В разных сервисах DHCP по разному работает поиск диапазонов. В dhcpd видимо ищет первый подходящий по списку конфиге  диапазон, в других используется так называемый "жадный" поиск (как по сетям в целом) - подходящим считается наиболее узкий диапазон (range).

1. необходимо использовать NetBIOS домена, которое вы могли выбрать при развертывании AD (картинка 2)
2. в строке достаточно указать размещение пользователя pfsense. У меня создан был пользователя в стандартном каталоге Users, по этому моя строчка выглядела так : CN=Users,DC=domain,dc=local. На картинке уже результат нажатия SELECT, и выбор вручную необходимов подкаталогов, где расположены мои пользователя домена.

ADDS4.PNG_thumb
ADDS4.PNG
pfsense.png_thumb
pfsense.png

Ни пробовал, но мне кажется кол-во пользователей напрямую зависит от битности сети, те при \16, кол-во 65536, а дальше уже от железа и возможностей пакета.

@bill_open:

решил вопрос галочкой в Proxy server: General settings->Disable X-Forward

Failover не работал из за squid, копайте в сторону default gateway

@NetWiz:

наверное получилось… внимательно разглядел графики, по интерфейсу vlan10 достигаются скорости, превышающие возможности wan.

на 2.1.3 не правильно рисуются графики, значение входящей скорости удваивается от реальной. такая проблема на vlan интерфейсах, на реальных eth0 проблема отсутствует. Обещают поправить в 2.2 релизе. Я у себя поправил редактированием файлика graph.php

@John_PFsense:

Правила, lan wan.

На Lan.
TCP
Src - IP исключаемого компьютера, Port Any
Dest Any, Port 80/443

@werter:

@ dvserg

А как быть с ситуацией, когда клиенты получили сетевые реквизиты (и шлюз в том числе) и вдруг пропало эл-во на pfsense? Им что каждый раз делать ipconfig /renew или кабель из разъема вытаскивать\вставлять?

Нет это не дело. Именно постояное наличие у клиентов двух шлюзов с разным "весом" спасет отца русской демократии ситуацию.

P.s. Все же прислушайтесь к совету ув. pigbrother. Возможно вас спасет CARP с его DHCP Failover.

Пробовал назначать 2 шлюза с разными метриками , правда давно, тестировал на ХР\2003.
Время переключения Windows на шлюз с большей метрикой было слишком большим, если не сказать бесконечным.
Может быть современные Win7\8 будут вести себя адекватнее.
Собственно в поисках решения для файловер и познакомился с pfSense.

@werter:

Глупая мысль, а провайдер не режет случаем?

Доброго времени суток.
Отчитываюсь: было выявлено следующее: потери пакетов до Default gateway, в остальных направлениях пинг без проблем.
После воскресного пинка звонка в саппотр, с разбором полётов, в понедельник утром проблема самоустранилась  ;D
Всем спасибо, тему можно закрыть.

P.s.  Тем более что параллельное обсуждение всё равно зашло в тупик….

Извиняюсь, мой косяк. Проблему нашел, она не связана с pfsense . тему можно закрыть.

Да действительно работает, я его победил!!!! Шлюзом на почтовике стоит 192.168.1.8, тестовое правило сделал как здесь https://forum.pfsense.org/index.php?topic=46795.0, позже сделаю под свой почтовик.

@golge:

Все работало.
По айпи прокси сервера веб морда открывалась.
Недавно свет ночью вырубился. После этого открываться перестало.
Пишет, что страница недоступна или выкидывает в поисковики.
Инет работает. по WinSCP подключается. не работает только веб морда.
Где копать?
В логах ошибок вроде нет.

Самый быстрый вариант восстановления - слить конфиг по WinSCP, поставить новую чистую инсталляцию и импортировать конфиг. Делов на 15-30 минут.

вроде нет)

спасибо за помощь

вообщем похоже разобрался
надо чтоб в interfaces => WAN в разделе IPv4 Upstream Gateway стояло NONE если поставить один из шлюзов то  упрямо будет слать все пакеты туда не смотря ни на какие правила

Слить конфиг и перенести на чистую установку.

Последнее правило - лишнее.

@9or1ov:

Выбор второго lan ненашол. Предлагается opt. Как сконфигурировать opt чтобы он работал в точности как lan интерфейс? Может быть я плохо изъясняюсь, уж простите)

В pfSense один WAN и один LAN интерфейсы, остальные OPT, которые вы можете сконфигурировать и назвать под свои задачи. А чем проблема сконфигурировать на OPT локальную сеть?

Схема в главном посте

Что в итоге необходимо:

@NetWiz:

Посмотрел на его ценник, в легком шоке ;)

не напасешься на все эти подписки

@ N3w4dm1n
А если добавить его физ. адрес в связку MAC<–>IP, а затем запретить этому ip доступ в сеть ?

P.s. Странно, почему блокировка ipguard-а не сработала... Может что-то с настройками ?

уже добавил, глянем что за хацкер такой, а потом его в firewall поблочим  ;D ;D ;D

если в удалённой сети нормальный роутер, то можно занатить определённый порт ( по которому ломишся) и с роутера с белым айпи форвардить на vpn айпишник удалённого роутера, а с него уже на нужный аппарат.
во всяком случае у меня такое извращение проходило =)
тоесть у тебя получается двойной нат конкретного порта.

кстати если у тебя в обоих офисах есть хотябы один вменяемый провайдер то попроси Vlan между ними ( он будет намного дешевле интернета) и геморой с впнами отпадёт