Hi.
Kurze grundlegende Netzwerkkunde :-)
Grundsätzlich hast du zwei Möglichkeiten:
Bridge
bridge.jpg
Hier hast du kein eigenes Subnetz, sondern hängst deine in das "Hauptnetz". Das ist die einfachste Möglichkeit, weil du dich um keine IP-Adressvergabe und natting kümmern musst. Zugriff von PC1 auf PC2 ist ohne weiteres möglich.
Routing
routing.jpg
Hier baust du dir dein eigenes Subnetz, musst eigene IP-Adressen vergeben und kannst eigene Firewall-Regeln definieren, dass z.B. ein Zugriff aus dem Hauptnetz in dein Netz nicht möglich ist. Damit kommen einige Probleme:
- Du weißt nicht zwangsläufig, welches Hauptnetz verwendet wird. In diesem Beispiel ist das 192.168.178.0/24, wie es z.B. von Fritzboxen vergeben wird. Wenn du deinen Banana Pi nun in ein anderes Netzwerk hängst, kann es sein, dass das Hauptnetz schon 192.168.1.0/24 vergibt und du dein internes Banana-Pi Netz umkonfigurieren müsstest.
- NAT ist immer böse. Es gibt Protokolle wie z.B. SIP, FTP usw., die IP-Adressen in ihren Paketen verschicken. Bei NAT schreibt der Router (in deinem Fall der Banana Pi) die Absenderadresse eines Pakets um. Damit gehen manche Protokolle kaputt. Einfaches Beispiel: PC2 sendet ein Paket mit Absenderadresse 192.168.1.10 an PC1 192.168.178.2. Der Banana-Pi schreibt die Absenderadresse des Pakets in seine eigene um: Absender: 192.168.178.99, Ziel: 192.168.178.2. Antwortpakete müssen dann wieder entsprechend umgeschrieben werden. Abhilfe schafft hier IPv6.
- Ohne Weiteres ist ein Zugriff von PC1 auf PC2 nicht möglich. Der Router leitet alle Pakete, die nicht an sein eigenes Netzwerk 192.168.178.0/24 gehen, ans Internet weiter. Dort gibt es die Adresse von PC2 192.168.1.10 aber nicht. Im Router muss also eine statische Route eingerichtet werden, die sagt: Leite alle Pakete, die an das Subnetz 192.168.1.0/24 gehen sollen an den Banana Pi auf 192.168.178.99 weiter.
Wenn du auf dem Banana Pi einen Dienst laufen lassen möchtest, der im Hauptnetz 192.168.178.0/24 erreichbar ist, genügt es, den Daemon auf das WLAN-Interface zu binden.
---
Mit pfSense habe ich bisher noch nicht gearbeitet. Momentan sehe ich es als eine Art GUI für iptables (bzw. das Pendant dazu von FreeBSD). iptables ist das grundlegende Firewall-Verwaltungstool für den Linux Kernel. Alle anderen Firewall-Programme für Linux verwenden im Hintergrund iptables.
Schreibe einfach nochmal, wenn du Fragen hast. Diese (theoretischen) Vorüberlegungen sind wichtig, um das Netzwerk später konfigurieren zu können.