@Wh1te:

Друзья, подскажите как настроить редирект внешнего траффика на внешний IP ?

Т.е при подключении к серверу из интернета должна идти переадрисация на другой сервер в интернете

Client - > PF Sense ext ip:port (eg 1.1.1.1:80 -> Internet ip:port ( eg 2.2.2.2:80)

Пробовал через port forwarding, но переадресация там работает только на внутренние адреса.

Для чего исп-ся такая схема ?
Спасибо за ответ.

через pbi тоже не работает - структура каталогов слишком разная, плюс половина бинарников хэлперов в 3.3 отсутствует как класс. скрипты управляющие запуском/остановкой подозреваю содержат кривые пути, плюс куча костылей поналеплена (в виде линков) которые тоже разные в разных версиях, в общем задница полная.

тогда такой вопрос - морда и скрипты генерятся из .xml файлов, так? если их тоже взять из старой версии и затереть ими текущие? по идее тогда и морда должна конфиг адекватный генерить начать, и пути в скриптах выправятся?
ну может пару костылей ещё придётся забить, но адин хрен сенс это и так костыль на костыле, костылём погоняющий, судя по содержимому пакетов сквида например.

Пинги с роутера

6.png
6.png_thumb
7.png
7.png_thumb
8.png
8.png_thumb
9.png
9.png_thumb

В конфигурации bridge + proxy arp логика net.link.bridge.pfil_bridge и net.link.bridge.pfil_member не работает, т. к.:

The packets destined to the bridging host will be seen by the filter on
    the interface with the MAC address equal to the packet's destination MAC.

http://www.freebsd.org/cgi/man.cgi?query=if_bridge&apropos=0&sektion=0&manpath=FreeBSD+8.1-RELEASE&format=html

Т. е. трафик в вашем случае всегда фильтруется на интерфейсе моста, а чтобы дополнительно фильтровать его на интерфейсах-членах нужно установить net.link.bridge.pfil_local_phys=1

https://redmine.pfsense.org/issues/729

Решил обе задачи одним разом - в свойсвах сетевого адаптера в гостевой ОС установил tcp checksum offload (ip4) = disable
все заработало и скорость до 100 Мб\сек

Мухи - отдельно, котлеты - отдельно.

Используйте Urbackup, BareOS (форк Bacula, есть веб-фейс - http://www.bacula-web.org/gallery.html ) - отличные продукты.

Под freenas есть urbackup (в виде jail-контейнера) - https://forums.freenas.org/index.php?threads/urbackup-and-freenas-8-3-backup-and-windows-baremetal-restore-fantastic-solution.9823/

Возьмите старенькую машинку, гигабитную сетевую, два или более винтов. Воспользуйтесь той же ubuntu 14.04 LTS, cобрав при установке softraid уровня 1 , 5, 6, 10 (в зависимости от ваших требований). После этого разверните на ней ту же BareOS, Urbackup.

Или все тоже самое + флешка + freenas + urbackup (в виде jail-контейнера).

И pfsense в кач-ве всего остального.

Самое главное - это о п ы т.

возникла маленькое не удобство с режимом  "unfiltred", так то она работает все норм.
как то программисты по 1С-ке попросили соединить через сеть клиентов через программу Ammyy Admin - решение для удаленного доступа к компьютеру через Интернет!. Я сам не сторонник таких программ для таких дел, но им нужно было сделать доступ, так было решено.
Вот тут и возникли проблемы через "unfiltred" все клиенты которым доступ был (Все и Вся) не могли работать с этой программой..
решение было такое в группе ACLs во всех вкладышах с
    Pics
    Phrase Lists
    Site Lists
    URL Lists
    Extension Lists
    Content Lists
    Header
    Searche Engine

создал правило и там указал Exception, а ужу в Groups выставил значение Filter Group Mode= Filtered..

после тем пользователям который был полный доступ так же могли гулять где хочу и работать с программкой Ammyy..

удачи Всем …

@dvserg:

Установить stargazer на pfsense
https://www.google.ru/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8#newwindow=1&q=%D1%83%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0+stargazer+%D0%BD%D0%B0+pfsense

Вот спасибо!!!) Теперь есть куда копать. Это я, что то тупанул, искал pfsense+ubilling, а надо было pfsense+stargazer.  :D

Ага, только всетаки есть одно но, которое правда не мешает потом подключиться и его пофиксить, без него там в сети не работает инет, шлюз по умолчанию остается старый, потом можно подключиться и через веб интерфейс сменить умолчания на новый.

@werter:

заставляет использовать в кач-ве шлюза интерфейс, а не next-hop.
Типа как в *nix команда route add x.x.x.x dev eth1

Выбор шлюза в настройках интерфейса на системную таблицу маршрутов никак не влияет, но в некоторые pf правила добавляет опции route-to/reply-to. Т. е. получается policy routing на gateway средствами pf, который и мешает в данном случае, т. к. осуществляется в обход системной маршрутизации.

http://pfsensesetup.com/unbound-dns/
http://pfsensesetup.com/unbound-dns-additional-settings/

Web сервер идет сразу за интерфейсом или через провайдера?

Приходилось решать вопросы о проблемах MTU с одним очень известным провайдером (всего у меня около 30 подключений у различных провайдеров, у того с кем были проблемы их 9). Доказывать что "Ты не осел" приходилось ооочень долго. Мне помогло то, что много разных подключений, и я графиками мониторинга (пинги, потери, загрузка канала), скринами результатов (tcpdump, tracert) смог доказать что косяк у них, не зависит от моих настроек и оборудования. Было "весело". Долгая была история.

Можно посмотреть эту статью http://habrahabr.ru/post/136871/ - может натолкнет на мысль.

А так вообще находил "черный дыру" MTU от 1400 до 1472, при меньшем пакет проходил, при большем говорил о необходимости дефрагментации, а при MTU в рамках этой "дыры" - "превышен интервал…."

Нужно искать где может быть проблема, и если путь до web сервера немаленьких (и часть пути не Ваша) - то ответ может найтись далеко не сразу. Если путь весь Ваш, - рисуйте схему, обозначайте где стоят firewall'ы (именно на них часто эти проблемы), коммутаторы, - обозначьте какие mtu на каких интерфейсах и проверьте их тем же ping'ом. Если все прошло хорошо, тогда нужно проверить MSS (maximum segment size) - также рисуем какие где значения и проверяем их (может где-то искусственно занижено, или vpn-тоннель где-нибудь идет через интерфейс с заниженным mtu). Информации в сети об этом достаточно даже на русском. Нужно пробовать, искать - тогда все получится  :)

Сервера с публичными IP вынесите в отдельную DMZ сеть с отдельным Bridge интерфейсом без NAT.

нет, версия не 2.2
помогло вот что: Option 12 - playback removeshaper

@rogerx1911:

В общем капец, я в шоке, заработало. Не торопитесь ничего отвечать. С моей проблемой столкнулись бы, жареный бы клюнул.
Позже опишу подробно

И когда же случится Ваше раскаяние? Ешё позже?

PS Чтоб жаренный клюнул, особые наркотики нужны. Оно не каждому доступно.

сейчас пойду поставлю  в рабочую сеть, посмотрю еще раз

@Antonio_Grande:

Друзья, если на 2.1.5 у кого без проблем будет  эта связка - отпишите, пожалуйста.

В ноябре прошлого года поставил эту связку, после очередного обновления установленный squid сглючил. Переделывал все с нуля, поэтому решил сразу 3ий поставить + IPCAD, правда повозился пока разбирался, но вроде работает и после рестарта роутера тоже проблем не наблюдается:

test.JPG
test.JPG_thumb

http://community.spiceworks.com/topic/341371-pfsense-quagga-ospf
https://www.dtbnet.com/category/pfsense/

Верно.
А еще можно назначать "вес" шлюзу. Например, если один канал имеет меньшую скорость, чем другой или важность\приоритет.
Так же не забудьте про Stickly connections и про Limiter. Иначе вам торрентами канал забьют.

P.s. Я бы еще IDS Suricata прикрутил  на случай, если у пол-лей что-то заведется и начнет канал кушать - http://pfsensesetup.com/tag/suricata/

Спасибо, попробую создать группы на латинице и добавить туда пользователей.