Shraik, спасибо. Все так и есть)

Была проблема с доступом в web-интерфейс из-за битой сетевой карты.

@Bansher: @yragan: @Bansher: Маленькие коробульки на любой вкус http://shop.nativepc.ru/13-readyrouters Взяли две подобных. Без нареканий. И хватит такой системы на 100 компов? Вроде требования в 100 компов нигде не озвучивались. Но тут какой контент будут юзать. Web, почту, аську - потянет. Stream video/audio - на определенном этапе начнет захлебываться. Это я так для сведения, просто сейчас стоит избыточная машина i3 с 8 гигами оперативы, вот хотел узнать

@dvserg: А какое применение этому? Firewall Security Как обычно. Брендамауер, шлюз и.т.п. Добавлено: Выбирал датацентр на базе vmware, для перевода всей инфраструктуры офиса туда. В швейцарском датацентре увидел опциональный PfSense.

Теме АП. Никто не делал?

Как вариант: 1. На WAN вешаем соединение DHCP\Static провайдерский локальный и проверяем в статусе интерфейсов, что локальный адрес (по DHCP) вы все таки получили. 2. Заходим  в Interfaces: Assign network ports:Interface assignments  и создаем новый интерфейс , нажимая на кнопку + , в кач-ве Network port выбирая физ. линк (т.е. реальную сетевую). 3. Активируем этот новый интерфейс, попутно сменив имя на понятное. Выбираем тип соединения (PPTP) , вбиваем данные (логин, пасс, адрес ВПН-сервера). 4. Проверяем что сессия поднялась - при этом весь трафик будет "заворачиваться" в этот туннель. 5. Рисуем правила маршрутизации (для доступа к локальным ресурсам пров-ра) и fw (кому-куда можно\нельзя) 6. Перезагружаем pf на всякий случай. Если впн-линк не поднимается , то меняем во втором пункте Network port с реальной сетевой на WAN и далее уже по пунктам.

О! После тысячной установки сенс запустился! Режим сата в биосе в очередной раз поменял и заново установил сенс, и всё гут! Только вот сетевушки уже на дугие железки поставил, щас новые надо поставить, посмотрю загрузится ли!

Проблему решил. При входе через SSH и попытке ребутнуть веб-морду шла доооооолгая перезагрузка. Спас следующий багрепорт и собственно команда "killall -9 php; killall -9 lighttpd; /etc/rc.restart_webgui" из него.

Просмотреть маршруты у клиентов PPTP и tcdump пакетов на интерфейсах

@stafford: что для сервера обновлений нужен свой dns сервер? Пропишите на сервере wsus сторонний DNS (8.8.8.8) откройте на ПФ пот 53 тсп/юдп

получилось… вбивал не root, а admin.

@dr.gopher: http://forum.pfsense.org/index.php/topic,53852.0.html Ограничения PPTP http://thin.kiev.ua/router-os/50-pfsense/569-pptp-vpn.html Спасибо огромное. Но с ограничениями я не особо понял. Лично у меня успешно подключились два внешних клиента и один из локальной сети. Между ними всеми - как обычная локалка, доступны сетевые шары, обмен файлами и все сопутствующее, и я не заметил что чего-то не так…

Такую красоту видел. Как это организовать достаточно подробно написано тут (начиная со сборки порта): http://www.ignix.ru/book/freebsd/daemon/network_ups_tools Но pfSense команду make install не понимает, да и не особо интересно было ставить такую дополнительную штуковину. Хочется иметь всю информацию в одном месте - интерфейсе pfSense. ЗЫ: В этой красоте кстати данные тоже только по F5 обновляются ;)

Гипер Вы ставили ? Тогда и номера портов , на к-ых "слушает" Вмваря подключения от клиента должны знать (TCP 443,902). Security profile –> Configuration : Vsphere Client  - TCP 443,902 Т.е. Вам нужно пробросить эти порты из WAN на адрес гипера в локальной сети. P.s. Я бы лучше OpenVPN поднял на pf (пароль + по ключам аутентификация), а уж потом к гиперу цеплялся. Как-то неправильно порты гипера в мир светить, ИМХО.

@dvserg: @doomerman: @dvserg: @doomerman: @dvserg: Правила для праведников пропишите ДО запрещающего. В правило включите src= ip-избранных(или алиас со списком) / * * * * * Пробывал. Почему то не работает. Упс.. на LAN его перенесите выше запрещающих правил. Так ведь в LAN то никаких запрещающих правил нету. Вот три скриншота всех правил во всех закладках. Но переместить - то его туда можно? Либо оставьте во флоат и включите опцию QUICK. Попробывал и так и так. Неработает. Может есть какой то нюанс использования FW ? Во! Вроде осилил! Оба правила перенес в LAN. Из Flow все удалил. Заработало    

@wassalam: Извиняться тут не за что, вам спасибо что участвуете не бросаете ))) Это у всех работает подобным образом или я что то настраиваю не так. Подскажите как настроить эту связку чтоб без обрывов. попробуйте пакет imspector

Никто не сталкивался с тем, что при одновременной записи в лог строчка ipcad влезает в середину строчки squid или наоборот? В итоге анализатор лога на этой строчке вылетает с ошибкой или просто заканчивает работу… Через сервер проходит много траффика, первая мысль приостанавливать squid на момент отработки tolog.sh после работы мозгом показалась бредовой. Вторая мысль писать логи в разные файлы и объединять перед анализом получше, но не знаю как правильно слить, чтобы записи располагались правильно по времени... Ну и тут тоже подводный камень, ведь сливать нужно за текущий день, за неделю и за месяц, т.е. строго определённые промежутки, с этим у меня вообще тёмный лес... Помогите новичку, плз...

@Shraik: хм, но если не хватало скорости проца, должны быть выпадения пакетов. но виснуть от этого роутер не должен (как мне кажется) Вис из за переполнения памяти самопальными скриптами.

Я так и делал - не работает, только я не включал Block offenders. Так как хочу сначала настроить все в режиме IDS.

@impulse: Проблема в том, что те компы кто используют прокси не могут достучаться до сервера ни по айпи ни через днс имя, Может сюда вписать IP? Не использовать прокси для: