLANs hizugefügt (VLAN2_Stapler und VLAN3_Gast). Danach habe ich den VLANs eigene IP-Adressbereiche zugewiesen und als TEST auf dem VLAN3_Gast einen DHCP Server eingerichtet, der den Gast Clients eine IP zuweisen soll. Die Config sieht so aus.
EDIT:
DHCP Server auf VLAN3_Gast aktiv -> Ip Range von 192.168.30.10 -> 30.15
Nun zu meinen Fragen
.-Habe ich einen Denkfehler, wenn ich den Access Point direkt mit der pfSense verbinde oder muss da ein Switch dazwischen hängen ?
-Wenn nicht, wieso bekommen dann die Clients, die sich über die Gast-SSID verbinden, keine IP-Adresse zugewiesen?
Wenn ich die VLANs weglasse und meinen Access Point direkt über das OPT interface (auf dem ein DHCP Server und das Captive Portal läuft) verbinde und in der Firewall diese Regel definiere,
bekommen meine clients eine IP zugewiesen und können, nachdem sie den generierten Voucher Code eingegeben haben im Internet surfen.
Ich hoffe dass mir jemand weiterhelfen kann.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 135931
Url: https://administrator.de/contentid/135931
Ausgedruckt am: 21.11.2024 um 20:11 Uhr
15 Kommentare
Neuester Kommentar
Moin,
du hast nen Fehler in deiner Konfiguration.
Die IP-Adresse des Gast-VLANs ist fehlerhaft. Diese darf an der dritten Stelle, sprich die 100, nicht identisch mit der des Stapler-VLANs sein. Jedes gängige Betriebssystem, auch pfSense, ist der Meinung, dass die beiden Interfaces im gleichen Netzwerk liegen, daher laufen sämtliche Antworten über eine Netzwerkkarte, egal ob es auf dem einen oder anderen Interface eingegangen ist, da es nicht unterscheiden kann, auf welchem Interface die Anfrage eingegangen ist.
du hast nen Fehler in deiner Konfiguration.
Die IP-Adresse des Gast-VLANs ist fehlerhaft. Diese darf an der dritten Stelle, sprich die 100, nicht identisch mit der des Stapler-VLANs sein. Jedes gängige Betriebssystem, auch pfSense, ist der Meinung, dass die beiden Interfaces im gleichen Netzwerk liegen, daher laufen sämtliche Antworten über eine Netzwerkkarte, egal ob es auf dem einen oder anderen Interface eingegangen ist, da es nicht unterscheiden kann, auf welchem Interface die Anfrage eingegangen ist.
Oops Sorry, das habe ich vorhin schon bemerkt, habe aber vergessen das Bild zu ändern. Ich ändere das mal kurz.
Da du erwähnst, dass du Voucher verwendest nehme ich an, dass du pfSense 2.0-BETA verwendest da die Release-Version Voucher noch nicht unterstützt.
Die Beta ist allerdings noch ziemlich fehlerhaft. Also könnten noch mehrere Probleme auf dich zukommen.
Die Beta ist allerdings noch ziemlich fehlerhaft. Also könnten noch mehrere Probleme auf dich zukommen.
Ja ich verwende die Beta, jedoch ist die entscheidende Frage ob ich den Access Point direkt mit dem Monowall Rechner verbinden kann und dann die Vlans so wie oben zuweisen.
Schmeiß mal Opt1 als Interface raus, die VLANs sind ja gesondert definiert. Hatte da auch schonmal ein Problem, aber mit m0n0wall.
Zitat von @tikayevent:
Schmeiß mal Opt1 als Interface raus, die VLANs sind ja gesondert definiert. Hatte da auch schonmal ein Problem, aber mit
m0n0wall.
Schmeiß mal Opt1 als Interface raus, die VLANs sind ja gesondert definiert. Hatte da auch schonmal ein Problem, aber mit
m0n0wall.
Habs rausgeschmissen, keine Veränderung.
Danke an alle, ich glaube ich habe es hinbekommen. Habe die Vlans am Switch definiert und nicht in der pfSense, scheint jetzt zu laufen.
Scheint...???
Du musst die VLANs natürlich am Pfsense UND am Switch konfigurieren, sonst kann es nicht funktionieren !!
Dieses Tutorial sagt dir mit entspr. Switchkonfigs genau wie es geht:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Der Switch MUSS also ein tagged Uplink Interface (also wo alle VLANs vom Switch tagged drinliegen !) auf den OPT1 Port haben wo die VLANs drauf definiert sind !!
Dann funktioniert es auch problemlos !!
Du musst die VLANs natürlich am Pfsense UND am Switch konfigurieren, sonst kann es nicht funktionieren !!
Dieses Tutorial sagt dir mit entspr. Switchkonfigs genau wie es geht:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Der Switch MUSS also ein tagged Uplink Interface (also wo alle VLANs vom Switch tagged drinliegen !) auf den OPT1 Port haben wo die VLANs drauf definiert sind !!
Dann funktioniert es auch problemlos !!
Ok Danke, werde es versuchen und meine Erfahrungen posten. Kann man eigentlich auf einem Vlan ein Captive Portal für Kunden laufen lassen und auf dem zweiten eine Radiusauthentifizierung für lokale Benutzer durchführen lassen? So dass wenn der Staplerfahrer sich auf seinen mobilen Rechner mit seinem Benutzernamen einloggt automatisch ins Firmennetz kommt?
und
Kann man den Thread irgendwie wieder als "unsolved" markieren?
und
Kann man den Thread irgendwie wieder als "unsolved" markieren?
Das Captive Portal kann nur auf einer Schnittstelle laufen, daher nur das für Kunden oder nur das für die Stapelgablerfahrer.
pfSense bietet aber noch die Möglichkeit, PPTP- und PPPoE-Verbindungen zu terminieren, ebenfalls gegen RADIUS authentifiziert.
pfSense bietet aber noch die Möglichkeit, PPTP- und PPPoE-Verbindungen zu terminieren, ebenfalls gegen RADIUS authentifiziert.
Danke. könntest du mir bitte näher erläutern was das ist und ob ich das in meinem Fall irgendwie einsetzen könnte ? Wäre echt sehr nett. Danke im Voraus!
Oder gibt es eine andere Möglichkeit die Staplerfahrer zu authentifizieren, abgesehen von MAC Adresse un IP ?
Es soll eben ziemlich unkompliziert sein für die Staplerfahrer z.B. wie oben beschrieben, bei der Anmeldung.
Oder gibt es eine andere Möglichkeit die Staplerfahrer zu authentifizieren, abgesehen von MAC Adresse un IP ?
Es soll eben ziemlich unkompliziert sein für die Staplerfahrer z.B. wie oben beschrieben, bei der Anmeldung.
PPTP ist VPN, sprich jeder Staplerfahrer baut eine VPN-Verbindung zum pfSense auf, über die er dann ins Firmennetz kommt. Beim Verbindungsaufbau muss er sich dann mit Benutzername und Passwort anmelden.
Ok Vielen Dank soweit, ich informiere mich, und wenn ich Fragen hab, melde ich mich.
Oder du hängst die Staplerfahrer mit ins GastVLAN/WLAN. Du kannst ihnen eine feste IP Adresse geben und diese Ausnehmen von der HotSpot Authentifizierung aber statt der IP Adresse die Mac Adresse deren Geräte nehmen. So können sie das Gast WLAN mitnutzen müssen sich aber nicht extra authentifizieren.
Wenn sie WLAN Barcode Scanner oder solche Geräte haben geht das so oder so nicht, auch ein PPTP VPN ist damit (vermutlich) nicht möglich !!
Leider klärst du uns über dessen Gerätschaften ja nicht auf so das wir nur raten können
Wenn sie WLAN Barcode Scanner oder solche Geräte haben geht das so oder so nicht, auch ein PPTP VPN ist damit (vermutlich) nicht möglich !!
Leider klärst du uns über dessen Gerätschaften ja nicht auf so das wir nur raten können
Hatte einen Denkfehler und habe es nun so gelöst:
VLan Konfiguration am HP Procurve 1700-24
Vielen Dank für eure Hilfe
VLan Konfiguration am HP Procurve 1700-24
Vielen Dank für eure Hilfe
