VLans mit Access Point und pfSense
Guten Tag zusammen, ich arbeite gerade an dem Aufbau einer Wlan Infrastruktur für meine Firma und komme leider nicht weiter. Habe schon diverse Anleitungen von "aqui" studiert und habe dennoch noch Verständnisfragen. Ich hoffe dass mir jemand helfen kann.
Kurz erklärt sollen unsere Staplerfahrer über die Access Points aufs Firmennetz zugreifen können. Desweiteren sollen aber auch Gäste in der Lage sein ins Internet zu gelangen, ohne dass sie Zugriff aufs Firmennetz haben.
Als Captive Portal verwende ich pfSense mit 3 Netzwerkkarten (LAN-> Firmennetz, WAN ist verbunden mit DSLRouter und bekommt von dort eine IP Adresse per DHCP zugewiesen und OPT->zum Testen direkt mit dem Access Point mit einem gekreuztem Kabel verbunden.
Ich verwende zum Testen einen "bintec W1002n" Access Point. Dieser hat 2 SSID's die 2 verschiedenen VLANs zugeordnet sind. (z.B. SSID1 "Stapler" -> VLAN2, und SSID2 "Gast" -> VLAN3).
In pfSense habe ich bei VLANs als "Parent Interface" opt1 genommen und dann die 2 VLANs hizugefügt (VLAN2_Stapler und VLAN3_Gast). Danach habe ich den VLANs eigene IP-Adressbereiche zugewiesen und als TEST auf dem VLAN3_Gast einen DHCP Server eingerichtet, der den Gast Clients eine IP zuweisen soll. Die Config sieht so aus.
EDIT:
DHCP Server auf VLAN3_Gast aktiv -> Ip Range von 192.168.30.10 -> 30.15
Nun zu meinen Fragen .
-Habe ich einen Denkfehler, wenn ich den Access Point direkt mit der pfSense verbinde oder muss da ein Switch dazwischen hängen ?
-Wenn nicht, wieso bekommen dann die Clients, die sich über die Gast-SSID verbinden, keine IP-Adresse zugewiesen?
Wenn ich die VLANs weglasse und meinen Access Point direkt über das OPT interface (auf dem ein DHCP Server und das Captive Portal läuft) verbinde und in der Firewall diese Regel definiere,
bekommen meine clients eine IP zugewiesen und können, nachdem sie den generierten Voucher Code eingegeben haben im Internet surfen.
Ich hoffe dass mir jemand weiterhelfen kann.
Kurz erklärt sollen unsere Staplerfahrer über die Access Points aufs Firmennetz zugreifen können. Desweiteren sollen aber auch Gäste in der Lage sein ins Internet zu gelangen, ohne dass sie Zugriff aufs Firmennetz haben.
Als Captive Portal verwende ich pfSense mit 3 Netzwerkkarten (LAN-> Firmennetz, WAN ist verbunden mit DSLRouter und bekommt von dort eine IP Adresse per DHCP zugewiesen und OPT->zum Testen direkt mit dem Access Point mit einem gekreuztem Kabel verbunden.
Ich verwende zum Testen einen "bintec W1002n" Access Point. Dieser hat 2 SSID's die 2 verschiedenen VLANs zugeordnet sind. (z.B. SSID1 "Stapler" -> VLAN2, und SSID2 "Gast" -> VLAN3).
In pfSense habe ich bei VLANs als "Parent Interface" opt1 genommen und dann die 2 VLANs hizugefügt (VLAN2_Stapler und VLAN3_Gast). Danach habe ich den VLANs eigene IP-Adressbereiche zugewiesen und als TEST auf dem VLAN3_Gast einen DHCP Server eingerichtet, der den Gast Clients eine IP zuweisen soll. Die Config sieht so aus.
EDIT:
DHCP Server auf VLAN3_Gast aktiv -> Ip Range von 192.168.30.10 -> 30.15
Nun zu meinen Fragen .
-Habe ich einen Denkfehler, wenn ich den Access Point direkt mit der pfSense verbinde oder muss da ein Switch dazwischen hängen ?
-Wenn nicht, wieso bekommen dann die Clients, die sich über die Gast-SSID verbinden, keine IP-Adresse zugewiesen?
Wenn ich die VLANs weglasse und meinen Access Point direkt über das OPT interface (auf dem ein DHCP Server und das Captive Portal läuft) verbinde und in der Firewall diese Regel definiere,
bekommen meine clients eine IP zugewiesen und können, nachdem sie den generierten Voucher Code eingegeben haben im Internet surfen.
Ich hoffe dass mir jemand weiterhelfen kann.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 135931
Url: https://administrator.de/forum/vlans-mit-access-point-und-pfsense-135931.html
Ausgedruckt am: 25.12.2024 um 21:12 Uhr
15 Kommentare
Neuester Kommentar
Moin,
du hast nen Fehler in deiner Konfiguration.
Die IP-Adresse des Gast-VLANs ist fehlerhaft. Diese darf an der dritten Stelle, sprich die 100, nicht identisch mit der des Stapler-VLANs sein. Jedes gängige Betriebssystem, auch pfSense, ist der Meinung, dass die beiden Interfaces im gleichen Netzwerk liegen, daher laufen sämtliche Antworten über eine Netzwerkkarte, egal ob es auf dem einen oder anderen Interface eingegangen ist, da es nicht unterscheiden kann, auf welchem Interface die Anfrage eingegangen ist.
du hast nen Fehler in deiner Konfiguration.
Die IP-Adresse des Gast-VLANs ist fehlerhaft. Diese darf an der dritten Stelle, sprich die 100, nicht identisch mit der des Stapler-VLANs sein. Jedes gängige Betriebssystem, auch pfSense, ist der Meinung, dass die beiden Interfaces im gleichen Netzwerk liegen, daher laufen sämtliche Antworten über eine Netzwerkkarte, egal ob es auf dem einen oder anderen Interface eingegangen ist, da es nicht unterscheiden kann, auf welchem Interface die Anfrage eingegangen ist.
Da du erwähnst, dass du Voucher verwendest nehme ich an, dass du pfSense 2.0-BETA verwendest da die Release-Version Voucher noch nicht unterstützt.
Die Beta ist allerdings noch ziemlich fehlerhaft. Also könnten noch mehrere Probleme auf dich zukommen.
Die Beta ist allerdings noch ziemlich fehlerhaft. Also könnten noch mehrere Probleme auf dich zukommen.
Scheint...???
Du musst die VLANs natürlich am Pfsense UND am Switch konfigurieren, sonst kann es nicht funktionieren !!
Dieses Tutorial sagt dir mit entspr. Switchkonfigs genau wie es geht:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Der Switch MUSS also ein tagged Uplink Interface (also wo alle VLANs vom Switch tagged drinliegen !) auf den OPT1 Port haben wo die VLANs drauf definiert sind !!
Dann funktioniert es auch problemlos !!
Du musst die VLANs natürlich am Pfsense UND am Switch konfigurieren, sonst kann es nicht funktionieren !!
Dieses Tutorial sagt dir mit entspr. Switchkonfigs genau wie es geht:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Der Switch MUSS also ein tagged Uplink Interface (also wo alle VLANs vom Switch tagged drinliegen !) auf den OPT1 Port haben wo die VLANs drauf definiert sind !!
Dann funktioniert es auch problemlos !!
Oder du hängst die Staplerfahrer mit ins GastVLAN/WLAN. Du kannst ihnen eine feste IP Adresse geben und diese Ausnehmen von der HotSpot Authentifizierung aber statt der IP Adresse die Mac Adresse deren Geräte nehmen. So können sie das Gast WLAN mitnutzen müssen sich aber nicht extra authentifizieren.
Wenn sie WLAN Barcode Scanner oder solche Geräte haben geht das so oder so nicht, auch ein PPTP VPN ist damit (vermutlich) nicht möglich !!
Leider klärst du uns über dessen Gerätschaften ja nicht auf so das wir nur raten können
Wenn sie WLAN Barcode Scanner oder solche Geräte haben geht das so oder so nicht, auch ein PPTP VPN ist damit (vermutlich) nicht möglich !!
Leider klärst du uns über dessen Gerätschaften ja nicht auf so das wir nur raten können