Chia VLAN cho Guest, giới hạn tốc độ, thiết lập Captive Portal.

Xem qua loạt bài viết hướng dẫn cấu hình OPNsense tại đây

Chia VLAN cho mạng khách là cách để ta có thể dùng 1 Port LAN để chia thành 2 đường truyền riêng biệt áp dụng cho các Router có số Port hạn chế (Router nhà mình có 2 Port, 1 LAN và 1 WAN). Ví dụ nếu ta muốn phát Wifi Free cho khách nhưng lại muốn hạn chế tốc độ tối đa cho khách, tách biệt với đường truyền chính, đưa máy khách vào 1 DHCP server riêng để dễ quản lý hoặc các quán cafe muốn khách phải truy cập vào một trang giới thiệu (Captive Portal) mới có thể tiếp tục truy cập mạng (Để quảng cáo sản phẩm, giới thiệu …).

  • Để dùng được VLAN thì thiết bị phát WIFI + Firmware thiết bị cũng phải hỗ trợ thiết lập VLAN cho Guest (OpenWRT, PandoraBox, DDWRT…)
    Login Captive Portal
    OPNSense Captive Portal

Thêm VLAN

  • Vào Interfaces > Other Types > VLAN nhấn vào nút Add để thêm VLAN mới.
Mục Chọn Ghi chú
Parent interface re0 [LAN] Ở mục này các bạn chọn Port cần thêm VLAN. Thông router phải có tối thiểu 2 port. nếu port 1 là WAN thì ta chọn port 2 (LAN) và ngược lại.
VLAN Tag 10 Chọn số VLAN. (vd: 10)
VLAN priority (0, default) Tuỳ theo mục đích sử dụng của VLAN mà chọn cho phù hợp. Nếu không chắc thì để mặc định
Description Guest NET Thêm mô tả (vd: Guest NET…)

Nhấn SAVE để lưu lại.

Assignmets

  • Tiếp theo, vẫn là mục Interfaces > Assignments
    • Ở dòng New interface > Chọn VLAN vừa mới thêm lúc nãy vlan 10 on re0 (Guest NET)
    • Dòng Desctiption đặt tên cho Interface mới. vd: GUESTNET
  • Thiết lập cho Interface vừa thêm
    • Tại mục Interfaces > Chọn GUESTNET (Tên vừa đặt ở trên)
    • Chọn Enable Interface, điền tương tự như sau
Mục Chọn Ghi chú
Block Private networks Bỏ Tick
Block Bogon networks Bỏ Tick
IPv4 Configuration Type Static IPv4
IPv6 Configuration Type None
MAC Để trống
MTU Để trống
MSS Để trống
Speed and Duplex Default Có thể chọn tốc độ tối đa nếu muốn.
Static IPv4 Address 192.168.x.1/24 IP mặc định OPNSense là 192.168.1.1 thì ta chọn x trong khoảng từ 2 > 254. vd: 192.168.100.1 …
IPv4 Upstream Gateway Auto-detect

Nhấn SAVE để lưu lại.

Cấu hình DHCP server cho GUEST

  • Vào mục Services > DHCPv4 > [GUESTNET]
Mục Chọn Ghi chú
Enable Tick
Range 192.168.100.2 - 192.168.100.254 Chọn khoảng IP muốn cấp cho Guest. vd: từ 192.168.100.100 > 192.168.100.254 sẽ chứa tối đa 154 client
DNS Server 192.168.100.1
Gateway 192.168.100.1

Cấu hình tường lửa cho mạng Khách

  • Vào mục Firewall > Rules > GuestNET thêm các Rule như sau

Allow DNS - Cho phép mạng khách sử dụng máy chủ chuyển tiếp DNS

Mục Chọn Ghi chú
Action PASS
Interface GUESTNET
Protocol TCP/UDP
Source GUESTNET net
Destination GUESTNET Address
Destination port range DNS/DNS
Category GuestNet Basic Rules
Description Allow DNS

Nhấn SAVE

Allow Captive Portal Login - Cho phép Truy cập trang Captive Portal

Mục Chọn Ghi chú
Action PASS
Interface GUESTNET
Protocol TCP
Source GUESTNET net
Destination GUESTNET Address
Destination port range 8000/10000
Category GuestNet Basic Rules
Description Allow Captive Portal Login

Nhấn SAVE

Chặn mạng khách truy cập vào mạng chính

1.

Mục Chọn Ghi chú
Action Block
Interface GUESTNET
Protocol any
Source GUESTNET net
Destination LAN Net
Category GuestNet Basic Rules
Description Block Local Networks

Nhấn SAVE

Mục Chọn Ghi chú
Action Block
Interface GUESTNET
Protocol any
Source GUESTNET net
Destination GUEST Address
Category GuestNet Basic Rules
Description Block Firewall Access Chặn mạng khách truy cập vào Tường Lửa

Nhấn SAVE

Allow Guest Networks

Mục Chọn Ghi chú
Action Pass
Interface GUESTNET
Protocol any
Source GUESTNET net
Destination any
Destination port range any
Category GuestNet Basic Rules
Description Allow Guest Network

Nhấn SAVEApply changes

  • Sau khi hoàn tất, màn hình sẽ tương tự như ảnh
    GuestNET Firewall Rules
    GuestNet Firewall Rules

Cấu hình Captive Portal

  • Vì bài viết đã khá dài nên bài hướng dẫn cấu hình Captive Portal sẽ được chia ra làm bài riêng Tại đây
Nếu bài viết giúp ích cho bạn
Ủng hộ mình cốc cafe nhé...
momo QR Code
viettelpay QR Code