@golos ну да, так делал. Не шли пинги.
Сегодня сервера перетащил, аналогично прописал хождения между виланами - всё прекрасно работает! И сервисы доступны и пингуется всё... :)
Похоже реально винда что то блочит, что отключения сетевого экрана ей не достаточно.
Вопрос закрыт, ложная тревога)

@jeleg
Здр

Я бы лично , на Вашем месте , изучал логи с другой стороны туннеля . Вероятность того , что проблема с другой стороны туннеля может быть весьма высокой . Да, и найти нужную Вам информацию там проще ( ее просто меньше )

P.S. посмотрел Вашу предыдущую тему . Если эта тема является ее продолжением , то я все больше убеждаюсь , что проблема в другой стороне туннеля . Там надо разбираться с проблемой ( мое субъективное мнение )

проблема была из за модуля acme. Удалил контейнер и очистил Account keys. После чистки куков все заработало.

@werter Спасибо!

@werter вспомнил, что господ в семнадцатом победили, думал никто не ответит, а тут товарищи на помощь пришли, приятно! :)))
На самом деле тут возможно в самой логике ошибка, у меня нет каких то сервисов наружу (только UDP порт OpenVPN с TLS pre-auth, что в принципе то надежно). Так нужен ли мне Snort на границе WAN-Firewall??
Что я хочу от IPS в первую очередь, так это блокировка бэкконнектов до C2/C2C, реверс-шеллов и т. д. Прислали бухам малварь, открыла она его и ...ничего не произошло! (как в той рекламе протекта от Я).
Возможно мне нужно разместить систему после Firewall, на границе не с глобальной, а с локальной сетью? Тогда IPS "будет знать" о локальных адресах и тогда я смогу в Supress прописать исключение подсети с камерами (намекаю на "track by_src")?

PS. про Suricata в курсе, Снорт поставил чисто интуитивно, "пальцем в небо". Впредь буду выбирать Suricata.

@vitko-core-ru said in Как разрешить доступ к WAN только белому листу внутренних IP?:

если я хочу заблокировать 192.168.0.0-192.168.255.255

Ну так и блокируйте 192.168.0.0/16

Я забыл дать доступ к DNS серверу... Allowed IP Addresses

Обычная ошибка, очень простая, но тут я потратил 1 день на это, утром в голову пришла осознание ошибки.

Устройство пытается получить ip хоста google/204, xiaomi/204 через заданный DNS, а сам DNS блокировался правилами Captive Portal.

Дело закрыто.

Проблему решил пересозданием правил

@werter
Схему рисую, первая попытка сделать сразу с наскока - как первый блин не удалась(((. Неожиданно споткнулся на vlan-ах. Не разобрался в навешивании-снятии тэгов на порождении китайских гениев свичах тплинках.
По поводу бесшовного роуминга, он конечно псевдо, если с академической точки зрения рассматривать. Но с точки зрения клиента (обывателя) виден один SSID, и для подключения по всей территории в пару-тройку гектар формально одна сеть. Это даже на микротиковском CAP так выглядит.

Добрый
@bemachine
Заходите в Инструменты разработчика в браузере и смотрите там.

P.s. Может стоит разнести по разным хостам ТАКОЕ кол-во клиентов?
Можно же отдельное решение для wg развернуть - напр., wg-easy.

Добрый
@rse
FTP в каком ржиме работает?

@rtpanda
Делайте отдельно два acl

@368shap said in Некорректное время в DHCP Leases:

@electricshock Сервисы /DHCP Сервер /LAN - Изменить формат времени

Ставь галочку - Измените время отображения аренды DHCP с UTC на местное время.

По умолчанию DHCP аренды отображаются в часовом поясе UTC. При активации данной опции время DHCP аренды будет отображаться в локальном часовом поясе и устанавливаться в выбранной часовой зоне. Это будет использоваться для времени всех аренд интерфейсов DHCP.

Так и думал, что где-то какую-то галочку нужно поставить чтобы решить эту проблемку :-)
Благодарю!

@jeleg said in Упал IPsec - ignoring acquire, connection attempt pending:

ignoring acquire, connection attempt pending

Здр
Так Вы весь лог покажите , а не 2 строчки
И я предполагаю , что проблема возможна со второй стороной туннеля
А не с PF

@fortaran
Зачем перед пф роутер, если пф сам себе роутер?
Развернуть dante на пф https://garajau.com.br/2019/01/installing-socks-server-on-pfsense-2-4 ( изменить версию freebsd под 2.6 )

Зы. Никогда не используйте в продакшене сети 192.168.0|1
Иначе нарветесь на пересекающуюся адресацию с клиентами.

@spics
Отписал в ЛС.

@pigbrother said in Gateway Monitoring, State Killing on Gateway Failure:

Однако у себя в настойках вижу только опцию
Flush all states on gateway failure

Похоже, официальная документация устарела. Если судить по ответам тут:

https://forum.netgate.com/topic/137416/solve-failover-not-switching/2

The Flush all states when a gateway goes down option overrides the default behavior, clearing states for all existing connections when any gateway fails.

Включение Flush all states... убивает все states для всех шлюзов при падении одного\любого из них.
А какое default behavior используется по умолчанию ? pfSense убивает только states, связанные только с упавшим gateway? Невидимое "Kill states for all gateways which are down"?
@viktor_g, был бы благодарен за комментарии

@umax76
Скрин правил.

@pigbrother Спасибо Вам большое.
Версия 2.6.0, но конфиг загружал с 2.4
Нет, сертификаты пользователей без пароля
Поставил этому одному пользователю пароль и логин. Надеюсь что на этом все.

@werter У меня и так все стоит на "мыльнице" если так можно сказать. Сейчас у меня вместо сервака Zyxel Keenetic III. Но этот аппарат "мыльницой" я не могу назвать. Там и сервер L2TP/IPsec и Облако для сотрудников и Ngenix и еще куча всего. Процессор слабенький это огромный минус, поэтому я и заморочился с PfSense. Если бы можно было ndms портировать на х86 цены бы не было этой системе

@jeleg said in Не поднимается второй WAN интерфейс,:

На нём и настраиваю.

Какого типа второе соединение? Адрес получаете "белый"?
Block private networks and loopback addresses - глалка стоит? Если адрес получаете "серый" - галку снять.
IPv4 Upstream gateway, если адрес статический - задан?

@jeleg said in Не поднимается второй WAN интерфейс,:

Не пойму как это поправить.

Удалите интерфейс и добавьте снова, вдуумчиво настроив

Вообще - покажите нвстройки интерфейса.

@yarx
Отписал Вам в ЛС.

Ребят спасибо за советы, временно отложил эту задачу. Как вернусь к ней сразу отпишусь. Мне пипец как интересно реализовать это :)

@seerg2k вопрос закрыт! Обновился на 2.6.0, проблема ушла!

@konstanti
спасибо, да настройки здесь немного другие. перевел в режим None (Responer only). Спасибо.

С проблемой разобрался. Нужно было добавить соответствующие подсети во вкладку ACLs. Проблема решена

@viktor_g Благодарю за совет. так и поступил. Сейчас сижу на версии 2.6.0 Всех благодарю за помощь

@святослав said in l2tp туннель не восстанавливается:

@viktor_g Скажите пожалуйста, удалять или нет установленные мною патчи сейчас?
Или после перехода на новую версию?
Как повлияют установленные патчи, на бэкап конфигурации с последующим его развертыванием?

Если в System Patches не выставлена галочка Auto Apply то при обновлении они не применяться.
Если патчи ничего не поменяли в вашей конфигурации - можете смело удалять их.

@antonr69
Тип впн между КШ?

Убрать из схемы КШ1 и на стороне КШ2 водрузить пф можно?
Это упростит схему.

Зы. И снова (( Не пользуйте в продакшене сети 192.168.0|1.

@werter
там 775-й на DDR2 с 2 слотами
да не, норм, пока не ломают вполне хватает. просто не должно ничего само стартовать и выжирать этим память

наблюдение
да только то что на скринах выше (правда в 2.6 уже у меня не отсвечивает PC/SC Smart Card Demon, поэтому не понятно он есть и скрыт, или вообще выпелен).