Un access point dotato di supporto al tagging VLAN, come lo Zyxel NWA50AX AX1800, consente di accedere alle risorse di una specifica VLAN tramite connessione wireless, mantenendo la corretta segmentazione del traffico.

Dovremmo quindi:

  • Creare la VLAN 20 (WLAN) sia sul firewall che sullo switch. Questa VLAN sarà dedicata alla connessione wireless dei vari dispositivi
  • Successivamente, occorre definire le regole di firewall per consentire l’accesso a Internet e la comunicazione tra la VLAN 20 (WLAN) e la VLAN 10 (LAN)
  • Sulla VLAN 20 deve essere abilitato il DHCP
  • La porta 16 dello switch deve essere in trunk, in modo da consentire il transito del traffico relativo alla VLAN 5 (Management), necessaria per accedere alla dashboard di configurazione dell’access point, e alla VLAN 20, destinata al traffico dei dispositivi wireless
  • Infine, è richiesta la configurazione dell’access point, che avrà indirizzo IP di gestione 10.0.5.20

La situazione finale dovrebbe essere simile alla seguente:

ap-wlan

OPNsense

Creazione della VLAN 20

Una volta effettuato il login sul firewall, da Interfaces > Devices > VLAN creare la VLAN 20, con parent sempre vtnet1:

wlan

Successivamente, da Interfaces > 20_WLAN, abilitare la VLAN 20, che avrà indirizzo di rete 10.0.20.0/24 (il gateway¸come da specifiche, ha indirizzo IP 10.0.20.254):

enable-wlan

Da Services > Dnsmasq DNS & DHCP > General abilitare il DHCP, specificando un range come 10.0.20.51 - 10.0.20.249.

Firewall rules

Ora dobbiamo creare le seguenti regole di firewall, che consentono ai device di navigare in Internet e di raggiungere tutti gli host della VLAN 10 (LAN):

wlan-rules

Switch

La porta 16 dello switch deve essere abilitata e impostata con PVID pari a 5, in quanto destinata a fungere da porta di management per l’accesso all’interfaccia di configurazione dell’access point.

port-setting

Bisogna quindi creare la VLAN 20 sullo switch, con la porta 16 in trunk per le VLAN 5 e 20, come da immagine:

wlan-switch

Access Point

1
2
3

Default IP: 192.168.1.2
User:admin
password: 1234

Per accedere alla dashboard di configurazione, è necessario assegnare un indirizzo IP statico nella subnet 192.168.1.0/24 alla scheda wireless del proprio computer. Questo può essere fatto tramite il seguente comando sudo ip address add 192.168.1.3/24 dev wlp4s0.

Collegarsi quindi alla rete Zyxel e loggarsi alla pagina http://192.168.1.2 con le credenziali di default.

La configurazione iniziale é molto semplice:

  • Selezionare la modalità Standalone Mode, in quanto non si intende gestire l’access point tramite la console cloud, ma direttamente tramite l’interfaccia locale

standalone-mode

  • Assegnare l’indirizzo IP statico 10.0.5.20 all’interfaccia di management (uplink) dell’access point

ap-static-ip

  • Configurare una nuova rete wireless (WLAN), associandola alla VLAN 20

ssid-profile

Impostare VLAN MNG

Di default, il traffico di gestione sulla porta Ethernet dell’access point non è taggato. Per consentire l’accesso alla dashboard di configurazione, è necessario collegare temporaneamente l’access point a una porta in access sulla VLAN 5 (porta 2). Questo permette al PC, connesso a una porta in access sempre sulla VLAN 5 (porta 3), di raggiungere l’indirizzo di gestione 10.0.5.20 dell’access point.

Se l’access point venisse collegato direttamente alla porta 16 (trunk), l’indirizzo di gestione non sarebbe raggiungibile, anche se la rete wireless continuerebbe a funzionare correttamente, in quanto il traffico taggato per la VLAN 5 verrebbe scartato.

Per garantire che il traffico di gestione sia correttamente contrassegnato con l’ID VLAN 5, dalla sezione Configuration > Network > Vlan deselezionare l’opzione As Native VLAN. Deselezionando l’opzione, il traffico di gestione viene taggato, consentendo la corretta identificazione e instradamento del traffico di management.

as-native-vlan-ap

Una volta applicate le modifiche e collegato l’access point alla porta 16 dello switch, la connettività tra le reti dovrebbe funzionare come previsto. Da un PC connesso alla VLAN 10 (LAN), con indirizzo IP 10.0.10.50, è possibile pingare uno smartphone connesso all’AP con IP 10.0.20.203. È necessario che siano state configurate le apposite regole di firewall per consentire il traffico tra le due VLAN.

lan-wlan-communication

Ora é possibile anche creare una VLAN 60 WGUEST, sul firewall, sullo switch e sull’AP, per consentire solo l’accesso alla rete Internet ai dispositivi wireless non fidati.

Configurazioni varie

  • Disattivare dalla dashboard l’opzione Nebula Discovery
  • Da Configuration > System > WWW abilitare HTTPS, disattivando HTTP per la connessione all’interfaccia di gestione

enable-https

  • Sempre dalla sezione Configuration > System impostare un hostname e un dominio, e disattivare i servizi SSH e FTP, non necessari

Si consiglia di aggiornare il firmware all’ultima versione da Maintenance > File Manager > Firmware Package.

firmware-upgrade

Riferimenti