Russian

Your browser does not seem to support JavaScript. As a result, your viewing experience will be diminished, and you have been placed in read-only mode.

Please download a browser that supports JavaScript, or enable it if it's disabled (i.e. NoScript).

V

Полезные статьи на Хабре

• • viktor_g

1

4
Votes

1
Posts

4.0k
Views

No one has replied
J

PfSense® software translations with Zanata

• • jwt

1

0
Votes

1
Posts

6.6k
Views

No one has replied
R

PfSense: порядок прохождения пакетов

• • rubic

9

1
Votes

9
Posts

26.0k
Views

M

Большое спасибо за пост!
D

Правила форума и рекомендации

• • dvserg

2

2
Votes

2
Posts

19.4k
Views

D

Уважаемые коллеги, при создании темы просьба обеспечить наличие следующей информации:

1. Описать кратко и понятно проблему.
2. Приложить изображение схемы сети.
3. Приложить необходимые скриншоты интерфейса pfsense: правила, логи, настройки.
D

Благодарность разработчикам PfSense от нас с ва

• • DasTieRR

31

0
Votes

31
Posts

52.1k
Views

D

@Evgeny:

Негусто, господа, однако… :( Как-то даже стрёмно переводить "от рашн коммунити", DasTieRR & Pomaskin, это будет от вас.

угу, поржут с нас только :( а ведь эта штуковина многим из нас облегчила жизнь…
E

DHCP + PPTP on WAN

• • Eugene

402

0
Votes

402
Posts

414.5k
Views

V

@werter said in DHCP + PPTP on WAN:

Добрый.
У Билайна есть особенность - ip-адрес его pptp-сервера может меняться при каждом подключении.
Скрины настроек lan + wan + pptp. Также скрины настроек dns.

Зы. Свяжитесь с ТП Билайна. Возможно что у них есть и др. типы подключения (ipoe, pppoe, dhcp etc).

Рабочий патч для PPTP/L2TP на DHCP WANе есть в https://forum.netgate.com/topic/164614/pfsense-2-4-5-p1-l2tp-server-ip-resolve-from-fqdn-during-boot-issue
D

FAQ - ссылки на популярные темы

• • dvserg

17

0
Votes

17
Posts

130.2k
Views

D

Локализация в 2.1

1. Скачать PO файл с сайта
2. Скомпилировать его в MO файл программой
3. Поместить полученный MO файл в /usr/local/share/locale/ru/LC_MESSAGES
4. Добавить поддержку языка в /etc/inc/pfsense-utils.inc
function get_locale_list() { $locales = array( "en_US" => gettext("English"), "pt_BR" => gettext("Portuguese (Brazil)"), "ru_RU" => gettext("Russian"), ); asort($locales); return $locales; }
5. Поправить кодировку в /usr/local/www/head.inc
S

IPtv multicast

• • Shraik

270

0
Votes

270
Posts

330.6k
Views

W

Люди добрые подскажите по настройкам Ростелеком
igmpproxy: Warn: The source address 213.140.243.39 for group 233.3.3.35, is not in any valid net for upstream VIF. Apr 24 16:15:57 igmpproxy: Warn: The source address 213.140.243.53 for group 233.3.4.192, is not in any valid net for upstream VIF. Apr 24 16:15:59 igmpproxy: Warn: The source address 213.140.243.39 for group 233.3.3.35, is not in any valid net for upstream VIF. Apr 24 16:17:38 igmpproxy: Warn: select() failure; Errno(4): Interrupted system call Apr 24 16:17:38 igmpproxy: Note: Got a interupt signal. Exiting. Apr 24 16:17:38 igmpproxy: Note: All routes removed. Routing table is empty. Apr 24 16:17:38 igmpproxy: Note: adding VIF, Ix 0 Fl 0x0 IP 0x3200a8c0 ae0, Threshold: 1, Ratelimit: 0 Apr 24 16:17:38 igmpproxy: Note: adding VIF, Ix 1 Fl 0x0 IP 0x01000001 dc0, Threshold: 1, Ratelimit: 0 Apr 24 16:17:38 igmpproxy: Note: joinMcGroup: 224.0.0.2 on ae0 Apr 24 16:17:38 php: /services_igmpproxy.php: Started IGMP proxy service. Apr 24 16:18:10 igmpproxy: Warn: The source address 85.94.1.17 for group 224.2.2.2, is not in any valid net for upstream VIF. Apr 24 16:18:44 igmpproxy: Note: New origin for route 233.3.3.40 is 213.140.243.51, flood -1 Apr 24 16:18:50 igmpproxy: Warn: age_table_entry: SIOCGETSGCNT failing for (213.140.243.51 233.3.3.40); Errno(49): Can't assign requested address Apr 24 16:18:50 igmpproxy: Note: Removing MFC: 213.140.243.51 -> 233.3.3.40, InpVIf: 1 Apr 24 16:18:50 igmpproxy: Warn: MRT_DEL_MFC; Errno(49): Can't assign requested address Apr 24 16:19:02 igmpproxy: Warn: The source address 85.94.1.17 for group 239.77.79.84, is not in any valid net for upstream VIF. Apr 24 16:19:04 igmpproxy: Warn: The source address 85.94.1.17 for group 239.77.79.84, is not in any valid net for upstream VIF. 16:21:03.562422 IP 85.94.1.17.22224 > 224.2.2.2.22224: UDP, length 1068 16:21:03.562829 IP 85.94.1.17.22222 > 224.2.2.2.22222: UDP, length 300 16:21:03.562848 IP 85.94.1.17.22222 > 224.2.2.2.22222: UDP, length 255 16:21:03.565593 IP 85.94.1.17.22224 > 224.2.2.2.22224: UDP, length 1068 16:21:03.568043 IP 85.94.1.17.22222 > 224.2.2.2.22222: UDP, length 148 16:21:03.568734 IP 85.94.1.17.22224 > 224.2.2.2.22224: UDP, length 1068 16:21:03.569626 IP 85.94.1.17.22223 > 224.2.2.2.22223: UDP, length 1068 16:21:03.569717 IP 85.94.1.17.22223 > 224.2.2.2.22223: UDP, length 1068 16:21:03.569807 IP 85.94.1.17.22223 > 224.2.2.2.22223: UDP, length 1068 16:21:03.571848 IP 85.94.1.17.22224 > 224.2.2.2.22224: UDP, length 1068 16:21:03.573139 IP 85.94.1.17.22222 > 224.2.2.2.22222: UDP, length 63 16:21:03.575007 IP 85.94.1.17.22224 > 224.2.2.2.22224: UDP, length 1068 16:21:03.578100 IP 85.94.1.17.22224 > 224.2.2.2.22224: UDP, length 1068 16:21:03.578380 IP 85.94.1.17.22222 > 224.2.2.2.22222: UDP, length 254 16:21:03.581539 IP 85.94.1.17.22224 > 224.2.2.2.22224: UDP, length 1068 16:21:03.581757 IP 85.94.1.17.22223 > 224.2.2.2.22223: UDP, length 1068 16:21:03.581850 IP 85.94.1.17.22223 > 224.2.2.2.22223: UDP, length 1068 16:21:03.581939 IP 85.94.1.17.22223 > 224.2.2.2.22223: UDP, length 1068 16:21:03.583447 IP 85.94.1.17.22222 > 224.2.2.2.22222: UDP, length 174 16:21:03.584323 IP 85.94.1.17.22224 > 224.2.2.2.22224: UDP, length 1068 16:21:03.587451 IP 85.94.1.17.22224 > 224.2.2.2.22224: UDP, length 1068 16:21:03.588604 IP 85.94.1.17.22222 > 224.2.2.2.22222: UDP, length 54 16:21:03.590601 IP 85.94.1.17.22224 > 224.2.2.2.22224: UDP, length 1068 16:21:03.593706 IP 85.94.1.17.22224 > 224.2.2.2.22224: UDP, length 1068 16:21:03.593883 IP 85.94.1.17.22223 > 224.2.2.2.22223: UDP, length 1068 16:21:03.593907 IP 85.94.1.17.22222 > 224.2.2.2.22222: UDP, length 213 16:21:03.593996 IP 85.94.1.17.22223 > 224.2.2.2.22223: UDP, length 1068 16:21:03.594094 IP 85.94.1.17.22223 > 224.2.2.2.22223: UDP, length 1068 16:21:03.961190 PPPoE [ses 0xe9ba] IP 87.240.134.115.80 > 109.161.48.88.28060: tcp 305 16:21:04.004262 PPPoE [ses 0xe9ba] IP 87.240.134.115.80 > 109.161.48.88.28060: tcp 0 16:21:04.067814 ARP, Request who-has 1.0.0.2 tell 1.0.0.1, length 28 16:21:04.068800 PPPoE [ses 0xe9ba] IP 10.131.240.4 > 109.161.48.88: ICMP host 10.131.240.4 unreachable - admin prohibited filter, length 36 16:21:04.489995 PPPoE [ses 0xe9ba] LCP, Echo-Request (0x09), id 179, length 14 16:21:04.490055 PPPoE [ses 0xe9ba] LCP, Echo-Reply (0x0a), id 179, length 14 16:21:04.719670 PPPoE [ses 0xe9ba] IP 212.34.106.254.27506 > 109.161.48.88.48832: UDP, length 67
Проблему решил!!! Верней настроил)
W

Proxmox, ceph, zfs, pfsense и все-все-все - часть 2

• • werter

146

5
Votes

146
Posts

60.2k
Views

W

Добавил
Backup Strategy with Restic and Healthchecks.io
K

Низкая скорость сетевых интерфейсов

• • k0st1k

12

0
Votes

12
Posts

183
Views

K

@werter
В догонку еще можно добавить , что GPON предполагает появление еще одного устройства на пути пакета . Получится ли это устройство перевести в режим моста , вопрос остается открытым .
Если сейчас у ТС подключение через Ethernet кабель , я бы лично не стал бы отказываться от него .... Если есть тут возможность увеличить скорость канала ( даже не так значительно в цифрах) , я бы рассмотрел бы этот вариант в первую очередь
торрентами можно забить любой канал , да и серверу с PF ,возможно , что придется несладко при увеличении нагрузки ....
P

Port forwarding HTTP/HTTPS from WAN2 to VLAN

• • PTZ-M

25

0
Votes

25
Posts

2.8k
Views

P

Подниму тему, хотя наверное немного и то. Надеюсь поправят.

Итак, ситуация на вложенном изображении

Spoiler

pfsense sip error multiwan.jpg

В 1-ом случае "внешний" SIP-телефон почему-то проброшен на IAX порт, хотя он работает по портам SIP. Такое видел один раз, но не факт, что не проскакивает в принципе.

Ниже указанные правила в экране. Как видим Asterix (это уже не старая коробка, как раньше, а последняя версия на FreePBX на новом Ubuntu) с IP ....0.151 мы отправляем на WAN1 в MiltiWAN, поскольку перепрыгивания между WAN оператором телефонии расцениваются как DDOS-атака и нас банили. Аналогично IAX туннель в других офисах настроен на наш WAN1.

Во 2-ом и 3-ем случае мы видим задвоение. В результате IAX туннель висит наглухо и пока не убьёшь одно из соединений - не восстанавливается.

Вот так всё работает стабильно. Ничего ручками не маршрутизируем или перебрасываем.

Spoiler
pfsense sip multiwan.jpg

Такая ситуация тянется не первый год на PfSense. Раньше мы не понимали, почему только в нашем офисе такие затупы канала и грешили на АТС. В результате чего просто перегружали её. После замены АТС, стало понятно, что дело именно в PfSense!

Соответственно вопрос - почему так происходит с пробросом портов? Что-то не так зеркалится? Как можно поправить?
S

Нужно уменьшить количество физических портов.

• • Spics

2

0
Votes

2
Posts

63
Views

W

@Spics
Добрый.
Попробуйте обратиться в ТП прова по выбору железки и на форумах типа nag.ru поспрашивать.
N

IKEv2+radius AD+CA+MacOS

• • nzlv

3

0
Votes

3
Posts

268
Views

K

@nzlv
Как я Вам говорил , используйте Apple Configurator для таких настроек . Все четко и наглядно (у Вас несовпадение комбинации настроек фазы 1 )
Для примера

фаза 1 PF / Apple Configurator

6a6ae4a9-1ddb-41dc-9e0d-f56e855490b6-image.png

68bf900b-c05c-48e6-847a-7d4592a5933a-image.png

все совпадает , фаза-2 аналогично
и соединение успешно устанавливается
Вы используете стандартного клиента Apple , который использует свои собственные настройки фазы-1 / фазы-2 , и эти настройки просто не совпадают с Вашими
N

pfSense+CA+OpenVPN,(L2TP,IPsec),(GRE,IPsec),+(AD,Radius)?

• • nzlv

13

0
Votes

13
Posts

665
Views

N

Всем доброго времени суток, не могли бы вы мне подсказать как мне настроить мой существующий впн, с радиусом в ад, настроить на маке.)
Сертификат поставил, настройки прописал, но не подключается.
Вот лог на пфсенсе.

@Konstanti отзовитесь пожалуйста если видите это)

Spoiler
Sep 18 12:35:09 charon 54184 11[NET] <3481> received packet: from 178.176.76.143[29056] to 81.5.119.144[500] (604 bytes)
Sep 18 12:35:09 charon 54184 11[ENC] <3481> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
Sep 18 12:35:09 charon 54184 11[CFG] <3481> looking for an IKEv2 config for 81.5.119.144...178.176.76.143
Sep 18 12:35:09 charon 54184 11[CFG] <3481> candidate: 81.5.119.144...0.0.0.0/0, ::/0, prio 1052
Sep 18 12:35:09 charon 54184 11[CFG] <3481> found matching ike config: 81.5.119.144...0.0.0.0/0, ::/0 with prio 1052
Sep 18 12:35:09 charon 54184 11[IKE] <3481> local endpoint changed from 0.0.0.0[500] to 81.5.119.144[500]
Sep 18 12:35:09 charon 54184 11[IKE] <3481> remote endpoint changed from 0.0.0.0 to 178.176.76.143[29056]
Sep 18 12:35:09 charon 54184 11[IKE] <3481> 178.176.76.143 is initiating an IKE_SA
Sep 18 12:35:09 charon 54184 11[IKE] <3481> IKE_SA (unnamed)[3481] state change: CREATED => CONNECTING
Sep 18 12:35:09 charon 54184 11[CFG] <3481> selecting proposal:
Sep 18 12:35:09 charon 54184 11[CFG] <3481> no acceptable ENCRYPTION_ALGORITHM found
Sep 18 12:35:09 charon 54184 11[CFG] <3481> selecting proposal:
Sep 18 12:35:09 charon 54184 11[CFG] <3481> no acceptable ENCRYPTION_ALGORITHM found
Sep 18 12:35:09 charon 54184 11[CFG] <3481> selecting proposal:
Sep 18 12:35:09 charon 54184 11[CFG] <3481> no acceptable ENCRYPTION_ALGORITHM found
Sep 18 12:35:09 charon 54184 11[CFG] <3481> selecting proposal:
Sep 18 12:35:09 charon 54184 11[CFG] <3481> no acceptable INTEGRITY_ALGORITHM found
Sep 18 12:35:09 charon 54184 11[CFG] <3481> selecting proposal:
Sep 18 12:35:09 charon 54184 11[CFG] <3481> no acceptable ENCRYPTION_ALGORITHM found
Sep 18 12:35:09 charon 54184 11[CFG] <3481> received proposals: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1536, IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Sep 18 12:35:09 charon 54184 11[CFG] <3481> configured proposals: IKE:AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024
Sep 18 12:35:09 charon 54184 11[CFG] <3481> looking for IKEv2 configs for 81.5.119.144...178.176.76.143
Sep 18 12:35:09 charon 54184 11[CFG] <3481> candidate: 81.5.119.144...0.0.0.0/0, ::/0, prio 1052
Sep 18 12:35:09 charon 54184 11[IKE] <3481> remote host is behind NAT
Sep 18 12:35:09 charon 54184 11[IKE] <3481> received proposals unacceptable
Sep 18 12:35:09 charon 54184 11[ENC] <3481> generating IKE_SA_INIT response 0 [ N(NO_PROP) ]
Sep 18 12:35:09 charon 54184 11[NET] <3481> sending packet: from 81.5.119.144[500] to 178.176.76.143[29056] (36 bytes)
Sep 18 12:35:09 charon 54184 11[IKE] <3481> IKE_SA (unnamed)[3481] state change: CONNECTING => DESTROYING
Sep 18 12:35:09 charon 54184 11[NET] <3482> received packet: from 178.176.76.143[29056] to 81.5.119.144[500] (604 bytes)
Sep 18 12:35:09 charon 54184 11[ENC] <3482> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]
Sep 18 12:35:09 charon 54184 11[CFG] <3482> looking for an IKEv2 config for 81.5.119.144...178.176.76.143
Sep 18 12:35:09 charon 54184 11[CFG] <3482> candidate: 81.5.119.144...0.0.0.0/0, ::/0, prio 1052
Sep 18 12:35:09 charon 54184 11[CFG] <3482> found matching ike config: 81.5.119.144...0.0.0.0/0, ::/0 with prio 1052
Sep 18 12:35:09 charon 54184 11[IKE] <3482> local endpoint changed from 0.0.0.0[500] to 81.5.119.144[500]
Sep 18 12:35:09 charon 54184 11[IKE] <3482> remote endpoint changed from 0.0.0.0 to 178.176.76.143[29056]
Sep 18 12:35:09 charon 54184 11[IKE] <3482> 178.176.76.143 is initiating an IKE_SA
Sep 18 12:35:09 charon 54184 11[IKE] <3482> IKE_SA (unnamed)[3482] state change: CREATED => CONNECTING
Sep 18 12:35:09 charon 54184 11[CFG] <3482> selecting proposal:
Sep 18 12:35:09 charon 54184 11[CFG] <3482> no acceptable ENCRYPTION_ALGORITHM found
Sep 18 12:35:09 charon 54184 11[CFG] <3482> selecting proposal:
Sep 18 12:35:09 charon 54184 11[CFG] <3482> no acceptable ENCRYPTION_ALGORITHM found
Sep 18 12:35:09 charon 54184 11[CFG] <3482> selecting proposal:
Sep 18 12:35:09 charon 54184 11[CFG] <3482> no acceptable ENCRYPTION_ALGORITHM found
Sep 18 12:35:09 charon 54184 11[CFG] <3482> selecting proposal:
Sep 18 12:35:09 charon 54184 11[CFG] <3482> no acceptable INTEGRITY_ALGORITHM found
Sep 18 12:35:09 charon 54184 11[CFG] <3482> selecting proposal:
Sep 18 12:35:09 charon 54184 11[CFG] <3482> no acceptable ENCRYPTION_ALGORITHM found
Sep 18 12:35:09 charon 54184 11[CFG] <3482> received proposals: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1536, IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Sep 18 12:35:09 charon 54184 11[CFG] <3482> configured proposals: IKE:AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024
Sep 18 12:35:09 charon 54184 11[CFG] <3482> looking for IKEv2 configs for 81.5.119.144...178.176.76.143
Sep 18 12:35:09 charon 54184 11[CFG] <3482> candidate: 81.5.119.144...0.0.0.0/0, ::/0, prio 1052
Sep 18 12:35:09 charon 54184 11[IKE] <3482> remote host is behind NAT
Sep 18 12:35:09 charon 54184 11[IKE] <3482> received proposals unacceptable
Sep 18 12:35:09 charon 54184 11[ENC] <3482> generating IKE_SA_INIT response 0 [ N(NO_PROP) ]
Sep 18 12:35:09 charon 54184 11[NET] <3482> sending packet: from 81.5.119.144[500] to 178.176.76.143[29056] (36 bytes)
Sep 18 12:35:09 charon 54184 11[IKE] <3482> IKE_SA (unnamed)[3482] state change: CONNECTING => DESTROYING

Есть идеи?)
D

При p2p не могу пинговат с сервера на клиент, почему?

• • dimskraft

4

0
Votes

4
Posts

285
Views

W

@dimskraft
Это ОЧ частая "проблема". Ее решение прекрасно описано в офиц. доке.
C

Параметры pfSense OVPN для клиента Keenetic Ultra

• • CapitanBlack

4

0
Votes

4
Posts

363
Views

C

@werter said in Параметры pfSense OBPN для клиента Keenetic Ultra:

Добрый
@CapitanBlack
Обратитесь к своему провайдеру с этим вопросом. Заодно и хабр почитайте про ситуацию с ovpn в РФ. Много "нового" для себя узнаете.

Да, я наслышан о ситуации. Как оказалось, на некоторых российских провайдерах, этот же OpenVPN сервер работает прекрасно. Решил проблему настройкой WireGuard между Кинетиком и pfSense. Работает отлично.
B

Настройка перенаправления портов

• • bigggie

2

0
Votes

2
Posts

257
Views

W

Добрый
@bigggie
Загулить по splitdns + pfsense
K

VPN через VPN

• • k0st1k

2

0
Votes

2
Posts

280
Views

K

Понимал что ответ лежит на поверхности. В конечном итоге малость пересмотрел схему. Сделал GRE тунель до VPS. И навесил правило маскарадинга для интерфейса oVPN сервера. Все работает исправно.
a7e5b4a2-6ee2-4b43-a081-2bf13e0f431a-изображение.png
L

проброска адресов между сетями

• • lokisuka

1

0
Votes

1
Posts

199
Views

No one has replied
K

Доступ к pfsense через WAN

• • komok

2

0
Votes

2
Posts

269
Views

K

@komok

Здравствуйте
не рекомендовал бы открывать доступ к сервисам через WAN .
Если у Вас есть OpenVpn сервер на PF , то через него и подключайтесь к PF

1 / 300