Вопрос: где лучше в pfsenes хранить этот файл с логином паролем

Там где и остальные настройки OpenVPN. Только не забудьте проверить разрешения на этот файл.

Вопрос почему на pfsense я делаю дополнительный виртуальный ip он записывается на тот же интерфейс ? (см принтскрин) как сделать что бы он прописался на отдельный интерфейс? что бы его можно было использовать в iptables?

А на какой он должен присваиваться ? Это же просто алиас.

1. На самом роутере был поднят виртуальный интерфейс br1 (основной br0)

Это VLAN! Не путайте Virtual IP и VLAN.

P.s. Пропишите на LAN проблемного pf в fw правило , где в Source - 192.168.2.0\24, в destination - 192.168.0.0\24,
а в кач-ве Gateway - OpenVPN. И поставьте его (выше) сразу после первого правила. Проверьте. И покажите скрин этих настроек.

P.s. Возможно, что аналогичное правило прийдется нарисовать и на pf-сервере, но могу ошибаться.

Попробуйте понизить лимит на размер файла. У меня стоит 3 мегабайта к примеру.

Т.е. я должен выгрузить конфиг

Virtual IP в помощь. Тип - IP Alias.
Не знаете как - смотрите на ютубе. Или нагуглите.

Но там где мне нужно поставить этот шлюз, необходима статическая адресация WAN и создание PPPOE подключения с логином и паролем.

Это наз-ся Dual\Russian-соединением, т.е. когда на WAN имеется серый локальный адрес и одновременно поднимается туннель

Вам в эту ветку - https://forum.pfsense.org/index.php?topic=24734.0 . Необходимо будет создать доп. интерфейс на WAN - pppoe

P.s. Отключите блокирование серых сетей на WAN pfsense.

Dear All,

as it turns out, the CRL does not work, when using the pfsense cert manager in freeradius. For further details, please see https://forum.pfsense.org/index.php?topic=43675.msg432323#msg432323.

Regards,

Michael Schefczyk

Получается, что только с импортированием на Win будет работать. И в таком случае :

https://forum.pfsense.org/index.php?topic=60754.0 :

1.

You have to create the CA and server cert on pfsense "Cert Manager" or you import it from somewhere else.
After that go to:
services –> freeradius --> EAP
Select "CHose pfsense Cert Manager"
empty the privat key password - you do not need any
select your CA
select your SERVER cert
click save

Sometimes it could help to click a second time "Save".

On Windows you must make sure that the client has enabled to verify the CA. This is not always the case and can be disabled.
Take a look here. It shows you the "validate server certificate"
http://i.technet.microsoft.com/dynimg/IC120658.gif

2.

You can try to go to

/usr/local/etc/raddb/certs/
and delete the certificates there.

After that go back to the GUI, select your CA and server cert and click save and make sure it places the certificates in the path I postet above.
If it does then it should be ok.

With the GUI tab "View config" you can check eap.conf if it points to the correct certificates.

Did you disable the WEAP EAP types ? If you disabled them then please try to enable them and try again.

From googleing:
Are you using an intermediate certificate ?

3.

Found the culprit.
Apparently, I needed to have the User 'Password Encryption' set to Cleartext, instead of MD5.

4.

Fixed it.
Apparently I have a lot to learn about certs.
I needed to export the CA cert that is listed under the "CAs" tab in the Cert Manager.
What I had done was to export the cert that I thought was the CA cert that I created and was listed under the "certificates" tab.
Still don't know the how/why this fixed it, but I'd really like to understand this better!

У человека в конце концов получилось.

Скрины правил fw.

@werter:

Проблема pfSense состоит в том, что данный дистрибутив контролируется компанией Electric Sheep Fencing, которая владеет правами на торговую марку и требует от всех участников разработки подписания специального CLA-соглашения, в рамках которого разработчик передаёт имущественные права на код.

Ну это уже погрешности перевода. Никаких имущественных прав никто никому не передает. Контрибутор дает ESF неэксклюзивную, безотзывную лицензию на использование своего кода. При этом он не утрачивает прав на свой код и может распоряжаться им как хочет в других проектах. CLA сделано для того, чтобы ESF не потащили в суд за чужую проприетарщину в исходниках.

Другой проблемой pfSense является ограничение доступа к сборочному инструментарию, что мешает созданию сборок, адаптированных для решения своих задач.

Подписывашь LA (не путать с CLA) и никаких проблем. LA всего лишь требует, чтобы при "создании сборок, адаптированных для решения своих задач" в этих сборках было явно указано, что они не является оригинальным pfSense. Ну, просто потому, что ESF не хочет отвечать репутацией pfSense за чужие поделки.

https://forum.pfsense.org/index.php?board=59.0 - год шли бои за то, чтобы это объяснить. Много тех полегло, кто адаптировал pfSense под свое железо и нес его на ebay с наклейкой "pfSense certified". Один, помнится, еще и годовую коммерческую поддержку людям продавал, о которой в ESF естественно ничего не знали.

Проблема решилась путем добавления во вкладку OpenVPN: Client Specific Override директивы с указанием локальной сети: iroute 192.168.10.0 255.255.255.0

Ничего не понятно. Где модем? Как соединяется?
А вообще порты открывать не надо - по умолчанию они все открыты (Default allow LAN to any rule).

Исходя из вашего лога вам скорее нужно не сделать портмаппинг 1165-го порта внутрь вашей сети.

Т.е. у вас  имеется внутренняя ip-атс и она по sip подключена к какому-то провайдеру ? Потому как порт 5060 используется только для аутентификации. Для передачи голоса используется RTP и диапазон udp-портов (по два на каждое клиентское подключение).

Дело в том, что у меня похожая ситуация. Извне ко мне подключаются клиенты , а моя ip-атс подключена к sip-провайдеру.
И при этом я использую нестандартный порт sip-аутентификации для моих внешних клиентов (т.е. не 5060).

В таком случае, пробрасывать порт 5060 для sip-аутентификации для внешнего провайдера не нужно. Потому что подключаетесь вы к sip-провайдеру, а не к вам подключается провайдер.

Вам хватит просто разрешить в правилах fw на LAN адресу вашей ip-атс  подключаться ко внешнему sip-провайдеру.

Ошибка появлялась в главном меню консолиhttp://s017.radikal.ru/i412/1412/15/e87ae98b287c.jpg
У гугла спрашивал именно по тому, что было на экране.
Не нашел в каком из логов смотреть, тк после удаления rc.local перезагружал, большинство логов чистые=(
В system.log ничего кроме того, что постоянно с непонятных внешних IP пытаются подключиться…
Подскажите пожалуйста какие еще логи посмотреть

@mons:

Другого способа нет?

Другой способ - в 2 правила
1. Запретить на любые серые сети
2. Разрешить везде.

Тот-же вид, только сбоку.

Прелагаю след. вариант.

Выгружаете бэкап конфига. А лучше - бэкап виртуальной машины и конфига.

Меняете политику Лимитера на динамическое деление канала между всеми пользователями. Естественно, отдаете им не весь канал, а ,скажем,
50 Мбит\с для начала. Я бы еще кол-во сессий TCP и , особенно,  UDP ограничил на пол-ля.

И настоятельно рекомендую создавать правила Лимитера во Floating rules.

После этого мониторите пару дней ситуацию и делаете выводы.

И самый важный вопрос - у вас точно "чистые" 200 Мбит\с в мир или же провайдер гарантирует (?) только российский\европейский каналы на такой скорости ? Я вот в этом не уверен . Тогда нужно рисовать несколько Лимитеров. А неверное указание скорости для резания - это проблемы (особенно при большом кол-ве пол-лей) .

Как вариант - подключайте еще одного\двух провайдеров - будет и балансировка и феиловер.

P.s. Советую прикрутить IDS (ту же Suricata - http://pfsensesetup.com/tag/suricata/) и "натравить" ее на LAN - интерфейс(-ы) . Вирусы у пол-ей , знаете, тоже трафик кушать любят.

Иначе залюбитесь объяснять всяким сервисам непонятную активность с ваших IP.

P.p.s. Вы ,случаем, не из Воронежа будете?

@ogursoft:

Статистику, да собираю с помощью lightsquid, как определить все ли закрыто извне?

Этим, например.
http://hideme.ru/ports/

@mons:

спасибо Добрый Человек.
Как же посоветуете обезопасить подключения с динамических внешних адресов?

Что-то типа fail2ban, как минимум (для SIP). Можно пакет pfblock (забыл как правильно наз-ся) и блокировать все китайские IP на WAN.
Как вариант - Suricata\ Snort - http://pfsensesetup.com/tag/suricata/

Разобрался! Во флоатинг вальнул правило и все обратно заработало. Правила так и оставил в лане.
Но как я понимаю:
1. В лимитера указывается весь канал и все кому он будет указан будут его делить? Т.е. укажу 512 туда и обратно к примеру для 3-х клиентов и 3 клиента будут пользовать 512, а не каждому по 512, т.е. если я забью канал, то остальным будет куль? Режется на клиента или на отдельное соединени? Я бы хотел Что бы в конкретном алиасе каждому пользователю не более 512 было. Как я понимаю надо брать и ставить source и destination. Но какой куда? Был бы толковый ман, правда прочитал бы. Хоть на английском.
2. Еще пользователи любят торрентом качать, а он может и udp, то соотвественно у меня в правилах все протоколы. Но тогда вопрос, как мне быть с Layer7? У меня там запрещенные адреса. Создавать все те же адреса с TCP и layer и отдельно остальные?

@Vitaliy:

Не могу понять почему так происходит.

Попробуйте изменить порт админки PF согласно картинки.

443.JPG
443.JPG_thumb

Если хотите OSPF - не заморачивайтесь  с SSL - адекватно работать не будет.
У меня рабочая схема 4 офиса (Peer to Peer)  + client (SSL/TLS)
По верх этого всего OSPF,  а у клиентов 2-remote server в конфиге OpenVPN

Если без OSPF, то с натяжкой как в комментарии gr0mW

А лучше почитайте про mx priority
На примере как то так:

mail1.example.com. 22879 IN A 1.2.3.4
mail2.example.com. 22879 IN A 1.2.3.5
mail3.example.com. 22879 IN A 1.2.3.5
example.com. 22879 IN MX 10 mail1.example.com.
example.com. 22879 IN MX 10 mail2.example.com.
example.com. 22879 IN MX 20 mail3.example.com.