@Profik: интерфейсе PF надо вписать логин и пароль провайдера (vpn) , сервак без инета стоит, только DHCP присвоен провайдером. Ну почему всегда нужно догадываться о сути вопроса? :)

2 Silencerun 1. Правила, разрешающего ICMP между впн-клиентами у ТС нет. 2. правило на разрешение хождения трафика С ван порта в лан порт - необходимо, подключение впн идет на ван порт, а дальше у него нет правила на проброс в лан. А причем тут трафик между впн-клиентами и то что Вы предлагаете ? И что именно Вы предлагаете? Какой еще проброс в ЛАН ?! Бред какой-то. Поднимите у себя ВПН-сервер на pf (это не долго)и проверьте предлагаемое мною решение. Удивитесь, что оно работает.

@rubic: @VOLKOV: трабла в том что на pfSense нет жесткой настройки хранения пользовательских конфигов. В настройках сервера там где Advanced configuration: первой строкой прописываем следующее: "client-config-dir /home/openvpn/ccd" - где "/home/openvpn/ccd" путь на каталог с пользовательскими конфигами. Все это делается через GUI в Client Specific Overrides, не надо никаких файлов создавать, pfSense их сам создаст в /var/etc/openvpn-csc И в Advanced configuration тоже ничего этого писать не надо. а в каком поле указывать там static ip и username? username в common name? а ip в tunel network так же с маской 192ю168ю0ю3/24 ??

@oss: можно поподробнее, зашел firewall->VirtualIps пропписал ИП переделал проброс портов и ничего не сдвинулось у тебя несколько wan ip? если да, то создаешь VIP - Type IP Alias дальше сам Ip и описание. Дальше вместо WAN в Фаервол нат выбираешь  дистанэйшн свой Ip алиас

Приведенное USB-устройство заработает "из коробки"? А на это вы обратили внимание? EU.MARK USB 10/100M RJ45 Ethernet Network Adapter Dongle (MosChip MCS7830) Поддержка этого чипа заявлена во фряхе. Хотите работу "искаропки" ставьте роутер на линуксе. Спасибо за категоричный ответ. За совет роутера на Линуксе - отдельное спасибо.

Я ставил себе ProFTPd - работает как глухонемой. Сохранил себе на всякий случай ресурсы которыми пользовался при установке: http://www.opennet.ru/base/net/proftpd_setup.txt.html http://forum.pfsense.org/index.php/topic,14532.0.html http://www.proftpd.org/docs/ Ставил себе эту версию: pkg_add -r http://ftp2.freebsd.org/pub/FreeBSD/ports/amd64/packages-8.2-release/All/proftpd-1.3.3d.tbz Конечно пришлось немного помучиться с конфигом, но зато когда всё настроилось, я вообще про него забыл - всё просто работает и больше вообще ничего от меня не хочет. ЗЫ: Поставил ещё и Самбу - для локального пользования она конечно удобней.

Большое спасибо всем за ответы. Отпишусь, как закончу настройку.

Появилась новая идея. Есть для kerio скрипт прозрачной аутентификации. http://sysadmins.ru/topic371781.html имеем: Шлюз, можно даже без прокси распространенный скрипт в домене по средством ГПО. Пользователь входит в домен и одновременно идентифицируется по средством скрипта на шлюзе. Шлюз сопоставляет имя и ip адрес пользователя и дальше уже работает с ip адресом пользователя. А в отчете будет отражаться имя пользователя. Вообще можно даже сделать так аутентификация на самом шлюзе, шлюз записывает имя=IP и открывает доступ в интернет безо всяких прокси. а ipcad мог бы считать трафик ну и т.д.

@NegoroX: Помогло то помогло, токо теперь новый вопрос а как в оверрайдах прописать домен на русском языке? У меня pfsense как то с русскими буквами совсем не дружит конвертер punycode тебе поможет :  http://2ip.ru/punycode/?PHPSESSID=9rc816fem67lhsqcr89c198mv7 Ок. спс

Ага, оказалось, что у меня таки кривые руки :( Соответственно - следующие советы новичкам при настройке дубля pfSense в случае, когда вы не можете просто отключить старый и не спеша работать под его адресом: 1. Выясните подробности подключения вашего действующего устройства. У нового устройства на момент настройки в параллель к действующему должны быть ВСЕ параметры WAN аналогичны старому (gateway, broadcast, mask), кроме ip  (другой, но незанятый из диапазона предоставленного провайдером  вашей организации). По прежнему не работает? Свяжитесь с инженером поддержки провайдера. Очень может быть, что провайдер пускает в сеть только заранее известные ему МАС адреса и вам надо сообщить ему этот адрес. Все эти подробности выясняются через веб-морду старого и нового устройства командой Diagnostic: Execute command в поле command набиваете ifconfig -a и видите описание всех ваших интерфейсов, включая, к примеру: fxp0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500 options=209b <rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum,wol_magic>ether 00:02:b3:8a:8d:ef inet 22.122.228.22 netmask 0xfffffff8 broadcast 22.122.228.29 Здесь маска соответствует указанию во время настройки интерфейса через консоль 29 бита маски… Учтите это, хотя многие привыкли по настройкам внутренней сети к маскам строго кратных 256... Также крайне полезна команда Diagnostic: DNS Lookup запрашиваете в нем заранее известное имя типа www.yandex.ru и смотрите на время отклика ваших указанных в настройках System: General setup набору адресов DNS серверов и использованныъх при этом gateway... Возможно этот список нуждается в изменении... Ну и Diagnostic: Ping вам тоже в помощь... После того, как откликнутся DNS сервера и будет правильно разрешено имя www.yandex.ru - то у вас должен появиться список доступных пакетов в System: Packages -> Available packages. Подключаете использованные в старом устройстве и можно будет накатить поправленную вручную старую конфигурацию - в ней заменяете имена сетевых интерфейсов и адреса под новое устройство. После этого, если потребуется, можно будет устроить upgrade версии pfSense и спокойно оттестировать новое устройство... У вас есть резерв... Сменить адрес WAN на значение старого, если вы решите вывести его из работы будет делом нескольких минут...</rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum,wol_magic></up,broadcast,running,simplex,multicast>

Попробуйте ntop.

@Bansardo: Есть предложения почему не дает зайти на веб интерфейс телефона? Главное на 1.10 заходит, на веб интерфейс самого сенса, а на 1.151 не хочет… Нашел решение проблемы записав подсеть 192.168.1.0/24 в разделе прокси Bypass proxy for these destination IPs. Правильно это или нет? Dist - это назначение, из любой подсети в 192.168.1.0/24 можно все. А не прощще обьявить впн подсети и сделать рульку на порт веб морды пфсенса из первой подсети? Хотя кому-как удобно :)

Нужно смотреть Status: Gateways в момент когда все это происходит. Возможно OPT1GW остается в Online. Это, кстати, довольно вероятный сценарий, если в Monitor IP на OPT1GW пусто. От головного офиса до провайдера все работает, а от провайдера до филиала - лежит, но вы этого не видите.

@impulse: В принципе freebsd поддерживает i386 c более чем 4 Гб ОЗУ с помощью включения опции ядра PAE. Но при этом не будут работать драйвера устройств которые не поддерживают PAE. 9.6.1. Конфигурации с большим количеством оперативной памяти (PAE) спасибо за хороший ман! пока что будем тестировать амд64… если будут проблемы - будем пробывать пересобирать.

Сегодня заглянул на работу, вин 2003 сервер пястрил неведомой мне ошибкой что то типа "недопустимая ошибка процессора STOP" и "виртуальная машина прекрати свою работу…" ввобщем виртуалка таки не прекратила свой "процесс" и нормально работала, но чудеса меня ждали, запустил на виртуалке браузер и он мигом вылез в инет, что же было так и не понял, перезапускал виртуалку, всё нормально, почему не пускал в инет так и не понял

Только не забывайте о : Warning The "chattr" line above makes the replacement file "immutable". This means that the file cannot be overwritten, prevents the loss of this modification in the event of a system update. However, this may cause updates provided by Citrix to fail at the point of installation. An alternative approach would be leave the file unprotected, and re-applying this modification after Citrix-supplied updates have been applied. The remove the protection from the file, do the following: # chattr -i /usr/lib/xen/bin/qemu-dm Т.е. ОБЯЗАТЕЛЬНО (!) перед обновлением гипервизора снять защиту с файла, к-ый Вы перед этим модифицировали. Не забудьте об этом.

@werter: Пардон за мой французский, но на кой ляд Вам 8 гб ОЗУ для пф ?! Вы что пф собираетесь использовать для n-тысяч пол-ей в кач-ве провайдерского узла (или NAS + биллинг отдельно)? У меня на 1 Гб ОЗУ более 100 клиентов и по нагрузке в статистике никогда даже 50 % загрузки по памяти не видел. у меня 300 клиентов + на нем планируется Asterisk + FTP. Порядка 20-25 серверов за PFsense Ну и впринципе - было выделено 30.000 рублей на сервер под PFsense, вот и собрали с запасом. У нас гос учереждение и с финансированием нет проблем. сервак asus 1u 4 интеловские гиговые сетевушки + ipkvm + 4 WD enterprise в раиде 10м 8 гб 1666 памяти, вообщем самое оно для шлюза :) что бы понятнее было, у нас стойка сановских хранилок даже есть :) ====================================================== p.S Проблему решил закинув ключи с созданого СА сертефиката.

Все понятно…  :-\  Всем спасибо.