• Обрыв закачки файла

    3
    0 Votes
    3 Posts
    1k Views
    werterW

    2 vitektm

    Смотрите логи pfsense

  • PfSense на Mikrotik

    5
    0 Votes
    5 Posts
    4k Views
    S

    @VLK:

    Возможно ли поднять pfSense на Микротике (в данном случае RB1100AHx2)? Интересуют все варианты - как с использованием виртуализации (MetaROUTER), так и полноценная замена RouterOS.

    pFsense расчитан на работу на процессоре  x86 архитектуры. чтобы он заработал на других процессорах нужно всего лишь соответствующее ядро собрать.
    в принципе это вполне доступно.  но не понятна цель.

    проще dd-wrt купить и поставить. есть сборки на платформу микротик.  тестовый период сутки, потом лицензию покупать надо.

  • IPSec backup

    13
    0 Votes
    13 Posts
    3k Views
    S

    @SergeyRDW:

    @SergeyRDW:

    @werter:

    Покажите скрины настроек - fw (LAN\WAN\IPSEC), gateway groups, etc

    в данный момент нет возможности, но скажу сразу на обоих PfSense в Firewall для LAN, WAN*, IPSec разрешено все ото всюду во все стороны.

    кому интересно, с версией pfsense 2.1.5 разобрался - при переключении c WAN1 <-> WAN3 на WAN2 <-> WAN3 на машине с WAN3 не удалялась старая настройка SPD (см. Status: IPsec: SPD) и не появлялась новая,
    вылечилось методом установки "Policy Generation" = "on" в секции "VPN: IPsec: Edit Phase 1", по умолчанию "Policy Generation" = "default".
    Но в pfsense версии 2.2 этой опции ненашел, и проблема опять с SPD. Кто знает как релизовать мой вопрос в версии 2.2 ?

    Всем , привет!
    В продолжении темы. Теперь следующий вопрос:
    При обрыве основного канала WAN1 <-> WAN3 происходит переключение на резервный WAN2 <-> WAN3, и все нормально работает,
    а далее при переключении с резервного WAN2 <-> WAN3 на основной WAN1 <-> WAN3 соединение сначала устанавливается (секунд на 10-15), а потом "падает", хотя в логах видно что есть стабильное подключение по основному каналу, WAN1 и WAN2 объединены в группу, и в настройках указанно использовать именно эту группу.
    НО при переносе конфига на другой pfsense все начинает нормально работать (переключение между обоими каналами), с единственным отличием, что на другом pfsense "убивается" не существующий интерфейс (на одну сетку мешьше), и "убиваются" "Virtual IP" созданные в "Firewall: Virtual IP Address" - "IP Alias".

    подскажите что не так? :'(

  • 0 Votes
    3 Posts
    651 Views
    D

    @sidreshot:

    Все, разобрался. Дистрибутив не работает, выкидываем его на помойку. Разработчики, вы - ******.

    Попробуйте воспользоваться любым другим альтернативным платным продуктом, либо реализовать свои "пожелания" за отдельные деньги.

  • Ряд вопросов от новичка.

    11
    0 Votes
    11 Posts
    2k Views
    D

    Пусть себе Клиент и хочет белый ip-шник  :) Кто же против то?!  ;)

    Я и написал, что лично мне не понятна цель (хостинг, свои нужны), - есть варианты решения? - есть.

    @Scodezan:

    @dima_k:

    Если от провайдера приходит всего один кабель - так заведите его сразу на коммутатор с поддержкой VLAN'ов, и уже там направляйте на сколько хотите хостов в рамках выделенного адресного пространства. Для мониторинга-управления этого коммутатора тогда либо VLAN из локалки, либо присвоить один из "белых" адресов. Какую тут схему выбрать решайте из своих требований к безопасности.

    Стоило б спросить может ли его концентратор с поддержкой VLAN, запретить серверам, допустим, подключаться к портам 25,110.

    Есть задача - подбирается решение, исходя из ресурсов (людские/материальные) и сроков

    @Scodezan:

    @dima_k:

    К тому же, можно использовать виртуальные адреса на одном физическом интерфейсе pfSense, можно использовать VLAN'ы на самом pfSense.

    Да, подробнее, пожалуйста, как?

    Опять же - цели. Если есть желание и возможность фильтровать трафик на одном pf все-таки без проброса белых ip - то почему бы и нет - родительский интерфейс для vlan'ов, к нему назначаем дочерние.

    Если же задача в том, что именно фильтровать трафик при коммутации пакетов - тут другое решение, и pfSense тут не поможет (на сколько я знаю).

    @Scodezan:

    @dima_k:

    Также не совсем понял как в итоге должно выглядеть.

    Представьте, Вы предоставляете в аренду виртуальный хостинг. Клиент хочет белый IP, Вы ж это дело проворачиваете нелегально и желаете хоть как-то себя обезопасить. С этой целью и рассматриваете какой-то фильтр по скорости и тп

    Желание обезопасить себя должно быть закреплено в договоре оказания хостинг-услуг (и это уже и будет тогда вполне легально, если Вы зарегистрированы в качестве поставщика этой услуги и платите налоги), если к Вам приходит 100Мбит, а Вы выдаете клиентам по 2 Мбита по договору, то "какой-то фильтр по скорости и тп" приходится использовать. Тот же виртуальный хостинг, допустим, с использованием гипервизоров и виртуальных машин - все это делается элементарно средствами самого гипервизора: и ограничение по скорости, и фильтрация, и предоставление хоть серого, хоть белого ip.

    Все сводится к схеме: цели-средства-результат. Мне непонятны мотивы, о средствах ни слова, но нужен результат. Какой вопрос - такой ответ.

  • PfSense 2.2: ipsec up - пропадает lan

    3
    0 Votes
    3 Posts
    2k Views
    D

    Все проверено, адресация не совпадает - уже почти 10 лет работает  :) (на pf не все эти годы, но все же)

    Если в remote network стоит 0.0.0.0, то весь трафик будет заворачиваться в туннель.

    Верно. Это нужно, это работает. Проблема в том, что в туннель попадает трафик, который относится к lan адресу pfsense. Что я имею в виду:

    с pfsense пингуется localhost; с pfsense lan адрес и любой адрес из его же локальной сети не пингуется, собственно потому и отвались некоторые сервисы, которые находятся в локальной сети: это доменный контроллер и прокси zabbix'а (повторюсь, при отключенном ipsec это все работает и работало на прежних версиях с включенном ipsec).

    Прохождение пакета в pf? Ответ, например, тут https://forum.pfsense.org/index.php?topic=73670.0

    По моим результатам получается, что я спрашиваю: "кто такой localhost?" - ответ pf: "Я!"
    Вопрос:"кто такой по lan ip (настроен как статика на порту em0)" - ответ pf: "Не Я!", и отправляет его в ipsec-тоннель, т.к. его ip попадает в пространство 0.0.0.0/0.

    Да и собственно, да и если даже теоретически представить, что такой же ip есть в удаленной сети, то это не должно влиять, т.к. pf обязан понять что это адрес принадлежит также и ему. По ссылке выше есть схема, где есть блок условия "to me?", и он выше таблицы маршрутизации, и я совершенно согласен. что это правильно.

    Я это все к чему - я не понимаю в чем может быть причина, когда я задал локальному интерфейсу ip, допустим, 10.0.0.1, а pf мой запрос по этому адресу (даже не только с компа локальной сети, но и через web (Diagnostics-Ping или Diagnostics-Command Promt), и из терминала) уходит в тоннель.

    Уважаемый werter, я настроен позитивно - ни капли негатива если что  :) попытался объяснить, что все по максимуму постарался проверить, а ехать переустанавливать неблизко, резервного канала и второго белого ip нет. Хочется выслушать идеи, если есть.

    Что в таком случае можно проверить? Как я понимаю нужно смотреть на уровне ядра т.к. не проходит проверка принадлежности ip адреса к списку адресов, которые присвоены интерфейсам на pfsense.

  • Объединенить два офиса pfSense 2.2

    3
    0 Votes
    3 Posts
    1k Views
    P

    @dvserg:

    Поднять туннель VPN между офисами.

    @zga029:

    Здравствуйте, подскажите пожалуйста, как настроить-объединить два офиса?

    Офис №1
    pfsense 2.2
    pppoe
    wan 111.111.111.111
    OPT1 10.0.5.1/24 (выдал провайдер для объединения двух сетей)
    lan 192.168.20.0/24

    Офис №2
    pfsense 2.2
    pppoe
    wan 222.222.222.222
    OPT1 10.0.5.2/24 (выдал провайдер для объединения двух сетей)
    lan 192.168.2.0/24

    провайдер один и тот же
    OPT интерфейсы с двух сторон пингуются.

    провадейр сказал укажи что за 10.0.5.1/24 есть сеть 192.168.20.0/24 и наоборот, тогда скорость будет до 100 мб/с

    Как правильно реализовать? IPsec туннель или есть какой нибудь другой вариант?

    Да, поднять любой VPN.

    Причем проверить, что будет лучше\стабильнее\быстрее - туннель между OPT или между WAN.

    Как вариант, провайдер уже настроил маршрутизацию для сети 192.168.20.0/24 за 10.0.5.1/24. Что, кстати,то про сеть за 10.0.5.2/24? Узнайте детали у него, возможно будет обойтись сменой адресации для локальных сетей, заданной провайдером и добавлением на pfSense маршрутов без поднятия VPN.

  • 0 Votes
    3 Posts
    965 Views
    M

    Спасибо друзья. Извиняюсь за глупый вопрос. выставил правило ICMP  и Оп-п-па!…

  • Ipcad, hostname и лог squid-a

    14
    0 Votes
    14 Posts
    3k Views
    A

    Подскажите следующее если тема жива, пробую настроить по данному скрипту но ничего не получается, проблема в том что у меня DNCP и DNS сервера на контролере домена отдельно на машине и в /etc/hosts у меня только локальные имена pfsense.

  • SquidGuard и GroupsACL из AD

    2
    0 Votes
    2 Posts
    551 Views
    werterW

    https://forum.pfsense.org/index.php?topic=86635

  • Объединение двух сетей через pfSense.

    20
    0 Votes
    20 Posts
    7k Views
    werterW

    @gudy:

    Спасибо всем за помощь, все задачу решил, все работает. Моя была ошибка в том, что я заморочился на маршрутизации и совсем забыл про правила фаервола, думал, что если все разрешу будет работать. В общем всем спасибо, пока разобрался, все работает как надо. В правилах разрешил только то что можно, остальное все закрыл. Следующей задачей, хочу завести еще одного провайдера и настроить балансировку с приоритетом трафика, но это тема следующего топика.

    Можно было просто не разрешать. Явно запрещать при просто схеме не нужно.

  • Тестовый "стенд" на Win7 + VirtualBox

    17
    0 Votes
    17 Posts
    5k Views
    werterW

    Вам надо, чтобы Вин7 выходила через пф в интернет ? Или чтобы ваша реальная машина выходила через пф в интернет ?

    Если первое, то пробуйте:

    pfsense :
    1. WAN пф - это NAT на вашу реальную сетевую
    2. LAN пф -  Виртуальный адаптер хоста (Host-only)
    В fw на LAN pfsense - разрешено всё всем и по всем протоколам. Скрин этого правила покажите здесь
    И отключите блокирование "серых" сетей на WAN в pf.

    Вин7:
    LAN - внутренняя сеть, т.е. доступная др. вирт. машинам и хосту. В кач-ве шлюза - ip-адрес LAN pfsense. В кач-ве DNS - ip-адрес LAN pfsense\ google DNS.

    LAN pf и LAN Вин7 находятся, ес-но,  в одном адресном пространстве.

  • Еще раз о настройке L2TP/IPSec на pfsense

    4
    0 Votes
    4 Posts
    1k Views
    werterW

    @ABBaz:

    @werter:

    OpenVPN

    "Не хочу использовать сторонний софт… нужно чтобы работало из коробки в окнах"
    "Еще раз. Не ищите себе приключений и лишних забот. Я уверен, что у ваших пол-лей намного больше ненужного стороннего ПО, чем OpenVPN."
    Но все- таки из коробки проще.
    До этого я пользовался SHREW SOFT VPN CLIENT но с 2.2 это не удается

    Считайте, что OpenVPN - это "из-коробки" ::)

  • IPSec to Dlink DFL-260E через FQDN

    6
    0 Votes
    6 Posts
    3k Views
    V

    Господа… отбой.

    для мульти WAN только dynamic dns., FQDN в общем DNS не работает.

    Как я понял: клиент по FQDN получает несколько IP,  и видать каждый раз разные (DNS имеет свойство обновляться). dynamic dns возвращает только 1 IP, но при падении канала обновляет на необходимый (на данный момент активный), потом racoon рестартится и получает нужный.

    на данный момент канал поднят уже как мин 20-30 )

  • Ошибка при установке pfsense 2.2 на Hyper-v

    6
    0 Votes
    6 Posts
    2k Views
    D

    Проблема решилась определением жесткого диска на "Контроллер 1 IDE" после дисковода, а вот на нулевом почему то не хочет… вот такой вот баг.

  • Эмуляция интернета.

    13
    0 Votes
    13 Posts
    3k Views
    S

    @venom177:

    Задал интерфейсам OPT и WAN адреса гейтов для этих сетей(62.140.253.126/30 и 213.79.116.147/29)

    Странно почему, OPT и WAN, а не LAN и OPT, впрочем ладно.

    Таблицу маршрутизации смотрим Diagnostics\Routing. Что до отключения fw, не знаю как в pf, но zentyal после этого перестаёт выполнять выполнять функции роутера.

    А вообще, по мне фигнёй маетесь, если Вам надо локально потестить возможности железок, Вы можете WAN портам дать адреса из одной подсети, соединив через хаб. Остальное можно порешать после…

  • Как отключить NAT?

    6
    0 Votes
    6 Posts
    2k Views
    S

    @Vlad71:

    Еще момент такой, сеть на wan-порту (частная не интернет) 20.xxx.xxx.xxx а LAN 192.168.1.1

    Тогда отключать надо вlock bogon networks. Есть ещё маршрутизаторы/провайдеры на пути(схема подключения состоит из одной прямой линии)? Возможно ли изменение схемы, адресации?

  • 0 Votes
    8 Posts
    3k Views
    D

    @werter:

    Я что-то пропустил или у ТС есть гипервизор ?

    Будет. :-)

  • 0 Votes
    6 Posts
    3k Views
    D

    Еще в этой же конфигурации (через прокси) обратил внимание на то, что после обрыва соединения туннель не восстанавливается, приходится перезапускать службу. После RTFM добавил в файл конфига```
    keepalive 10 180

    Может, кому-то из начинающих (как я) эта инфа пригодится.
  • Почему не работают правила?

    4
    0 Votes
    4 Posts
    971 Views
    O

    Действительно, забыл dns, вот, что значит свежий взгляд! Спасибо.

Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.