Не забудь о анти-локаут правиле.

С лимитером влядли получится динамически делить канал. Читай доки про планировщику HFSC у него есть возможность давать не ниже гарантированной полосы а если есть свободные очереди то брать скорость у них.

@yragan: как это дело отключить? отключи https  в админке.

@dvserg: Потому, что при старте исполняются только скрипты с расширением .sh да действительно заработало спасибо :))

C pfSense разрешены все исходящие. Инициатором GRE у Вас является именно pfSense.

@derwin: а float применяется ДО или после правил по интерфейсам? Применяется ДО, и по умолчанию на нем правила идут без опции Quick. В этом случае просматриваются все правила подряд, а затем переходит на список правил соотв. интерфейса. При наличии опции Quick правило флоат применяется немедленно, как и правило на интерфейсе.

@werter: 2 sweep4 Что в логах ? Копаем оттуда. Дело давнее, сейчас как-то получше стало, редко такое происходит, но все же бывает. В логах - только счетчик попыток дозвона увеличивался, циферка за циферкой. А иногда даже не увеличивался, насколько я помню - остановился на какой-то и стоял. Вручную поднимаю - поднялся интерфейс. Попробую timeout поиграть, как тут выше присоветовали.

@nomeron: Поэтому хотелось бы понять на что влияет - галочка Disable NAT Reflection for port forwards http://www.thin.kiev.ua/index.php?option=com_content&view=article&id=574:nat&catid=50:pfsense&Itemid=81

@dr.gopher: @marakshin: Captive Portal не подойдет. Потому что чаще всего пользователи находятся в другой подсети, нежели LAN-интерфейс pfsense. Я не пробовал, но может поможет - Как в pfsense 2.0 сделать Captive portal доступным из разных сетей http://thin.kiev.ua/index.php?option=com_content&view=article&id=404:captive-portal-&catid=50:pfsense&Itemid=81 Чтобы заработали подсети через маршрутизатор мне хватило поставить галочку Disable MAC filtering (понял по ошибке в логе). Функцию поменял. Попробую галочку Disable MAC filtering отключить и посмотреть изменится ли картина.

Думаю перечитывает при каждом изменении правил.

@stranger61: А тогда может кто подскажет где сервак хранит XML-конфу??? Или может проще сделать выгрузку, откорректировать сам xml (если получится разобраться) и загрузить его назад??????? ??? /cf/config.xml

что вы скажите про стабильность и предсказуемость pf 1.2.3 стабильность и предсказуемость версий 1.2.2 и 1.2.3 высокая (сам использую 1.2.2 embedded на adsl линке с PPPoE много лет). Так-же m0n0 очень неплох. нужно для удаленных офисов. нажна стабильная работа, и возможность починки не выезжая на место. в таком случае неплохо бы резервный канал, хоть через 3G модем.

схему нарисуйте,что с какой адресацией

Нашел причину- скорость резал ESET Smart Security.

Не хочется заменять везде, банеры бывают разные и свой просто может не вписаться. Хочется иметь просто в шапке каждой открытой странички небольшой рекламный блок.

Всем спасибо! Проблема решена! Установилась с другого CD-ROMа.

@Aidaho: Загуглился уже ) То что ядро BSD можно пересобрать это я нагуглил, а вот с пф молчок. Да и у меня коллизий тоже дофига. :( Эт получается сидеть и ждать? И пусть работает, так как работает? Это получается - сменить сам гипервизор. Больше никак. Пишите в ТП. P.s. Если ваш cpu и чипсет МП поддерживает vt-d или iommu можно попробовать прокинуть физ. сетевые в ВМ с pf-ом по примеру с USB отсюда - http://habrahabr.ru/post/137327/ : Проброс USB сделал грубо и цинично: xe vm-param-set other-config:pci=0/0000:02:00.0,0/0000:02:00.1,0/0000:00:1a.0,0/0000:00:1d.0 uuid=d103a91d-5c38-844f-14d5-64b3c495eb08 То есть пожертвовал виртуалке USB контроллеры. С другой стороны, Xen пока без них обойдется. Добавочка : Попробовать сменить тип сетевой , использующийся по-дефолту в ксене : 1. ВЫКЛЮЧИТЬ ВСЕ(!) ВМ на гипере. 2. Сделать бэкап всех ВАЖНЫХ для Вас ВМ. 3. Воспользоваться статьей - http://www.netservers.co.uk/articles/open-source-howtos/citrix_e1000_gigabit 3.1. Важно, что при накатывания очередного апдейта (переход на новую версию гипера) необходимо выполнить chattr -i /usr/lib/xen/bin/qemu-dm : Warning The "chattr" line above makes the replacement file "immutable". This means that the file cannot be overwritten, prevents the loss of this modification in the event of a system update. However, this may cause updates provided by Citrix to fail at the point of installation. An alternative approach would be leave the file unprotected, and re-applying this modification after Citrix-supplied updates have been applied. The remove the protection from the file, do the following: chattr -i /usr/lib/xen/bin/qemu-dm 4. Запустить pf (поставить по-новой?) и проверить , что тип сетевых сменился с реалтек на интел. 5. В самом pf глянуть, нет ли коллизий. P.s. После апдейта ксена от цитрикса на 6-ую версию., резко упала скорость по сетке ( до 10 мбит\с). Решил так : 1. Остановил все ВМ (можно и не стопить). 2. Зашел на хост по SSH и выполнил скрипт отсюда (важно выполнять скрипт после апдейтов самого гипера и после добавления новой ВМ ) - http://www.xenappblog.com/2010/citrix-xenserver-slow-network-performance/ 3. На машинах с Win в рееестре создал и вкл. параметр DisableTaskOffload - http://support.microsoft.com/kb/904946/

Вот что показывает Лимитер: [image: limiter.png] Вроде как все правильно попадает но скорость не режется. Может подскажет кто куда копать?

Сделал. Но теперь уж вообще тупой вопрос: а как понять что утилита проверила диск? Пф должен перестать виснуть? Этот блок будет проверять и исправлять ошибки (принудительно -f(orce)y(es)) на ФС когда она будет неправильно размонтирована. Можно оставить только fsck -fy /dev/ad0s1a тогда ФС будет проверятся после каждого перезапуска. Да и ессно /dev/ad0s1a тут должна быть Ваша ФС (смотрите /etc/fstab с точкой монтирования /).