Jeg innser at dette vil virke, men det er veldig kronglete og gir ihvertfall meg en uggen følelse. Flott med oppskrifter for all del, men jeg synes kanskje du bør ha med en liten kommentar om at dette er en workaround fordi du ikke har klart å konfigurere pfsense til å gjøre det slik det burde være.
Målet bør være en konfigurasjon der TV-VLANet switches rett gjennom fra Altibox-trunken (fiber) til TV-dekoder-porten(e). Ingen brannmur, ingen DHCP-klient, ingen NAT, ingen routing. Du tar tagget VLAN 101 inn fra fiber-porten og sender VLAN 101 utagget ut på porten(e) mot TV-dekoder. Hverken mer eller mindre. Den eneste modifikasjonen av pakkene er stripping av VLAN tag, og det tar switchen seg av. "switch" kan her utmerket godt være en software-implementasjon, men som nevnt andre steder er det muligens en smule ineffektivt.
Hvis du setter det opp slik så er det helt unødvendig å gjøre noe mer triksing for å få TV til å virke.
Internett-VLANet er det eneste som skal routes til (evt) en brannmur, der man kjører en DHCP-klient mot Altibox og NATer den tildelte adressen til det interne LANet. Brannmurens eksterne interface vil være VLAN 102 utagget. Brannmurens interne interface velger du selv, men det må være noe annet enn VLAN 100, 101 eller 102 dersom VLAN på eksterne og interne porter blir delt. For enkelhets skyld ville vel jeg anbefalt å holde seg unna disse VLANene på innsiden av brannmurem uansett. Da er det færre ting å gå i surr med.
Og valgfritt, hvis du vil ha telefoni, så kan du også definere VLAN 100 tagget ut på en port som du kobler Altibox-routeren til. Den skal da kunne kunne brukes som telefon-adapter.
Jeg kan absolutt ingenting om pfsense, og skal derfor ikke si noe om hva som er mulig der, men generelt er det ingenting i veien for å gjøre det ovenstående på én og samme boks. Det gjelder bare å holde tunga rett i munnen mht hvilken VLAN som skal routes og hvilke som skal switches.
Selv om man gjør det på samme boks, synes ihvertfall jeg at det er enklere å se det for seg om man ser separat på routing og switching.
switch:
Først sørger du for å sette opp korrekt switching (t = tagget, u = utagget).
- portA: fiber uplink (100t, 101t, 102t)
- portB: tv-dekoder (101u)
- (valgfri) portC: Altibox-router for telefon (100t)
- portD: Internett WAN (102u)
router:
Deretter setter du opp router-funksjonaltet mellom Internett WAN og LAN, inkludert alt du ønsker av NAT og brannmur og slikt.
- portD' (wan) <-> brannmur (dhcp, nat, +++) <-> portE (lan)
Dersom de to funksjonene "switch" og "router" kjører på samme boks, så vil "portD" ikke være en fysisk port men et virtuelt VLAN interface. F.eks. "eth0.102" hvis portA er "eth0". Viktig å merke seg ved felles boks er ogåså at portE ikke trenger å ha noe forhold til VLAN. PortE er ekslusivt
innsiden av brannmuren. Hvis du switcher noe fra fiber-porten og hit, så er det jo ikke innsiden lenger. Da er det både innside og utside.
Uavhengig av felles boks eller ikke, så er det alltid kun to interface som skal route noe og som dermed trenger en IP-adresse: portD' (utsiden av brannmuren) vil ha en public DHCP-tildelt adresse. portE (innsiden av brannmuren) vil en statisk addresse i lan-nettet ditt. Ingen andre porter eller interface skal ha noen IP-adresse.
Dette kan selvsagt gjøres uendelig mye mer komplisert med flere forskjellige lan-soner i Internett-branmurdelen (f.eks splitt mellom kablet ogf wifi, gjestenett, osv). Men det endrer ingenting av switchingen.
Switchingen kan også gjøres mer avansert, f.eks. ved å bruke en VLAN trunk til å dele kabel mellom lan (altså innsiden av "Internett") og tv-dekoder. Du vil da fortrinnsvis tagge begge to og bruke en switch et annet sted til å brekke ut de to VLANene. Dette endrer ingenting av routingen. Logisk vil du da flytte portB (TV-dekoder utagget) og portE (lan utagget) ut til en switch ved dekoderen.
Jeg vet ikke om jeg får det så klart frem, men cluet er at kompleksiteten reduseres hvis du ser på routing og switching uavhengig av hverandre i stedet for i en eneste felles smørje.