Russian

pfSense OpenVPN маршрутизация трафика от шлюза

miwka77 — Fri, 06 Feb 2026 07:38:20 GMT

Приветствую. Имею рабочий туннель. С одной стороны сам Сенс 2.7.2, с другой набор подсетей за микротиком (админю не я).
Имею желание настроить редирект dns определенного домена на dns-сервер, который находится за микротом.
Мешает то, что сам pfSense при обращении в подсеть за Микротиком, лезет туда из интерфейса ovpns2 (шлюз для данного ovpn-соединения), и так пинги не идут; если же я пингую нужный хост с интерфейса LAN, то все работает.
Есть ли способ заставить работать? При необходимости, могу дать схему, но вроде как все понятно.
Заранее спс

SWAP 100%, течёт память... Прошу помощи!

tty1 — Thu, 08 Jan 2026 15:06:47 GMT

Прошло уже достаточно времени, чтобы сделать выводы. Наверное уже можно отписаться в теме ("для потомков") - вдруг кто столкнётся...) Если кратко, то проблема была в pfBlockerNG (но не связана с TDL, как часто гуглилось). В очередной раз выхватив ситуацию с забитым swap, посмотрел через top с соответствующей сортировкой и увидел такую картину: RES SWAP STATE C TIME WCPU COMMAND 24M 15M select 3 0:28 0.00% php 4096B 1760K wait 1 0:00 0.00% 4096B 1760K wait 2 0:00 0.00% 4096B 1760K wait 1 0:00 0.00% 4096B 1760K wait 3 0:00 0.00% 4096B 1760K wait 2 0:00 0.00% 4096B 1760K wait 3 0:00 0.00% 4096B 1760K wait 2 0:00 0.00% 4096B 1760K wait 3 0:00 0.00% 4096B 1760K wait 3 0:00 0.00% 4096B 1760K wait 3 0:00 0.00% 4096B 1760K wait 0 0:00 0.00% 4096B 1760K wait 0 0:00 0.00% 4096B 1760K wait 1 0:00 0.00% 4096B 1760K wait 3 0:00 0.00% ...и вниз листать - не перелистать! Задумался, что бы это могло быть и вспомнил, что в последнее время постоянно вижу такую картину в разделе pfBlockerNG - Update [image: cron-pf.png] Каждый час запускается задача на обновление и никогда не завершается. В логах видно, что процесс просто зависает при скачивании какого-либо фида (абсолютно произвольно, ты его отключаешь - он на другом может встать): [ Abuse_SSLBL_v4 ] Downloading update [ 03/2/26 20:59:13 ] .. 200 OK. completed .. Empty file, Adding '127.1.7.7' to avoid download failure. ------------------------------ Original Master Final ------------------------------ 0 0 0 [ Pass ] ----------------------------------------------------------------- [ CINS_army_v4 ] Downloading update . Что интересно, проблема наблюдается у одного конкретного провайдера (о чем я писал - там даже внешние IP адреса все в одной /24 подсети оказались). Сначала для проверки гипотезы пустил обновление через зарубежный VPN - сразу все прошло удачно. После чего написал зеркало обновлений фидов (оказалось очень полезным написать такую штуку: заодно выявил кучу "пустых", "проблемных" фидов, или тех, которые уже давным-давно заброшены и не обновляются). Прописал на всех pfSense обновление со своего зеркала и вот уже больше месяца проблемы нигде не наблюдаю! Что за баг с обновлением вылез предположить даже не могу (в том плане, какого лешего он не отваливается по таймауту и висит вечно?).

Sing-box как альтернатива связки x2ray + tun2socks

Сергей 3 — Thu, 25 Dec 2025 07:28:33 GMT

Связку x2ray + tun2socks я нашёл на форуме opnSense.
x2ray - создаёт впн туннель со входом прокси socks. А tun2socks создаёт интерфейс с выходом в этот туннель. Но мне не очень понравилось цепочка из нескольких звеньев. Здесь необходимо следить за двумя службами/сервисами.
При при знакомстве с этой цепочкой наткнулся на sing-box. У которого есть установщик для pfSense. (там и для opnSense есть установщик). Установщик интегрирует управление сервисом sing-box в web интерфейс. Через web интерфейс можно редактировать конфигурационный файл. Правда в установщике все пояснения на китайском. Но нормальный ИИ запросто переведёт все файлы на русский. (Можете взять переведённые тут).
Отслеживаю работу службы/сервиса по наличию интерфейса туннеля. Пока служба/сервис sing-box запущен интерфейс есть, если не запущен, то интерфейса туннеля нет. Что положительно скажется при обновлении pfSense.
И нашёл офлайн генератор конфигов для sing-box и xray

Как скачать pfsense 2.8.0?

deep647 — Thu, 17 Jul 2025 19:07:59 GMT

@werter Благодарю за ссылки! Поток негатива на netinstaller уже пошёл. Задушат pf CE походу...

PPPOE+IPV6

werter — Sat, 12 Apr 2025 06:45:05 GMT

Добрый @mr_curator Узнайте у провайдера каким образом они ipv6 выдают. Выдавать можно не только по dhCp.

Не получается настроить несколько белых IP на WAN интерфейс.

werter — Wed, 26 Feb 2025 08:41:20 GMT

@st-larr Добрый. Вы забыли правила NAT для вирт. IP нарисовать.

Open VPN+FreeRadius+2MFA

XANT — Wed, 12 Feb 2025 04:39:21 GMT

Добрый день.
Помогите пожалуйста разобраться с задачей.
Необходимо поднять OpenVPN с возможностью использовать свой сгенерированный пароль + 2МФА Google Authenticator.
PFSense: Version - 2.7.2-RELEASE
Не могу найти документации, видео или инструкции, где бы пошагово описывалось как это сделать на PFSense.
То что есть, это реализация через FreeRadius с использованием одноразового пароля, а проще сказать PIN - кода, который должен содержать от 4 до 8 цифр.
Для безопасного подключения, а следовательно для безопасности пользователей это не хорошо. Я не могу заставить сервер FreeRadius работать с 2МФА Google Authenticator с моим паролем "буквы, цифры, спец символы".
На данный момент работает схема или обычное подключение Логин+Мой Пароль, или схема Логин+Пин Код "от 4 до 8 цифр"+ Google Authenticator.
Но мне необходима реализация именно своего пароля.
На обычном сервере Ubuntu мне такую схему удалось реализовал достаточно быстро. И работает всё через PAM (Pluggable Authentication Module). но я не имею того удобства и функционала который предусматривает PFSense.
Если кто то сможет помочь и ткнуть носом, на что обратить внимания, буду очень благодарен.
Пробовал пользоваться отладкой и чтением журналов и т.п. и т.д. Не помогло. Необходимо хотя бы понимать какие настройки необходимо делать и где что смотреть.
Т.к. при схеме с Пин-кодом, на которой всё работает, используется БД по протоколу РАР и пароль передаётся как текст. Что не очень безопасно. Но работает.
Какой протокол на FreeRadius необходимо использовать при схеме со своим паролем и т.д.
Заранее благодарен.

Proxmox Windows Zfs

Petrenko — Fri, 07 Feb 2025 08:17:38 GMT

А есть статья по тому, как улучшить IO для Windows?
В Proxmox где находится образ винды в ZFS

Удаленный доступ

rk581 — Fri, 31 Jan 2025 18:20:55 GMT

Здравствуйте всем поможете с одним вопросом для чайника
Как можно удаленно войти в pfsense версии 2.7.0 находясь в другой сети? Если кто-то понимает можете подробнее описать это. Спасибо заранее благодарю за ответ.

Какой dual или quad NIC 2.5 Gbit гарантированно работает на PFSENSE 2.7.2-RELEASE

GarryTom — Fri, 10 Jan 2025 21:24:38 GMT

В общем беру свои слова обратно по поводу этого адаптера. Работает как положено. Виноват был PCI разъем, переставил в другой - все залетало.

Расскажите как решили данный вопрос? Проблема почти аналогичная.

MHsplinter — Sun, 05 Jan 2025 13:43:50 GMT

Расскажите как решили данный вопрос? Проблема почти аналогичная. Надо пробросить порт фтп.

Помогите с реением, такая же проблема.

MHsplinter — Sun, 05 Jan 2025 11:01:02 GMT

Надо пробросить порт, фтп в сеть впн. Никак не могу разобраться.

pfblockerng - DNSBL (Unbound mode) is out of sync

tty1 — Fri, 03 Jan 2025 10:29:09 GMT

Всем привет.
pfBlockerNG 3.2.0_8, появилось предупреждение DNSBL (Unbound mode) is out of sync.

Проблема в общем-то не новая совершенно, ранее не раз сталкивался с подобным на других установках pfSense, помогало банально Force Reload для DNSBL.
Сейчас не могу победить. Пробовал Force Reload/Update, предварительно снимал галку General -> Keep Settings, после чего перезапускал сам pfBlockerNG, возвращал галку обратно, затем Force Update - предупреждение появляется снова.
В логах обновлений по OUT OF SYNC грепается следующее (абсолютно неинформативно в плане диагностики):

Saving DNSBL statistics... completed [ 01/3/25 12:47:13 ]
------------------------------------------------------------------------
Assembling DNSBL database...... completed [ 01/3/25 12:47:18 ]
Stopping Unbound Resolver..
Unbound stopped in 3 sec.
Starting Unbound Resolver... completed [ 01/3/25 12:47:38 ]
*** DNSBL update [ 2607610 ] [ 2607609 ] ... OUT OF SYNC ! *** [ 01/3/25 12:47:54 ]
------------------------------------------------------------------------

Дублирующихся Headers нет, Wildcard Blocking (TLD) отключен.
Если удаляю лог-файл (pfblockerng.log) - предупреждение исчезает, но это не решение... После обновления появляется снова.

Что еще проверить, куда смотреть?

Шлюз закрыл доступ к 443 порту извне

Konstanti — Thu, 26 Dec 2024 06:50:19 GMT

@svjat-orb said in Шлюз закрыл доступ к 443 порту извне: доступа нет Здравствуйте попробуйте поменять порт веб интерфейса PF с 443 на что-нибудь другое После этого настройте проброс портов заново

Клиенты VPN peer-to-peer не видят сеть за сервером.

Konstanti — Thu, 19 Dec 2024 09:35:48 GMT

@rline said in Клиенты VPN peer-to-peer не видят сеть за сервером.: FreeBSD rout add command failed: Думаю , что тут есть ответы на Ваши вопросы про ошибку OpenVpn при добавлении нового маршрута в таблицу маршрутизации https://forum.netgate.com/topic/71110/freebsd-route-add-command-failed-external-program-exited-with-error-status-1/2 а так , судя по всему , у Вас сервер ничего не знает про клиентскую сеть 172.16.113.0/24 , поэтому рекомендую проверить таблицы маршрутизации с обеих сторон туннеля

Обновление 2.6.0 до 2.7.0

Konstanti — Wed, 11 Dec 2024 02:03:03 GMT

@Ilyuha Подключитесь к PF через последовательный порт , тогда сможете увидеть , что происходит в момент сбоя и скопировать для анализа , очень интересен стек вызовов , когда система "падает"

Низкая скорость сетевых интерфейсов

Konstanti — Tue, 22 Oct 2024 08:47:35 GMT

@werter В догонку еще можно добавить , что GPON предполагает появление еще одного устройства на пути пакета . Получится ли это устройство перевести в режим моста , вопрос остается открытым . Если сейчас у ТС подключение через Ethernet кабель , я бы лично не стал бы отказываться от него .... Если есть тут возможность увеличить скорость канала ( даже не так значительно в цифрах) , я бы рассмотрел бы этот вариант в первую очередь торрентами можно забить любой канал , да и серверу с PF ,возможно , что придется несладко при увеличении нагрузки ....

Нужно уменьшить количество физических портов.

werter — Thu, 03 Oct 2024 15:57:38 GMT

@Spics Добрый. Попробуйте обратиться в ТП прова по выбору железки и на форумах типа nag.ru поспрашивать.

IKEv2+radius AD+CA+MacOS

Konstanti — Wed, 18 Sep 2024 10:08:59 GMT

@nzlv Как я Вам говорил , используйте Apple Configurator для таких настроек . Все четко и наглядно (у Вас несовпадение комбинации настроек фазы 1 ) Для примера фаза 1 PF / Apple Configurator [image: 1726689665330-6a6ae4a9-1ddb-41dc-9e0d-f56e855490b6-image-resized.png] [image: 1726689713783-68bf900b-c05c-48e6-847a-7d4592a5933a-image.png] все совпадает , фаза-2 аналогично и соединение успешно устанавливается Вы используете стандартного клиента Apple , который использует свои собственные настройки фазы-1 / фазы-2 , и эти настройки просто не совпадают с Вашими

При p2p не могу пинговат с сервера на клиент, почему?

werter — Fri, 06 Sep 2024 21:49:15 GMT

@dimskraft Это ОЧ частая "проблема". Ее решение прекрасно описано в офиц. доке.

Настройка перенаправления портов

werter — Tue, 27 Aug 2024 13:45:20 GMT

Добрый @bigggie Загулить по splitdns + pfsense

Параметры pfSense OVPN для клиента Keenetic Ultra

CapitanBlack — Fri, 23 Aug 2024 16:06:35 GMT

@werter said in Параметры pfSense OBPN для клиента Keenetic Ultra: Добрый @CapitanBlack Обратитесь к своему провайдеру с этим вопросом. Заодно и хабр почитайте про ситуацию с ovpn в РФ. Много "нового" для себя узнаете. Да, я наслышан о ситуации. Как оказалось, на некоторых российских провайдерах, этот же OpenVPN сервер работает прекрасно. Решил проблему настройкой WireGuard между Кинетиком и pfSense. Работает отлично.

VPN через VPN

k0st1k — Thu, 22 Aug 2024 12:11:01 GMT

Понимал что ответ лежит на поверхности. В конечном итоге малость пересмотрел схему. Сделал GRE тунель до VPS. И навесил правило маскарадинга для интерфейса oVPN сервера. Все работает исправно. [image: 1724648981017-a7e5b4a2-6ee2-4b43-a081-2bf13e0f431a-%D0%B8%D0%B7%D0%BE%D0%B1%D1%80%D0%B0%D0%B6%D0%B5%D0%BD%D0%B8%D0%B5.png]

проброска адресов между сетями

lokisuka — Thu, 15 Aug 2024 13:20:38 GMT

здравствуйте, у меня есть две независимые сети и гипервизор с двумя интерфейсами. На гипервизоре установлен pfsence.
Нужно нескольким устройствам из первой сети дать адреса во второй (в соответствующем адресном диапазоне). Нужно чтобы пользователи второй сети имели доступ к принтерам первой. Маршрутизация не вариант, так как нет доступа к маршрутизатору первой сети.
Как я понял это делается через nat 1:1, но видимо что-то нужно сделать еще, а вот что не понятно (правило разрешающее все на интерфейсах wan и lan создал, пробовал создавать виртуальные адреса, но они как я понял всегда ссылаются на сам pfsence).

Доступ к pfsense через WAN

Konstanti — Tue, 13 Aug 2024 09:37:30 GMT

@komok Здравствуйте не рекомендовал бы открывать доступ к сервисам через WAN . Если у Вас есть OpenVpn сервер на PF , то через него и подключайтесь к PF