@vitko-core-ru said in Как разрешить доступ к WAN только белому листу внутренних IP?:

если я хочу заблокировать 192.168.0.0-192.168.255.255

Ну так и блокируйте 192.168.0.0/16

Я забыл дать доступ к DNS серверу... Allowed IP Addresses

Обычная ошибка, очень простая, но тут я потратил 1 день на это, утром в голову пришла осознание ошибки.

Устройство пытается получить ip хоста google/204, xiaomi/204 через заданный DNS, а сам DNS блокировался правилами Captive Portal.

Дело закрыто.

Проблему решил пересозданием правил

@werter
Схему рисую, первая попытка сделать сразу с наскока - как первый блин не удалась(((. Неожиданно споткнулся на vlan-ах. Не разобрался в навешивании-снятии тэгов на порождении китайских гениев свичах тплинках.
По поводу бесшовного роуминга, он конечно псевдо, если с академической точки зрения рассматривать. Но с точки зрения клиента (обывателя) виден один SSID, и для подключения по всей территории в пару-тройку гектар формально одна сеть. Это даже на микротиковском CAP так выглядит.

Добрый
@bemachine
Заходите в Инструменты разработчика в браузере и смотрите там.

P.s. Может стоит разнести по разным хостам ТАКОЕ кол-во клиентов?
Можно же отдельное решение для wg развернуть - напр., wg-easy.

Добрый
@rse
FTP в каком ржиме работает?

@rtpanda
Делайте отдельно два acl

@368shap said in Некорректное время в DHCP Leases:

@electricshock Сервисы /DHCP Сервер /LAN - Изменить формат времени

Ставь галочку - Измените время отображения аренды DHCP с UTC на местное время.

По умолчанию DHCP аренды отображаются в часовом поясе UTC. При активации данной опции время DHCP аренды будет отображаться в локальном часовом поясе и устанавливаться в выбранной часовой зоне. Это будет использоваться для времени всех аренд интерфейсов DHCP.

Так и думал, что где-то какую-то галочку нужно поставить чтобы решить эту проблемку :-)
Благодарю!

@jeleg said in Упал IPsec - ignoring acquire, connection attempt pending:

ignoring acquire, connection attempt pending

Здр
Так Вы весь лог покажите , а не 2 строчки
И я предполагаю , что проблема возможна со второй стороной туннеля
А не с PF

@fortaran
Зачем перед пф роутер, если пф сам себе роутер?
Развернуть dante на пф https://garajau.com.br/2019/01/installing-socks-server-on-pfsense-2-4 ( изменить версию freebsd под 2.6 )

Зы. Никогда не используйте в продакшене сети 192.168.0|1
Иначе нарветесь на пересекающуюся адресацию с клиентами.

@spics
Отписал в ЛС.

@pigbrother said in Gateway Monitoring, State Killing on Gateway Failure:

Однако у себя в настойках вижу только опцию
Flush all states on gateway failure

Похоже, официальная документация устарела. Если судить по ответам тут:

https://forum.netgate.com/topic/137416/solve-failover-not-switching/2

The Flush all states when a gateway goes down option overrides the default behavior, clearing states for all existing connections when any gateway fails.

Включение Flush all states... убивает все states для всех шлюзов при падении одного\любого из них.
А какое default behavior используется по умолчанию ? pfSense убивает только states, связанные только с упавшим gateway? Невидимое "Kill states for all gateways which are down"?
@viktor_g, был бы благодарен за комментарии

@umax76
Скрин правил.

@pigbrother Спасибо Вам большое.
Версия 2.6.0, но конфиг загружал с 2.4
Нет, сертификаты пользователей без пароля
Поставил этому одному пользователю пароль и логин. Надеюсь что на этом все.

@werter У меня и так все стоит на "мыльнице" если так можно сказать. Сейчас у меня вместо сервака Zyxel Keenetic III. Но этот аппарат "мыльницой" я не могу назвать. Там и сервер L2TP/IPsec и Облако для сотрудников и Ngenix и еще куча всего. Процессор слабенький это огромный минус, поэтому я и заморочился с PfSense. Если бы можно было ndms портировать на х86 цены бы не было этой системе

@jeleg said in Не поднимается второй WAN интерфейс,:

На нём и настраиваю.

Какого типа второе соединение? Адрес получаете "белый"?
Block private networks and loopback addresses - глалка стоит? Если адрес получаете "серый" - галку снять.
IPv4 Upstream gateway, если адрес статический - задан?

@jeleg said in Не поднимается второй WAN интерфейс,:

Не пойму как это поправить.

Удалите интерфейс и добавьте снова, вдуумчиво настроив

Вообще - покажите нвстройки интерфейса.

@yarx
Отписал Вам в ЛС.

Ребят спасибо за советы, временно отложил эту задачу. Как вернусь к ней сразу отпишусь. Мне пипец как интересно реализовать это :)