Мне кажется это не тот форум, на котором помогут решить данный вопрос. К pfSense это практически никак не относится.

Доброе.

2 kudrik_tt
1. Обновить прошивку свитча.
2. Порты WAN и др. LAN-ы (физические)  - порты untagged, порт LAN pfsense - tagged всеми LAN-ми. Вроде так.

Я уже доделал))) Спасибо :)

Если только фэйловер, то System > Advanced > Miscellaneous: Enable default gateway switching. Завернуть способами, которые описаны в разных старых статьях, нельзя. Это проблема pf во FreeBSD. Трафик в принципе даже заворачивается по тем инструкциям, но SRC IP у него остается равным default WAN IP.

Пока что убрал checkbox в System: Advanced: Miscellaneous:Load Balancing
Allow default gateway switching
If the link where the default gateway resides fails switch the default gateway to another available one.
Вроде как не сбрасывает соединения.

@PbIXTOP:

Правда еще 3-й путь в настройках advanced есть пункт разрешающий любой трафик между link-local сетями

Я так понял речь об этом? System: Advanced: Firewall and NAT:Firewall Advanced
Static route filtering
Bypass firewall rules for traffic on the same interface
This option only applies if you have defined one or more static routes. If it is enabled, traffic that enters and leaves through the same interface will not be checked by the firewall. This may be desirable in some situations where multiple subnets are connected to the same interface.

@pigbrother:

сам сенс (он под hyper-v работает)

Сейчас вам скажут, что причина - hyper-v. Я этого утверждать не буду, но проверил бы линк на "настоящем" pfSense или на любой другой машине\железке.

Если будет дальше глючить, сделаю на пробу по другому: поставлю между сетевой и провайдером роутер (кстати в каком режиме лучше DMZ или проброс портов?)

но опять же почему второй провайдер работает на ура? даже лучше чем на роутере. Кстати причина перехода с роутера на виртуальный сенс была в том что RDP клиенты отваливались с ошибкой шифрования. Сейчас на такую ошибку пользователи не жалуются, но по факту могут использовать только один канал: стабильного провайдера, что не есть гуд.

@oleg1969:

Возможно немного не в тему!! (может кому пригодится)

Имеем старый ДИР-300 В1 и подобные

Лучшей прошивкой (как по мне) оказалась прошивка от ACORP

Работает
AP-bridge
AP-Gatewey
AP-Client

http://s020.radikal.ru/i714/1602/07/a337d95ec5b2.jpg

http://wive-ng.sourceforge.net/?WR-NL_RT3050%282%29

+1
После перепрошивки старенький ДИР-300 рев. B1-B3 - просто прелесть  ;D

P.s. Кстати у создателя wive-ng есть прошивки и под новое железо. Тот же Asus RT-N11P, например.
Но если нужно OpenVPN сервер\клиент на Asus RT-N11P, тот вот - https://bitbucket.org/padavan/rt-n56u/downloads
Шьется через Firmware recovery tool.

Все работает всем спасибо

Вполне прилично. Если большой трафик от дп. вирт. машин не гоняете на этих сетевых - более чем.

Что в кач-ве гипервизора пользуете ? Только не говорите, что Гипер-В  ::)

@oxigen87:

в pf есть свободный слот от видяхи. Если вставить в него она же по идее заработает? Слот то PCI!

Нет. Слот PCIEX.

2 PbIXTOP

http://www.cs.unc.edu/~jeffay/dirt/FAQ/dummynet.backup.html

Повторюсь. Согласно оф. документации на его основе и работает limiter - https://doc.pfsense.org/index.php/Limiters

https://forum.pfsense.org/index.php?topic=88847.0

I found solution for this error : ipcCreate: /usr/pbi/squid-amd64/bin/check_ip.php: (2) No such file or directory

rm /usr/pbi/squid-amd64/bin/check_ip.php
cp /usr/local/bin/check_ip.php /usr/pbi/squid-amd64/bin/

получилось перенести с помощью dump restore

да порт нестандартный - 8282
я читал темы с подобной ошибкой, причем некоторые датируются 2008 годов (и ошибка периодически исправляется и снова возникает в новой версии pfsense).
нашел несколько решений:
1. изменение порта на стандартный, что не есть безопасно
2. модификация sgerror.php (которая будет затиратся при каждом изменении в gui)
3.  модификация конфига squidguard
redirect http://[PFSENSE_IP]/sgerror.php?url=blank_img (что тоже затирается как я понимаю через изменения гуи)
–------------------------
нашел даже в теме, где человек пишет конкретный bug в строке кода
fix code
File squidguard_configurator.inc
function sg_redirector_base_url($rdr_info, $redirect_mode)
{
    global $squidguard_config;
    $rdr_path = '';

# gui port, ip & proto
    $guiip = (!empty($squidguard_config[F_CURRENT_LAN_IP])) ? $squidguard_config[F_CURRENT_LAN_IP] : '127.0.0.1';
    $guiport = (!empty($squidguard_config[F_CURRENT_GUI_PORT])) ? $squidguard_config[F_CURRENT_GUI_PORT] : '80'; ////////////////////// the error is here ////////////////
    $rdr_path = "http://$guiip:$guiport" . REDIRECT_BASE_URL;

The staff should make pfSense squidgard used the same port as defined in
System->Advanced->Admin Access check HTTP

I changed my code to cause the port to the redirect was equal to the configuration of pfSense HTTP: 8320, is now up, but I think this is a
BUG.
–-------------------
вопрос в следующем: как исправить ситуацию чтобы не спокойно править через гуи фильтры?

@pigbrother:

@cartel:

@werter:

Спросите у них, как они будут из-под Win подключаться к IPSec.

P.s.

Шеф хочет с любой точки мира заходить в сети фирмы и делать свои делишки.

OpenVPN для этого подходит лучше всего. Уговаривайте.

Удалось таки уговорить. Весомым аргументом была скорость. По безопасно отличий почти  нету. Осталось найти толковую инструкцию по OpenVPN

1.Практически исчерпывающая инструкция. Я бы, правда,  добавил бы авторизацию и по логину\паролю
https://forum.pfsense.org/index.php?topic=99694.0
2.В pfSense встроен визард для настройки именно вашего вида OpenVPN-доступа
OpenVPN->Wizards

Спасибо. Сейчас заюзаю инструкцию.

Попробуйте microsoft.com, но почитайте  ,что писал выше про https.

@dark0n:

Все очень банально. Буквально на днях приезжает гость и не может подключиться к ви-фи. Я спрашиваю по телефону: меняли ли вы в настройках сетевухи днс, а тот понятия не имеет что это, тогда я смотрю в логах файрвола  и вижу что он ломится на 8.8.8.8. гугл днс у меня разрешен, но он не резолвится, поскольку домена hotspot.***.ru  попросту нет.

На самом деле это плохо, что внешние DNS не знают вашу сеть, ведь несложно добавить, тем более что у вас похоже есть нормальный домен 2-го уровня.

@T-Virus:

А есть возможность включить клиентов openvpn в мою локальную подсеть? Что-то типа vpn-моста?
Иначе в игры по локалке не поиграть..

В общем - да. Переводите OVPN в режим работы TAP, на pfSense настраиваете OpenVPN TAP Bridging with LAN.

https://forum.pfsense.org/index.php?topic=46984.0

Особенной поддержки не ждите, такая конфигурация не очень популярна.

Никак. Только перевбивать.

Кстати как вариант не работы локальных адресов провайдера — обычный "DNS rebind", который отбрасывает ответы родительских DNS если в них возвращается IP из приватного списка адресов (RFC 1918).