Enter an unused private Network and appropriate subnet mask (such as /24)
т.е. надо понимать, что это не неиспользуемые IP из диапазона  сети, к которой они подключаются.

Нет, речь идет как раз о выборе (для туннеля?) отдельной, неиспользуемой ни на стороне сервера, ни на стороне клиента подсети.

О выдаче клиентам адресов из диапазона локальной сети я написал лишь как способ обойти необходимость настраивать брандмауэры на локальных машинах. Предпочитаю и клиентов и филиалы объединять в отдельные подсети.

Настройки IpSec вне моей компетенции, предпочитаю OpenVPN, c ним такой режим (TAP Bridging with LAN) настраивался бы, например, так:
https://forum.pfsense.org/index.php?topic=46984.0

поле Allowed subnets - разрешенные подсети, кому разрешено использовать прокси,  поле Banned Hosts Addresses - перечисляете или IP или подсети, которым хотите запретить использовать прокси(все прекрасно работает).  А вообще вам уже писали, что лучше, да и правильнее, настроить fw, где можно создать алиасы, создать для них правила в fw, и исправления в дальнейшем вносить в alias. Наверняка появится потребность не только дать доступ в интернет, но и разрешить или запретить работу различных служб и приложений, значит указываете порты для этих служб, поэтому fw придется настраивать…

pfsense точно не собирается её решать.
настраивайте OpenVPN. сейчас клиенты даже на iphone есть и всё работает.
Авторы явно указали, что не хотят его поддерживать.

а правила в свиче через ACL пишешь? как файрволишь то?
или у тебя нет необходимости файрволить внутренние подсети?
одно не пойму. почему вланы на пфсенсе не принимать на отдельные интерфейсы?
у меня сейчас порядка 30 интерфейсов все прилетают через разные сетевухи.
WAN тоже тегами прилетают

pf самый свежий, x86. Сквид - 4.3.10, не 3-й. А есть какая-то разница?

Ну, в общем-то проблема может быть решена именно по признаку наличия адреса клиента. Есть адрес - значит это запрос доступа по PPTP. Получается четыре правила. Только что проверил - все работает. Однако решение это выглядит каким-то кривым.

А вот nano\флешечная ли или нет не знаю как проверить…

Если в дашбоарде

Platform pfSense

то это полная установка.

Нано выглядит так:

Вопрос решен. Тривиальная задача - тривиальное решение.

Микротики - клиенты OVPN-server  Peer-to-Peer ничего не знали о сети 10.11.11.0/24, адреса из которой получают клиенты сервера  Remote Access.

Добавляем маршрут:

/ip route
add comment=" " distance=20 dst-address=10.11.11.0/24 gateway=ovpn-out1 scope=10

где
ovpn-out1 - интерфейс Микротика к OVPN-server  Peer-to-Peer

Смотрите таблицы марш-ции на проблемных клиентах при поднятом впн-канале.
Пример таблицы с корректными маршрутами приведен в 1-м посте

существовании такой команды как tracert\traceroute
tracert, насколько помнится, "проваливался" на первом IP "серверного" конца туннеля, дальше шло сплошное

Маршруты вроде на месте, а в логе firewall ничего на тему нет?
Включение лога как раз и показало, что пакеты в нужные сети уходят, это подсказало, что проблема не в pFsense.
Жаль, что не прочитал ваш пост раньше, пришлось думать самому ;)

@werter:

UPD. с https вроде разобрался, но сертификат лень на каждый комп ставить, пока нет необходимости повременю. Кстати а нет способа другого?

Есть. Групповыми политиками прикрутить самоподписан. сертификаты.
Правкой .cfg-файлов лайтсквида - http://www.pontin.ru/technical/linux/pfsense/lightsquid
Только пути к файлам в 2.2.х могут быть другими.

Большое спасибо )
Если буду подымать AD, то воспользуюсь этими мануалами.
а с lightsquid'ом разобрался. в конфиг забил вручную адреса.

1. Скрины правил fw
2. Отключить блокирование серых сетей на WAN
3. У всех машин в обеих сетях шлюзом должен быть pf

@Olejka39:

Всем привет.
Имеется следующая конфигурация.
Сервер Asterisk 13 в локальной сети и шлюз в интернет посредством PfSense 2.2.4
1)PfsenseIP: 83.219.159.159
2)AsteriskIP: 192.168.2.8

Сделан NAT до Астериска. Проброшены 2 правилами 5060, и другим правилом 10000-20000.

Вроде бы все бегает, звонит, маршрутизируется. ( кроме одного телефона DLink - DPH 150S, но есть подозрение что виноват сам телефон. Во всяком случае всякие софтфоны нормально коннектятся и звонят )
В виду оправданной паранойи на тему брутфорса в астериск, установлен fail2ban, и включены правила блокировки по подбору паролей.
НО!
в логах астериска я вижу такую строку.
chan_sip.c: Failed to authenticate device 2000 sip:2000@83.219.159.159Т.е. вместе истинного ip бота\подборщика парлей я вижу внешний ip собственного шлюза.

Вопрос, где поправить чтоб корректно отображался ip внешнего брутфорсера?</sip:2000@83.219.159.159>

У меня по такой схеме работает freeswitch и облако. И то и другое отлично банится fail2ban. pfsense прокидывает source адреса на внутренние

@werter:

Могу ошибаться, но ведь с неск-ми WAN-ми со squid в 2.2.х проблемы?

ну я так понимаю проблема не в самой балансировке а в фейловере что и пытаюсь решить

lb.jpg
lb.jpg_thumb

мне эта инфа нужна что бы сдать СОРМ

Вам нужна спец железка с соответствующим сертификатом, иначе вам кое-что "отвинтят" и кое-куда "засунут".

Нет, c kerio все ок, он держит соединение сейчас, в плане мы отходим от него и переходит на pfsense. когда включен pfsense  только он поднимает PPPOE

pigbrother, werter
спасибо большое!
Вроде как все заработало. Если что я еще напишу.

нашел в чем был косяк - сквид не виноват (зато поставил себе 3.5.10 пока тестировал :D) - ошибся в одной цифре в айпишнике днс сервера в политике джунипера.
топик можно удалить.

ну вот ртк поднялся и все снова заработало.
кастомные опции сквида:
server_persistent_connections off;
tcp_outgoing_address тут_ип_ттк;
tcp_outgoing_address тут_пи_ртк;
url_rewrite_program /usr/pbi/squidguard-amd64/bin/squidGuard -c /usr/pbi/squidguard-amd64/etc/squidGuard/squidGuard.conf;
url_rewrite_bypass off;
url_rewrite_children 16 startup=8 idle=4 concurrency=0

persistant connections отключен чтобы балансировка была более менее равномерной и чтоб не тыкалось по упавшему линку.
проблемных ресурсов пока что не много (например сбербанк у которого слетает авторизация). эту проблему пока решаю прописыванием конкретного гейтвея для конкретных айпи в rules.

@hvac14400:

@werter:

@hvac14400:

у меня сенс 2.2.2
если есть нтп - зачем синхронизация гипер ви, или если есть гипер ви - зачем синхронизация нтп? тем более если сам гипер ви тоже синхронизирован например с контроллером домена, который берёт время с того же самого нтп.
видимо что-то одно можно отключить?

Отключите синхронизацию времени в настройках ВМ на Гипер-В. И посмотрите, что будет.

отключил - ничего не поменялось.

У меня "убегать" начинает через нек-ое время. Повторюс, версия Hyper-V не R2

P.s. Рекомендую Proxmox (KVM). Как раз недавно дистр. до 4-й вер обновился. Оч. хороший продукт - кластеризация, бэкапы, не нужно бренд. железо, zfs soft-raid из коробки.

@pigbrother:

А вот наоборот, из головной сети маршрутизации до клиента инициатора подключения никак добиться не могу.
Сеть А - 192.168.4.0./24
Сеть B - 192.168.6.0/24

Если 192.168.4.0./24 - это головная сеть, создайте на LAN интерфейсе правило

LAN net * 192.168.6.0/24 * * none

Первая звездочка - это Protocol=any

… и поставьте первым (на время хотя бы)