@vadimkara:

Здравствуйте проблема такая пфсенс подлючен как клиент опенвпн и с него пинги на удаленную сеть идут, а вот с внутренней сети связи нет, фаере все разрешено нат тоже прописан в чем может быть проблема?

А в удаленной сети маршруты в вашу сеть организованы? Если да - можно обойтись без NAT.

@shsv88:

Сейчас не знаю в какую сторону копать по поводу подсчета и сохранения истории потребления трафика, с условием что отдельные хосты будут идти через другой WAN.

ipcad + lightsquid\sarg

Я бы не заморачивался с такой затеей. Проще купить роутер, а для нетбука найти более достойное применение :) Сдается мне - в конце концов тем и кончится

@KripDen:

версия pfsense 2.2.4, Тип Pptp и l2tp

С PPTP - нет. Переходите на OpenVPN.

я писал, что шлюзом и стоит циска, аесли поставить пф - пинг не идет все равно
как добавить правило icmp чтобы пинг поднялся???

@katana31337:

Всем привет.
Есть 3 интерфейса в pfsense wan, lan1 - 192.168.1.1, lan2 - 192.168.2.1
Клиенты получили адреса 192.168.1.10 и 192.168.2.10 соответственно,но бяда в том что клиенты друг друга не видят даже из одной подсети…не зайти по шаре, не пингуются. Зато любой клиет может пропинговать любой интерфейс. Вопрос, куда смотреть и чего не хватает?

У вас PFSense является шлюзом между 1.1 и 2.1? Если да, нужно добавить статический маршрут. Если нет, то должен смотреть маршрутизатор между этими сетями.

@pigbrother:

@shsv88:

@pigbrother:

Но почему то через браузеры по другому шлюзу идет

Прокси не используется?
Сброс states\перезагрузка pfSense.

прокси прозрачный

сброс перезагрузку Не помогли

Прокси - сквид на pfSense?
Насколько мне известно сквид так и должен себя вести в pfSense версий новее, чем 2.1.х.
То есть multiwan не поддерживается.

но кстати как я сделал правило на другой шлюз, lightsquid перестал считать трафик по этому хосту
да, обычный сквид
его поставил чтобы можно было логировать посещения, и потом смотреть отчеты.

Оказалось ClamAV Anti-Virus его тормозил. Вырубил к чертям.

По умолчанию так:

sarg_def.png
sarg_def.png_thumb

@smils:

@pigbrother:

Изменений довольно много, некторые весьма существенны.
Почти окончательный список:
https://doc.pfsense.org/index.php?title=2.3_New_Features_and_Changes

Какие существенны на ваш взгляд?

Навскидку. IMHO.
Moved to a FreeBSD 10.3-RELEASE base
The PPTP VPN Server has been completely removed
The LiveCD platform has been removed. The ISO is a bootable installer, as always, but it cannot run a live system
Removed zoneinfo.tgz file for Time Zones, move to the same format as FreeBSD.
Removed use of PBI-based packages, moved to pkg(ng)
Fixed installation and handling of packages to use pkg, now works identically in the GUI and shell/console
Factory reset now completely uninstalls packages
Replaced apinger with dpinger(!)
Check gateway monitor settings after upgrade, dpinger has different options than apinger.
Added code to allow gateways outside of an interface subnet
Added drag-and-drop rule reordering for firewall and NAT rules
Added reordering for 1:1 NAT rules
Added support for a separator bar in firewall and NAT rules for use as a visual reference
Added a hit counter to the firewall rule display with states and bandwidth consumed by packets matching rules
Added a visual indication in the rule list for floating rules with the "quick" property set
Improved state display on Diagnostics > States, now shows packets and bytes for each state
Fixed setting non-default MTUs in some edge cases
Added support for PPPoE with MTU/MRU
Replaced the default passwd hash for root/admin using bcrypt (blowfish).
    Existing user passwords will continue to work in their existing format until the user's password is changed.
User passwords cannot be automatically converted as they are not stored plain text. To convert the password hash of an existing user to bcrypt, edit the user and change their password.
Fixed the WebGUI becoming slow or unusable when an LDAP server used for GUI auth is unreachable
Fixed dnsmasq host overrides when both DNS Forwarder and Resolver are enabled
Changed the default behavior of the OpenVPN server to use topology subnet, not net30
Changed Client-Specific Overrides so they can be set to apply to specific servers rather than being globally set
Improved display of server certificates on OpenVPN servers to help avoid users incorrectly picking user certificates for servers
Removed PPTP Server.
Add MS-CHAPv2 option to L2TP Configuration
Removed WEP
Removed the "Certificate Authority" option on the Certificates tab of the Cert Manager when creating a Certificate. To make a Certificate Authority, use the CAs tab instead

@kudrik_tt:

Draytec 2912n

Я бы мотивировал нач-во покупкой нового недорого роутера. Почему ? Потому что pptp небезопасен.
Asus rt-n12 vp или rt-n14u и tomato от shibby. Или rt-n11p и прошивку от padanav.
Цена вопроса - менее 2000 р

Сори тупил…  (про гетвей на лане).

IPv4 остается, это локальна подсеть pfsense. IPv6 выдается с глобальной сети (белые) как альтернативные адреса. Пора уже переходить...

Пока не разобрался с pfSense, как это сделать на нем то выдал через SLAAC адреса. pfsense при попытке на нем что-либо настроить теряет ipv6, соответственно клиенты не видят ipv6.

Можно явно указать порты, например порт RDP.

Не можно, а нужно. Иначе весь tcp-трафик завернете один ip.

Зы. Я бы с proxy arp заморочился.

Доброе
Версия пф ?
0. Проверьте, не исп. ли торренты ваши локальные пол-ли, не смотрят ли они кино в ХД-кач-ве и тд.
1. Исп-те на клиенте самую последнюю версию ОпенВПН. Качать дистриб. с оф сайта (не с пф)!
2. Добавьте в настройки сервера в Адвансед :

keepalive 5 10;
ping-timer-rem;
sndbuf 100000;
rcvbuf 100000;
push "sndbuf 100000";
push "rcvbuf 100000";

3. Сделайте reset states на пф и перезапустите туннель на клиенте.

Спасибо, что откликнулись.
Узнал много нового про bogon list.
Поставили того же клиента openVPN на другую машину, но с тем же внешним адресом - заработало подключение.
Похоже дело было в поставленном ранее клиенте openVPN предыдущей версии. И новое не вставало поверх старого. Но делало это молча и прикидываясь, что всё хорошо. Коллега не распознал засады….
Но как было догадаться, почему не ходят пакеты?

clientsVersion.png
clientsVersion.png_thumb

Я указывал правила на вкладке OpenVPN - работали для туннельных адресов.
Перезагрузки не требовалось. Перезапуск туннеля? Возможно. Я управлял доступом Remote access юзеров, туннель при этом пересоздавался.

@werter:

Покажите правило на fw

Спасибо, werter. Разобрался уже.

@SNELS:

Но если трафик уже идёт до локального IP, то будет ли работать только лишь правило для LAN?

Вы неверно понимаете как работает fw. Рекомендую поискать книгу по pf. Она есть и на русском.

@werter:

@Guf-Rolex-X:

@NegoroX:

сюда в squide добавить? -=>  Bypass Proxy for These Destination IPs  tezis.okes.ru

добавлял не помогает, все равно не работает

Вы IP добавьте, а не имя ресурса. После сделайте очистку кеша в браузере (-ах)

не помогло

Связка стабилизатор(1квт)+ибп(ippon 600) потребляет 30 ватт. Каждый примерно по 15 берет. Вот как то так.