@Palamar Вам нужно настроить PBR (policy based routing)
В двух словах надо добавить правила файрвола с указанием шлюза,
Типа:
Screenshot from 2020-06-30 17-45-32.png

См. https://docs.netgate.com/pfsense/en/latest/routing/directing-traffic-with-policy-routing.html
https://docs.netgate.com/pfsense/en/latest/book/multiwan/policy-routing-configuration.html

И даже видео:
https://www.youtube.com/watch?v=vnh9CU3Pyr0

@xpycmuk said in PfSense при исходящем трафике в 200Мб Умирает канал:

Спасибо, помогло изменение параметра kern.ipc.nmbclusters

да, его я и менял.

@xpycmuk said in PfSense при исходящем трафике в 200Мб Умирает канал:

55% под нагрузкой

И какова стала загрузка CPU? У меня каналы поуже, 100+20, оба - PPPOE, плюс 3 сервера OpenVPN. С этим легко справляется 10-ваттный Celeron(R) CPU N3150
Неужели для 400 Mbit необходимо столь производительное железо? Может стоит на нем же pfSense виртуализировать? i5-3470 CPU все необходимые для этого технологии поддерживает.

Ну Вы, отцы, совсем уж сурово! Та ведь можно вообще начать книжки читать!

@werter said in Pfsense и камеры:

@ler0i
Попробуйте добавить адрес удаленного ресурса в исключения сквида в Dst. После перезапустить сквид.
Зы. Вряд ли видеопоток идет по TCP.

А подскажите где исключения для сквида прописываются?

@pigbrother там 3 режима, автоматический, ручной+автомат, и ручной.
по приоритету вроде выходит в гибридном режиме что правила созданные руками выше чем те что создались автоматом, в остальном ничем не отличается.

@raevsk Какая версия pfSense? Что за LDAP сервера?

@Павел said in IPSec + GRE + frr OSPF не понимаю, как настроить сетевой экран.:

Всё бесполезно. Прочитал, правила создал, толку нету, всё равно. Трафик ходит и трассировка по GRE, они пингуются, всё нормально. OSPF маршруты создаёт, их видно, что они есть. Но по прежнему трафик в серой сети начинает ходить только тогда, когда отключить сетевой фильтр. Я в полной растерянности, ничего не получается. Там где баг описывается я вообще не понял, какое правило надо создать и что сделать.

Подымайте OSPF на IPsec VTI интерфейсах, работает у всех
См. https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/ipsec-routed.html

@werter Только увидел вопрос про днс, адрес шлюза у клиентов сейчас.
Ставил 8.8.8.8, тоже самое.

т.е полное доменное имя host.company.lоcaldomain?

Совершенно верно.

спасибо за все!

@dirar Посмотри rmonitoring.ru. Вроде это то, что тебе нужно. Вместо логов - уведомления на e-mail

@KARLAGIN said in PfSense OpenVPN резервное копирование и восстановление:

@pigbrother Не буду создавать новую тему спрошу здесь. Как можно оптом перенести все сертификаты клиентские, серверные, центры сертификации? При использовании Backup/restore раздел OPENVPN выгружаются только настройки клиентов/серверов но не сертификатов. Либо единственный вариант это делать полный бэкап и вручную править xml?

Всё верно, сертификаты можно восстановить только через полный бэкап

Пока на функцию восстановления ТОЛЬКО сертификатов есть feature request: https://redmine.pfsense.org/issues/3697

Пользуйтесь AutoConfigBackup - это автоматическое создание зашифрованных резервных копий в облаке при каждом изменении кофигурации, очень удобно: https://docs.netgate.com/pfsense/en/latest/backup/autoconfigbackup.html

И советую обновить на последнюю стабильную версию,- недавно вышла 2.4.5-p1: https://www.netgate.com/blog/pfsense-2-4-5-release-p1-now-available.html

@violinorg
А самба вам зачем? Могу ошибаться, но SSO на основе Kerberos и без нее можно. Поищите статьи по настройке.

P.s. Таки ошибаюсь www.openjdtec.com.br/pfsense/2.4.4/samba/pf2ad.sh Там действительно самба. Все же поищите статьи по настройке kerberos + сквид. Вроде и в нашей ветке были.

Добрый
@GL_

Уж и не вспомню, что и как (
Попробуйте поискать по фразе beeline + l2tp. Или узнать у них, есть ли возможность сменить тип подключения.

@deusbase
Тогда предлагаю попробовать детальнее остановиться на втором моем вопросе
Зачем нужен такой алиас , который содержит ip адреса WAN интерфейса ?
Мб проще найти решение в этом направлении

С дефотлтовым шлюзом все норм. IPSEC-виджета нет.

После "исследования" проблемы, какого-то стандартного инструмента (какого-нибудь суперната который бы натировал все и всех) не обнаружили, но в итоге квази-соломоново решение нашлось.
Определились 2-е группы подключаемых :

те кто будут подключаться к виртуальному рабочему месту. те кто вынужден забрать комп с предприятия домой (в виду того, что другие члены их семей уже давно на удаленке и свободных мест дома не оказалось).

для первых - на виртуальных рабочих местах создаются виртуальные ip доступные для vpn сети;
для вторых (с рабочим комп-ом) - после установки vpn соединения им пробрасываются маршруты до нужных сетей предприятия (аналог виндовой команды выглядит так: route add 192.168.0.0 mask 255.255.255.0 10.0.0.1).

для первых (с виртуальным рабочим местом) все работает прекрасно.
для вторых (с комп-ом дома) пропадают домашние сервисы вроде хранилища с музыкой, фильмами (такие вообще интересно еще сохранились ?), но на работу сотрудника это не повлияет. ))

А увольнять кого-то, несмотря на настойчивые предложения некоторых уважаемых форумчан

Все верно. За такой "подход" к работе - "даувай, до свидания".

я бы не стал.
Я за работу над ошибками, профессиональный рост и как следствие рост личностный )))))).

Всем большое спасибо, считаю тему закрытой.

@lan-13

Привязка по МАК-у у провайдера есть? Уточните этот момент.