@viktor_g said in Configuring High Availability CARP:

ведь на остальных интерфейсах у вас будут одинаковые IP

Да, действительно. Спасибо.

@werter Да запущена, единственный нюанс может, я пытаюсь подключаться к серверу vCenter.

Часть 2

Добрый
@mysterious
Подключите к пф пакеты той версии freebsd , к-ая равна версии пф и ставьте оттуда.
Логично же.

Всем спасибо, разобрался

@a7lan

Но так умеет Прокс. И если вы его пользуете, то можно ограничиться Проксом.

Перечитайте выше еще раз, а? Даже выделил специально для вас.

@pigbrother said in Вопросы новичка по pfsense:

Каналы имеют разную скорость? Если да, и каналы в балансировке с одинаковыми Tier, то нужно указать для каждого шлюза Weight.
https://docs.netgate.com/pfsense/en/latest/routing/gateway-configure.html

У меня указано так сейчас. с загрузкой нет проблем все суммируется все работает. Оба канала по 30мегабит. А вот с выгрузкой скорость меньше чем по каждому отдельно
balancegroup OPTIC_GW
WIFI_GATWAY
Tier 1
Tier 1
bal2 OPTIC_GW
WIFI_GATWAY
Tier 2
Tier 1

bal3 OPTIC_GW
WIFI_GATWAY
Tier 1
Tier 2

@electricshock
Покажите как вы настраиваете.

https://docs.netgate.com/pfsense/en/latest/services/dhcp/mappings-in-pools.html
As such, it is best to only make assignments outside the range/pool, and the pfSense® webGUI enforces this practice.

https://docs.netgate.com/pfsense/en/latest/services/dhcp/ipv4.html
Additional Pools

@slu Огромное спасибо!
РЕШЕНИЕ:
Если вы читаете этот пост до обновления - НЕ ОБНОВЛЯЙТЕСЬ ДО 2.5.1, если у вас все работает, и есть MultiWAN.

Если же все таки обновились, то можно накатить обновление 2.6-DEVELOPMENT - там эта ошибка исправлена.

Если интересно - разработчики уже знают об этой проблеме, но точечный FIX с исправлением выпустят только когда накопится критическая масса исправлений.

@cyxnch
Firewall_ Aliases_ Edit.png

Добрый.

@cyxnch said in Открытие внешних адресов в локальной сети:

С локальной сети по внешнему ип адресу доступ есть, но сайт открывает не всегда с первого раза, кликаешь повторно открывает (может открыться с 3-4 раза).

DNS Resolver ... выключен

ЗАЧЕМ, Карл?! Включайте и не трогайте его вообще. Разработчики пф - не идиоты.

По остальному.
Вкл. DNS Resolver и Split DNS + unbound + pfsense -> google
Не надо в дом через окно лезть. Для этого есть двери. И nat loopback не стоит пользовать. Не получится - пишите мне в ЛС.

Зы. У вас glpi с fusion inventory испол-ся?

Зы2. Никогда не пользуйте сети 192.168.0-1.х в продакшене, Если не хотите нарваться на ситуацию, когда при объединении сетей по ВПН на др. стороне будет сеть с ТАКОЙ же как ваша адресацией.
Тут уже сталкивались с такой ситуацией не раз (

@werter
главное правило - работает не трожь. но как буду в локальной сети этого PF обязательно попробую.

@pigbrother said in Не получается пробросить порты.:

А если для ПК с игрой задействовать Static Port ?

Сделал то, что рекомендуется в первой вашей ссылке. Нат изменился со строгого на умеренный . Сейчас попробую заново создать правила проброса портов . Отпишусь.
Вроде получилось , после добавления правил , нат с умеренного сменился на открытый !
Хотя 2ip все равно говорит , что порты закрыты . Ну да ладно! Проблема решена !
Всем спасибо !

@dirar19
Покажите скрином настройки впн-сервера. У вас он один?

@konstanti said in Proxmox и pfSense на сервере с одним IP-адресом:

я об этом

В общем - и я о том же:

@pigbrother said in Proxmox и pfSense на сервере с одним IP-адресом:

Вы наверное об этом:
для большинства современных IT-специалистов настройка через GUI является не только более удобной, но зачастую и единственно возможной.

У меня все заработало с https://api.antizapret.info/group.php
dd024f5b-4c41-41ab-b936-4a4db007b8ed-image.png
(не забудьте перевести state в ON)

@kkera59 баг в пакете: https://redmine.pfsense.org/issues/11738

Дождитесь обновления пакета SquidGuard (1-2 дня), или удалите вручную

if ($config['installedpackages']['squid']['config'][0]['sslproxy_mitm_mode'] == 'splicewhitelist') { $conf[] = "url_rewrite_access deny CONNECT"; $conf[] = "url_rewrite_access allow all"; }

из /usr/local/pkg/squidguard_configurator.inc

@pigbrother
Если ТС-у не нужен диапазон МЕЖДУ, то вполне.

@lamerrrr В какой свитч они воткнуты? Используется ли в сетях VRRP, HSRP, GLBP, storm control?

Пройдитесь по пунктам:
https://docs.netgate.com/pfsense/en/latest/troubleshooting/high-availability.html

Добрый.
@maksimus-84
pfsense + alias -> G

https://docs.netgate.com/pfsense/en/latest/routing/static.html

Внимание на это:

Warning

Using an alias for a route destination has severe limitations. Routes do not automatically follow changes to aliases. When adding entries to an existing alias, this route must be re-saved and re-applied. When removing entries from an alias, there is no automatic way to clear the routes. Manually remove them from the routing table at the CLI or reboot the firewall.

Как вариант при изменении алиаса, удалить-добавить роут с алиасом. Тогда ТОЧНО роут заработает.

@werter OSPF - это уже лишнее в данной ситуации. Вопрос этот я решил через дополнительную фазу 2

@exte В доках по isc-dhcp сказано так:

The DHCP server generates the list of available IP addresses from a hash table. This means that the addresses are not sorted in any particular order, and so it is not possible to predict the order in which the DHCP server will allocate IP addresses. Users of previous versions of the ISC DHCP server may have become accustomed to the DHCP server allocating IP addresses in ascending order, but this is no longer possible, and there is no way to configure this behavior with version 3 of the ISC DHCP server.

https://kb.isc.org/docs/isc-dhcp-44-manual-pages-dhcpdconf#dynamic-address-allocation

@pigbrother said in Перезапуск службы через командную строку:

@skynetyad Когда то решал подобную задачу, поищу решение.
Вроде делал так:

https://www.reddit.com/r/PFSENSE/comments/jc43xj/script_to_restart_openvpn_clients/

#!/bin/sh /usr/local/sbin/pfSsh.php playback svc restart openvpn client 1

Replace "1" with your VPN client number. Put this in a file, and add the cron package to have it run whenever.

посмотрите и тут:
https://forum.netgate.com/topic/131539/how-to-restart-openvpn-in-a-script

https://www.reddit.com/r/PFSENSE/comments/7a3chp/autorestart_openvpn_client_with_cron/

https://zercle.tech/2017/10/pfsense-openvpn-client-auto-reconnect/

Спасибо огромное! Помогло, работает! :)

@werter said in pfsanse kerberos:

появится реальный домен с таким именем)

Да, в своё время появления такого TLD , как xyz, например, казалась бы невероятным.

@viktor_g

Откуда у вас Samba (AD) и Proxy filter?

По принципу "а шо б було".

@werter Спасибо!

Всем спасибо за ответы, но разобрался уже. Оказалось, что на уровне провайдера были проблемы. Решился вопрос.

Добрый.
@guf-rolex-x

Включите в браузере Инструменты разработчика и смотрите, что и откуда грузится.

@konstanti спасибо

Добрый.
@olegyam

Сейчас у WAN PFSense(а) IP 192.168.21.223
Из подсетки LANа роутера
на роутере проброшен UDP порт 5577

Убрать из схемы лишний роутер (двойной NAT etc - лишнее). Пусть всем рулит пф.

И все - клиент после подключения теряет интернет.
Что-то надо настроить в правилах Firewall?
Или в Маршрутах?

Смотрите правила NAT и правила fw на ЛАН.
Смотрите, что получает клиент себе в кач-ве DNS .
Или что вы ему выдаете в кач-ве DNS - это можно глянуть в настройках овпн-сервера.

@werter Спасибо за ссылки, было интересно познакомиться с информацией.
Насчет номера порта в ":" немного смутило то, что нет подходящего поля для этого параметра.

@testsia
Посмотрел исходники DHCPD - увы , похоже, что не предусмотрен вывод нужной Вам информации этой программой в журналах

или можно попробовать внести изменения в файлы настроек pfsense , чтобы он создавал нужный dhcpd.conf
если такое надо , то поясню , что надо сделать

Добрый.
@iliaxxx

В работе я использую Proxmox.

Супер.
А сразу, а не в последнем сообщении написать об этом можно было?
Чтобы не гадать КАК у Вас там все устроено (

В настройках сетевых интерфейсов, в нем можно задать параметр VLAN.

Не надо в настройках сети на PVE теги для ВЛАНов вносить.

Выкл пф, создаете интерфейс на PVE, аттачите его к сетевой (или не аттачите, если нужна такая себе "виртуальная" сеть - для DMZ, напр.), запускаете пф и ВЛАНами рулите уже на нем.

Зы. PVE умеет с openvswitch работать. OVS круче linux bridge. Погуглите.

@werter благодарю, в воскресенье попробую перенастроить всю сеточку по описанной схеме - проверю что получится.

@mike-1
теория
https://docs.netgate.com/pfsense/en/latest/troubleshooting/asymmetric-routing.html?highlight=sloppy