• Доступ по IPSec к расшаренным папкам

    6
    0 Votes
    6 Posts
    2k Views
    P

    Enter an unused private Network and appropriate subnet mask (such as /24)
    т.е. надо понимать, что это не неиспользуемые IP из диапазона  сети, к которой они подключаются.

    Нет, речь идет как раз о выборе (для туннеля?) отдельной, неиспользуемой ни на стороне сервера, ни на стороне клиента подсети.

    О выдаче клиентам адресов из диапазона локальной сети я написал лишь как способ обойти необходимость настраивать брандмауэры на локальных машинах. Предпочитаю и клиентов и филиалы объединять в отдельные подсети.

    Настройки IpSec вне моей компетенции, предпочитаю OpenVPN, c ним такой режим (TAP Bridging with LAN) настраивался бы, например, так:
    https://forum.pfsense.org/index.php?topic=46984.0

  • 0 Votes
    11 Posts
    4k Views
    K

    поле Allowed subnets - разрешенные подсети, кому разрешено использовать прокси,  поле Banned Hosts Addresses - перечисляете или IP или подсети, которым хотите запретить использовать прокси(все прекрасно работает).  А вообще вам уже писали, что лучше, да и правильнее, настроить fw, где можно создать алиасы, создать для них правила в fw, и исправления в дальнейшем вносить в alias. Наверняка появится потребность не только дать доступ в интернет, но и разрешить или запретить работу различных служб и приложений, значит указываете порты для этих служб, поэтому fw придется настраивать…

  • GRE, PPTP, VPN Использование больше 1 сессии

    23
    0 Votes
    23 Posts
    6k Views
    S

    pfsense точно не собирается её решать.
    настраивайте OpenVPN. сейчас клиенты даже на iphone есть и всё работает.
    Авторы явно указали, что не хотят его поддерживать.

  • Multiwan + vlan = отваливаются vlan'ы [решено]

    4
    0 Votes
    4 Posts
    758 Views
    W

    а правила в свиче через ACL пишешь? как файрволишь то?
    или у тебя нет необходимости файрволить внутренние подсети?
    одно не пойму. почему вланы на пфсенсе не принимать на отдельные интерфейсы?
    у меня сейчас порядка 30 интерфейсов все прилетают через разные сетевухи.
    WAN тоже тегами прилетают

  • 0 Votes
    3 Posts
    721 Views
    I

    pf самый свежий, x86. Сквид - 4.3.10, не 3-й. А есть какая-то разница?

    Ну, в общем-то проблема может быть решена именно по признаку наличия адреса клиента. Есть адрес - значит это запрос доступа по PPTP. Получается четыре правила. Только что проверил - все работает. Однако решение это выглядит каким-то кривым.

  • Непонятные States

    Locked
    3
    0 Votes
    3 Posts
    798 Views
    T

    Было подозрение на что-то подобное. Спасибо!

  • Отчеты lightsquid'a

    7
    0 Votes
    7 Posts
    2k Views
    P

    А вот nano\флешечная ли или нет не знаю как проверить…

    Если в дашбоарде

    Platform pfSense

    то это полная установка.

    Нано выглядит так:

  • 0 Votes
    4 Posts
    1k Views
    P

    Вопрос решен. Тривиальная задача - тривиальное решение.

    Микротики - клиенты OVPN-server  Peer-to-Peer ничего не знали о сети 10.11.11.0/24, адреса из которой получают клиенты сервера  Remote Access.

    Добавляем маршрут:

    /ip route
    add comment=" " distance=20 dst-address=10.11.11.0/24 gateway=ovpn-out1 scope=10

    где
    ovpn-out1 - интерфейс Микротика к OVPN-server  Peer-to-Peer

    Смотрите таблицы марш-ции на проблемных клиентах при поднятом впн-канале.
    Пример таблицы с корректными маршрутами приведен в 1-м посте

    существовании такой команды как tracert\traceroute
    tracert, насколько помнится, "проваливался" на первом IP "серверного" конца туннеля, дальше шло сплошное

    Маршруты вроде на месте, а в логе firewall ничего на тему нет?
    Включение лога как раз и показало, что пакеты в нужные сети уходят, это подсказало, что проблема не в pFsense.
    Жаль, что не прочитал ваш пост раньше, пришлось думать самому ;)

  • 0 Votes
    5 Posts
    2k Views
    R

    @werter:

    UPD. с https вроде разобрался, но сертификат лень на каждый комп ставить, пока нет необходимости повременю. Кстати а нет способа другого?

    Есть. Групповыми политиками прикрутить самоподписан. сертификаты.
    Правкой .cfg-файлов лайтсквида - http://www.pontin.ru/technical/linux/pfsense/lightsquid
    Только пути к файлам в 2.2.х могут быть другими.

    Большое спасибо )
    Если буду подымать AD, то воспользуюсь этими мануалами.
    а с lightsquid'ом разобрался. в конфиг забил вручную адреса.

  • Настройка pfsense

    2
    0 Votes
    2 Posts
    807 Views
    werterW

    1. Скрины правил fw
    2. Отключить блокирование серых сетей на WAN
    3. У всех машин в обеих сетях шлюзом должен быть pf

  • Pfsense+asterisk&Fail2ban

    3
    0 Votes
    3 Posts
    2k Views
    H

    @Olejka39:

    Всем привет.
    Имеется следующая конфигурация.
    Сервер Asterisk 13 в локальной сети и шлюз в интернет посредством PfSense 2.2.4
    1)PfsenseIP: 83.219.159.159
    2)AsteriskIP: 192.168.2.8

    Сделан NAT до Астериска. Проброшены 2 правилами 5060, и другим правилом 10000-20000.

    Вроде бы все бегает, звонит, маршрутизируется. ( кроме одного телефона DLink - DPH 150S, но есть подозрение что виноват сам телефон. Во всяком случае всякие софтфоны нормально коннектятся и звонят )
    В виду оправданной паранойи на тему брутфорса в астериск, установлен fail2ban, и включены правила блокировки по подбору паролей.
    НО!
    в логах астериска я вижу такую строку.
    chan_sip.c: Failed to authenticate device 2000 sip:2000@83.219.159.159Т.е. вместе истинного ip бота\подборщика парлей я вижу внешний ip собственного шлюза.

    Вопрос, где поправить чтоб корректно отображался ip внешнего брутфорсера?</sip:2000@83.219.159.159>

    У меня по такой схеме работает freeswitch и облако. И то и другое отлично банится fail2ban. pfsense прокидывает source адреса на внутренние

  • 0 Votes
    8 Posts
    1k Views
    I

    @werter:

    Могу ошибаться, но ведь с неск-ми WAN-ми со squid в 2.2.х проблемы?

    ну я так понимаю проблема не в самой балансировке а в фейловере что и пытаюсь решить

    lb.jpg
    lb.jpg_thumb

  • сбор NAT статистики с помощью netflow

    4
    0 Votes
    4 Posts
    1k Views
    A

    мне эта инфа нужна что бы сдать СОРМ

    Вам нужна спец железка с соответствующим сертификатом, иначе вам кое-что "отвинтят" и кое-куда "засунут".

  • Проблема с портами из вне

    11
    0 Votes
    11 Posts
    3k Views
    S

    Нет, c kerio все ок, он держит соединение сейчас, в плане мы отходим от него и переходит на pfsense. когда включен pfsense  только он поднимает PPPOE

  • Помогите настроить PPTP сервер

    19
    0 Votes
    19 Posts
    4k Views
    D

    pigbrother, werter
    спасибо большое!
    Вроде как все заработало. Если что я еще напишу.

  • SQUID - медленно открываются сайты.

    4
    0 Votes
    4 Posts
    4k Views
    H

    нашел в чем был косяк - сквид не виноват (зато поставил себе 3.5.10 пока тестировал :D) - ошибся в одной цифре в айпишнике днс сервера в политике джунипера.
    топик можно удалить.

  • Gateway Groups - кривая балансировка [решено]

    14
    0 Votes
    14 Posts
    4k Views
    I

    ну вот ртк поднялся и все снова заработало.
    кастомные опции сквида:
    server_persistent_connections off;
    tcp_outgoing_address тут_ип_ттк;
    tcp_outgoing_address тут_пи_ртк;
    url_rewrite_program /usr/pbi/squidguard-amd64/bin/squidGuard -c /usr/pbi/squidguard-amd64/etc/squidGuard/squidGuard.conf;
    url_rewrite_bypass off;
    url_rewrite_children 16 startup=8 idle=4 concurrency=0

    persistant connections отключен чтобы балансировка была более менее равномерной и чтоб не тыкалось по упавшему линку.
    проблемных ресурсов пока что не много (например сбербанк у которого слетает авторизация). эту проблему пока решаю прописыванием конкретного гейтвея для конкретных айпи в rules.

  • 0 Votes
    54 Posts
    15k Views
    werterW

    @hvac14400:

    @werter:

    @hvac14400:

    у меня сенс 2.2.2
    если есть нтп - зачем синхронизация гипер ви, или если есть гипер ви - зачем синхронизация нтп? тем более если сам гипер ви тоже синхронизирован например с контроллером домена, который берёт время с того же самого нтп.
    видимо что-то одно можно отключить?

    Отключите синхронизацию времени в настройках ВМ на Гипер-В. И посмотрите, что будет.

    отключил - ничего не поменялось.

    У меня "убегать" начинает через нек-ое время. Повторюс, версия Hyper-V не R2

    P.s. Рекомендую Proxmox (KVM). Как раз недавно дистр. до 4-й вер обновился. Оч. хороший продукт - кластеризация, бэкапы, не нужно бренд. железо, zfs soft-raid из коробки.

  • 0 Votes
    8 Posts
    1k Views
    werterW

    Для прохождения пакетов из сети в сеть без изменения ip-адреса отправителя нужно поставить галку на NO NAT в создаваемом правиле NAT.
    И поставить его повыше (по ситуации). Ниже же будут правила NAT , касающиеся выхода лок. сети в Интернет\etc.

  • 0 Votes
    9 Posts
    2k Views
    werterW

    @pigbrother:

    А вот наоборот, из головной сети маршрутизации до клиента инициатора подключения никак добиться не могу.
    Сеть А - 192.168.4.0./24
    Сеть B - 192.168.6.0/24

    Если 192.168.4.0./24 - это головная сеть, создайте на LAN интерфейсе правило

    LAN net * 192.168.6.0/24 * * none

    Первая звездочка - это Protocol=any

    … и поставьте первым (на время хотя бы)

Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.