И не забываем после изменений правил шейпера делать Reset States!

Кстати, опробовал метод DansGuardiаn+Squid3. Сначала его эвристический анализатор заблокировал почти весь инет, как порнографию. После отключения эвристики и оставления только списка блокировки, оно заработало, но начало затыкаться при большом кол-ве запросов. В общем, пока оно всё погашено. Даёт слишком неприемлемые тормоза. Буду эту парочку вырубать.
Попробую ещё SquigGuard+Squid, но если оно будет так же, то нах-нах.

Спасибо. все получилось.

Или в удалённой сети не хватает каких то галочек ?
Или где то в pfsense галочку нужно поставить что бы он всегда поддерживал соединение ?

121.png
121.png_thumb

Вот на картинке видно:

удалённые сети
192.168.5.0/24
192.168.100.0/24

Сети VPN
192.168.200.2
10.0.12.2

192.168.5.0/24 192.168.200.2 UGS 0 9 1500 ovpns1
192.168.100.0/24 10.0.12.2 UGS 0 17 1500 ovpns2

Судя по этому удалённые сети знают сеть VPN которая в свою очередь знает центральную 192.168.0.0/24
А как научить центральную сеть 192.168.0.0/24 видеть удалённые ?
Потому, что из удалённых сетей центральную видно, а вот центральная удалённую не видит.

роутинг.png
роутинг.png_thumb

@dikobraz:

Доброго вечера!
Проблема в следующем:
Есть pfSense 2.1.2, есть linux server за ним.
Настроен проброс порта SSH на данный linux server. При подключении через putty можно добавить SSH туннель, и подключившись по SSH к серверу linux раньше можно было зайти на WEB интерфейс по адресу например 127.0.0.1:888 (задается в настройках туннеля). Сейчас сделать такое не получется. Куда копать?

Причем есть ньюанс. Есть старый pfSense версии 2.0.1, обновленный до 2.1.2. На нем такое подключение к WEB интерфейсу через SSH туннель работает! На чистой инсталяции версии 2.1.2 уже не пашет.

Мистика… вопрос решился сам собой... Так и не понял в чем была загвоздка.

У Вас не проходит авторизация. ДНС здесь не причем. Как советовал werter, проверьте нет ли у Вашего провайдера привязки к МАС. Проверьте правильность ввода логин-пароль, возможна так же проблема с сетевой картой.

Самое интересное, что при попытке зайти на этот сайт через мозилу, меня не пускает прокси, а попытался через другой браузер (dragon на основе хрома), так меня на сайт пускает!
Попробовал на соседнем компе, ситуация аналогичная! Мозилу блокирует, а ослика - нет!
Кто-нить с таким сталкивался? Что может быть причиной такого поведения?

кстати, нереальные лаги обеспечивает SquidGuard с нормальной фильтрацией.

Что значит с нормальной фильтрацией в Вашем понимании?

видимо, для одного только сенса-контент-напильника надо отдельную такчку с хорошим xenonom, чтобы 30 одновременных юзеров не загоняли сетку в down

У меня более 100 человек фильтруется 5-ый год. Pfsense крутится на ESXi 5.1 в ВМ с одним ядром и 1Гб ОЗУ. Проблем нет вообще.

Сдается мне не в pfsense дело.

Вот тут уже почти год как бьются, без особого успеха. http://forum.mikrotik.com/viewtopic.php?t=73462

По сути вопроса. Разрешил только нужные порты. Остальное просто по умолчанию закрыто, точнее открывается по расписанию. Скайп, кстати, тоже не только 80 и 443 порты пользует. Очень четко определяется во время видеовызова, что сработало правило. Закачка торрентов у меня стартует по рассписанию, блокировка портов помогала неоднократно. Было дело, забывал поставить "использовать рассписание" и добавленный торрент пытался выползти через закрытые порты.

@N3w4dm1n:

@werter:

squid 2.7.9 pkg v.4.3.3
squidguard 1.4_4 pkg v.1.9.5

Использую сквид вер. 3 в продакшене 3-ий год - проблем нет. Со вторым были.
Далее, версия pfsense не 64-х разрядная случаем ?

а мне этот сквид 3 немалый геморой доставил, когда я ушел на обучение. вешался прямо на 3й день после рестарта. пока только 2.7 рулит :))

squid 3? если так, то меняй на 2.7. у меня тройка нормально не работала.

еще такая вещь. попробуй раскидать по разным acl домены, айпи и коды правил. если не сработает добавляй все в алфавитном порядке по разным acl понемногу. когда заметишь дыры, разбирайся где конфликт. смотри синтаксис и чтобы одно правило не перекрещивалось с другим. меньше правил - больше стабильности.

@pigbrother:

Созвать правило вида

_нужный_IP * * * нужный_gateway none

Поместить это правило выше, чем Default allow LAN to any rule

спасибо проблема решена, оказывается я все правильно делал, НО забыл про очередность правил(( поднял его вверх и все ОК

@dr.gopher:

Вертер писал о решении проблем с перл
https://forum.pfsense.org/index.php/topic,49872.msg274840.html#msg274840

ушел читать. спасибо! решил проблему путем удаления perl и всех зависимостей и линков. Удалил пакет lightsquid + Руками прошелся по системе, прибил все, что касается lightsquid. Из консоли ставить perl не стал.  - ребут, заново поставил пакет, вместе с ним поставился и perl. Выжад пару минут и вуаля пустая страница))), но жмем ctrl+f5 и видим то, что нужно.  Спасибо dr.gopher за линки. Инфа оказалась полезной!

перешел на 32 разряда…. но скорее всего не работало из-за того что не прописывал в правилах фаервола альтернативные сети на вкладке LAN. сейчас прописал, вроде работает пока....

Поставьте временно, например, UP - 512 Kbit\s , Down - 2048Kbit\s и по-мониторьте это дело. Потом можно повысить.
Только обязательно не забывайте делать Reset States после изменения настроек шейпера!

Всегда первым делом включайте и смотрите логи. Что может быть проще?

@werter:

@ Tr0tter
Смотрите свои ЛС.

Всё, ура проблему решил werter, спасибо ему громадное и всех благ.

В принципе 2 причины есть, может надуманные. Иметь лог по пользователям, если контора запросит. Хотя в логах lightsquid они уже отмечены, причем суммирован трафик на ip внешний. Вторая причина, самому разгребать, от кого висят хвосты соединений. Наверное не актуально. Как победил usb-роутер, так больше проблемы дебаггнинга не стоит.

Убедили, буду удалять :)

http://www.cyberciti.biz/faq/howto-set-date-and-time-timezone-in-freebsd/

P.s. А на главной странице в web-фейсе оно не отображается разве ?