我正在使用 pfSense 作为 Internet 路由器。到目前为止,我还没有使用过 wifi 适配器(它存在但已禁用)。我只使用一个以太网端口作为内部接口。对于 wifi,我有一个单独的接入点。
现在我想在我的 pfSense 盒子中使用内置的 wifi 适配器。(我知道不鼓励这样做,但我相信反对的论点都与我的用例无关。)
概述我的想法:
- 将 wifi 适配器配置为接入点,但没有自己的 IP 配置 – 完成
- 为两个内部接口(eth 和 wifi)配置一个网桥并为其创建一个新接口 - 完成
- 设置系统可调参数以过滤网桥上的网桥流量,而不是其成员接口 - 完成
- 将 IP 配置和规则从内部 eth 接口移动(或复制)到网桥
- 为网桥添加规则,以便流量可以在 eth 和 wifi 之间通过
我在第四步卡住了:当我尝试从我的子网分配一个 IP 地址到网桥时,我收到一个错误,因为地址或范围与 eth 接口上的地址或范围重叠——我最终打算删除它,但直到我已经启动并工作了桥接接口。
如何将 IP 配置(可能还有规则)从其成员之一移动到网桥接口?(此外,还有无法编辑的自动反锁定规则:我如何告诉 pfSense 这应该在网桥上进行,而不是在其成员接口之一上进行?)
使用网桥作为内部接口设置起来有点高级,最好在最初设置系统时完成(因为如果出现问题更容易返回),但也可以在之后完成。
这里要注意的是:确保您有系统备份,以防出现问题。至少,导出您的配置并保存。更好的是,创建磁盘的完整映像,以便您始终可以返回到与之前完全相同的系统配置。
我在 OPNsense 上做了以下步骤;他们也应该与 pfSense 一起工作。步骤大致基于官方 OPNsense 文档。
在切换期间,您将需要一个额外的空闲(未分配)以太网接口。我们假设您的 LAN 接口
LAN在 Interface Assignments 中命名,这是设置期间分配的默认名称,但以后可以随时更改。在接口分配中,选择未使用的以太网接口作为
LAN接口,并保存。从旧 LAN 接口拔下以太网电缆,然后将其插入临时接口。确保您仍然可以从工作站访问 Web GUI。配置网桥,确保将以前(和将来)的 LAN 端口添加为成员接口。根据需要将其他端口添加到网桥。
您可能需要进入 System Tunables(OPNsense 在 System > Settings > Tunables 下有它们)并设置
net.link.bridge.pfil_bridge为 1 和net.link.bridge.pfil_member0。这将导致 pfSense/OPNsense 在网桥接口上过滤网桥流量,而不是在其成员接口上。(我已经以这种方式配置了我的系统,但可能不需要。)回到接口分配中,选择新的网桥作为
LAN接口。从临时端口拔下 LAN 电缆并将其插入新 LAN 网桥上的任何以太网端口。您现在有一个网桥作为您的内部接口。例如,这允许您在设备上配置 wifi 接入点,并为 wifi 和内部以太网端口分配一个 IP 地址。
请注意,pfSense/OPNsense 会过滤网桥接口上的所有流量。如果您想启用网桥上不同端口之间的通信(例如,以太网上的机器和连接到同一网桥上 wifi 接入点的机器之间),您需要添加规则。
恕我直言,这很麻烦;我已经为 OPNsense 打开了issue 5604,希望在未来的某个版本中这会更容易。