Странно, фокус не удался. То ли я после праздников жутко туплю, то ли лыжи не едут. Но создал правило через NAT и не взлетело.

в нате.jpg

Кажется нащупал причину архитектурную: транзитные сети включаются в разрешенный префикс маршрутов, которые дистрибьютятся через OSPF. Следствием этого может быть доступность соседей через обходные пути в случае моргания канала и неверный рассчет весов. Это пока гипотеза, которую нужно проверить.

@rubic
Жаль (

@spics попробуйте изменить тип загрузки - BIOS/UEFI

Попробуйте патч отсюда:
https://redmine.pfsense.org/issues/12549

Dynamic DNS тоже исправлено:
https://redmine.pfsense.org/projects/pfsense/repository/1/revisions/1fa4c4731bca54652becfb6737bdc3ea8851d6b7

Добрый.
@petrovi4oo
Обновляйтесь, чтобы и др. проблемы не вылезли в дальнейшем )

Добрый.
@sobleum

Я пытался так сделать, почему-то не завелось...

Версия пф? У вас точно тип овпн, на к-ый iroute распространяется? CNAME клиента правильно в Client Specific Override указан?

@arxont
@Konstanti
Спасибо )

@dimadur

При этом с дургого pfsense на этот сервер микротик подключение идет...

Может овпн на МТ не принимает более одного клиента? МТ ребутили?

Добрый.
@andreymoiseev

Подскажите варианты защиты от перебора паролей к терминальному серверу ?

Не понял, ваши пользователи пароли перебирают по rdp?

@lucas1
Чем хуже? Сурикат теже правила от снорта пользует.

Сменить на суриката (умеет в многоядерность)

Выделил ,если сперва непонятно было.

@hitch
тогда radius
возможно, понадобится свитч, к-ый умеет в radius
поищите инфу

Добрый.
@descod said in PHP Fatal error: Allowed memory size:

Трим даже теоретически не имеет смысла включать

Вы считаете общие рекомендации ВСЕХ вендоров (и MS и nix) вкл. поддержку trim глупостью?

TRIM – это просто обновление статуса: когда файловая система удаляет блок, он также уведомляет устройство о том, что блок больше не используется. Затем прошивка SSD может выполнять выравнивание в фоновом режиме. Без TRIM он не сможет определить, все еще используется этот блок.

На пальцах. Без ТРИМ ОС "не понимает" , что данные удалены и можно использовать это место для новых данных.

Покажите вывод tunefs -p /dev/<partition-name>

Добрый
@valdem

Количество подключений при которых происходят отключения службы
100-150.

Разнесите на 4,5,n-овпн-серверов, т.е. создайте на пф дополнительно отдельные овпн-серверы. И обязательно вкл. поддержку AES на пф и на опвн.

Также, если имеются клиенты из общей локальной сети, то на их конце установить роутер, чтобы он поднимал один ОБЩИЙ впн-линк к пф.

Версии клиентов тоже регулярно обновляются

Я вижу это:

Dec 1 14:03:01 pfSense openvpn[13756]: 82.116.37.214:60670 peer info: IV_VER=2.4.7

@pigbrother said in Pfsense + Mikrotik подключение клиентов + объединение сетей:

Uptime 316 Days 09 Hours 05 Minutes 18 Seconds

Давно пф там не обновлялся. Куча фиксов прошла мимо (

С
UPS Type LocalSerial
Driver apcsmart
Serial port /dev/cuaU0

Заработало.

Добрый день.
А зачем? Хоть криво, но проблема решена, все работает.
По поводу файла hosts покопаюсь еще, ради любопытства.
С уважением
Павел

@werter said in Новое на Хабре: Настройка pfBlockerNG на pfSense (часть 2):

@viktor_g
Не совсем в тему, но бот @vadimkyev13 занянчил своей рекламой (

На будущее, топики и посты форума можно метить "mark as spam". А там модераторы разберутся.

вроде разобрался, создал, ещё по одной сетевушке на каждом роутере в одном вилане.
172.16.1.1 для pf1
172.16.1.2 для pf2

прописал шлюзы и маршруты, в файрволле разрешил подсети.

@umarov_bek по умолчанию создаётся 3 интерфейса, остальные вы должны создать сами во вкладке Interfaces\Interface Assignments

@pigbrother
Спасибо )

Проблему удалось локализовать. Дело в том что я получал сертификат на *.site.ru и на site.ru (все в пределах одного серта). В сентябре это работало, а вот видимо позже... Сейчас оставил только *.site.ru и все взлетело с первого раза. Поставил site.ru а потом *.site.ru и опять же все заработало.
Добавлю, что с сентября (как бы не в сентябре) я точно загружал конфиг. Есть вероятность что выгрузка-загрузка повлияла на очередность. Сейчас еще раз проверил. Последовательность *.site.ru - site.ru не сработала. А site.ru - *.site.ru да.

@werter said in Переход от iptables на PfSense:

@antonr69

При этом у клиентов в настройках сети 1-м днс-ом должен быть пф.
И тогда клиент сможет обращаться и по nas и по nas.domain.xxx.
Дело в том что первым днс как раз стоит pfsense, и при этом по имени без домена не ходит.

@иван-петров
Видимо, пф еще не умеет в zfs encrypt (?)
И что там шифровать-то? Маскам-шоу вы и сами все расскажете через 2 минуты допроса.
Да и как оно без вашего участия в случае ребута зашифрованное загрузится-то?

@viktor_g
Хорошо, что человек популяризирует.
Плохо то, что в оф. доку перед публикацией не смотрит (

Добрый.
@druidblack said in Добавление новой сетевой карты:

P.S. PFsense с картами 2.5 Gb нормально работает?

В HCL Freebsd 12.х поищите. Если драйвер там есть - все ок.

@vadimkyev13
С разморозкой. Дату поста смотрели, на к-ый ответили?

@viktor_g
Спасибо )
Отписал в комментах там, что думаю касаемо статьи в целом и киберхоста в частности. ИМХО, статья больше вредна, чем полезна - куча ненужных телодвижений с настройками (

@pigbrother Да, заработало только на одном указанном интерфейсе. Web Конфигуратор странно настраивается:
при адресе сервера: 172.31.254.1 нельзя поставить начало адресного пространства для клиентов после соединения с 172.31.254.2 (маска /24) - идёт пересечение адресного пространства, хотя стартовый адрес ставлю 172.31.254.2, но web интерфейс упрямо исправляет на 172.31.254.1 и получаем пересечение адресов.
Ну да ладно, ставим маску /25 и начало диапазона 172.31.254.129, но веб интерфейс упрямо исправляет на стартовый адрес 172.31.254.128 (сама подсеть). Но самое интересное, что клиент после подключения получает адрес 172.31.254.128 (сама подсеть) с маской /32 (это понятно), но шлюз установлен на 0.0.0.0 - это как? Когда адрес сервера 172.31.254.1 (да еще в другой подсети по факту)?

А как запустить L2TP сервер на нескольких интерфейсах? Выбирается только один интерфейс. Возможности добавить второй L2TP сервер не нашёл...

@werter спасибо за ответ , действительно я ошибался
aliases.jpeg
type host - это то что мне было нужно

Что же.
По факту у меня 15 клиентов из разных точек и Pfsense в облаке. Настройка OpenVPN сервера не составляет труда и все подключаются спокойно + есть пару туннелей к клиентам. Задача была в том что бы можно было не только видеть кто подключился по OpenVPN, но и как идёт трафик.
Для того что бы воспользоваться отличным пакетом ntopng нужно добавить подсеть в интерфейсы, для этого сперва нужно остановить сервис OpenVPN, добавить интерфейс, активировать его, в правилах Firewall отключить правила что были в вкладке OpenVPN, и добавить их(если были дополнительные) в вкладку нового интерфейса, после чего снова включить сервис OpenVPN. На при этом можно оставить в режиме "Гибрид".

@pavel-shutov
А если перевесить vpn на localhost?

Добрый.
@tarabukinivan
Настройте впн между домом и работой.

@pigbrother @andreymoiseev Дааа вот что значит тяжёлый день - накосячил в названиях параметров - должно быть battery! Все работает как надо.

Вопрос снимаетя - https://forum.netgate.com/topic/92028/dns-resolver-network-interfaces/2
Проблема решена

@werter
Ничего.
Единственное что нашёл это про драйвер freebsd для x722
https://www.freebsd.org/cgi/man.cgi?query=ixl&sektion=4&manpath=freebsd-release-ports