@pigbrother said in openvpn лицензирование:

Логично. Но если сервер поддеживаает а клиент не поддерживает аппаратное ускорение, но поддерживает нужный алгоритм, получим ли мы разгрузку CPU на сервере?

Как я понимаю, не получим. Это пАрная игра. Будет испол-ся алгоритм без аппаратного шифрования.

Странно, всегда считал, что RDRAND это про работу со случайными числами.

О, спасибо. Тогда задача в случае ovpn упрощается.

@mrDick гляньте тут - https://forum.netgate.com/topic/131401/%D0%BC%D0%B0%D1%80%D1%88%D1%80%D1%83%D1%82%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F-openvpn/75 настроено не по феншую, а переделать не получается. Но сколько лет работает на 3 офиса.

UPD по новым требованиям отключите сжатие и поставьте алгоритм на 512

UPD2 тьфу, забыл. Может уже и не актуально, но в Keenetic в ПЕРВУЮ ОЧЕРЕДЬ отрубите свой OpenVPN от других интерфейсов через CLI (там мануал есть в их хелпе), иначе эта пакость будет туннель пихать и в WI-Fi, даже если там гостевая сеть настроена!!!

@pigbrother см. https://redmine.pfsense.org/projects/pfsense/roadmap

@konstanti
Спасибо, попробую активировать reflection.

Добрый
@jeleg и назначить wan2 дефолтным шлюзом не забудьте в Routing, если он сам не назначится после правки.

Была проблема, что некоторые сайты не отображаются, выдается ошибка, что не может определить адрес сайта. Методом тыка было определено, что виноват в этом Proxy filter SquidGuard - как я понял, эти сайты не умеют работать через прокси с авторизацией.
В общем: идем в нем в Target Categories, там уже у нас должна быть хотя бы одна строчка, идем в ее редактирование. Дальше- варианты.

В поле Domain List пишем домены целиком через пробел, например- government.ru gosuslugi.ru Можно что-то написать в поле URL List, но я этот вариант не пробовал В поле Regular Expression пишем через палку куски названий сайтов, например: gosuslugi|sbis.ru
После этого Proxy filter SquidGuard пропускает нормально на эти сайты.

@serg-3 said in Вопрос от новичка:

после керио много что еще непонятно, справимся ).

Пару раз приходилось тыкать в Керио. Аналогично, многое непривычно.

@werter да, это гораздо лучше, поставил wg и subspace
Спасибо.

@kharkov_max said in L2TP и OSPF:

@werter
Это чуть не то ...
Мне для ospf нужен интерфейс, а он на сервер один создается. В связи с этим сколько подобных подключений, столько и серверов OPENVPN.

PS. туннельный интерфейс

У вас разные OSPF AREA для каждого клиента?
Можно ведь создать один OpenVPN интерфейс на сервере и прикрутить к нему OSPF.

@konstanti Спасибо. Все заработало так как нужно!

Добрый.
@igor-filth
Что не получается?

Зы. Отписал в ЛС.

@jan_is said in Pfsence+beeline:

@viktor_g
Если я делаю l2tp то он не поднимается
Если делаю PPTP то как будто поднимается но интернета нет, и шлюзы не пингуются,
И неважно делаю я локал айпи или нет

Если не поднимается надо смотреть логи.
Вы обновились до последней версии (2.6.0)?

@programmer_86 said in Драйвера для Intel x540 Virtual Function для HyperV:

https://www.intel.ru/content/www/ru/ru/download/645984/intel-network-adapter-virtual-function-driver-for-pcie-10-gigabit-network-connections-under-freebsd.html

Тогда попробуйте ход конем
Судя по тому , что в исходниках на ixv-1.5.31 есть файл ixbe_sriov.h и в файле ixgbe.h есть на него ссылка
то добавьте в Makefile такой кусок ( по аналогии с Makefile для if_ix )

# Enable SR-IOV PF support SRIOV_ENABLE = 1 # SR-IOV support requires additional files and a kernel version check KERNVER != uname -K VERS_CHECK != test $(KERNVER) -ge 1100000 ; echo $$? .if $(SRIOV_ENABLE) && !$(VERS_CHECK) CFLAGS += -DPCI_IOV SRCS += pci_iov_if.h .endif

и попробуйте собрать драйвер

Добрый.
@inkoff
Связка acme + haproxy настраивается прямо на пф. Не надо отдельно создавать и хранить сертификаты на бэкэндах.

@astahow87
Плпробуйте поиграть с настройками
tun-mtu
mssfix
mtu-test
https://www.thegeekpub.com/271035/openvpn-mtu-finding-the-correct-settings/

@pigbrother Для конкретных IP. А для других конкретных IP прибиваем гатвей гвоздями и бай-бай Firewall / NAT / Port Forward

@werter
Спасибо,
Проблема решилась VTI + Routing

Можете подробнее описать задачу?

@sirota Сегодня убрал мультидомайн оставив одну корневую запись и все взлетело. Почему вчера не взлетало с одной запись, и почему до этого получалось получать серт на мультидомайн... ума не приложу. В логах полнейшая ересть, при чем даже если делать получение руками.

@jeleg на pfSense стоит squid прокси для пользователей?
CA сертификат с госуслуг, понятно отсутствует в хранилище сертификатов.

Можно импортировать CA и выбрать его в сквиде через опцию "Extra Trusted CA"

Добрый.
@rotor
Из найденного:

Проблема решена. А в чем она была?

Мой шлюз был запитан от сертификата, полученного от ACME. Когда в очередной раз проводилось обновление сертификата - чтото пошло не так и сертификат крашнулся. Проще всего отключить https и дальше через веб интерфейс уже менять что нужно. Но поменяв настройки nginx, /cf/config/config.xml - webconfigurator все равно падал с ошибкой на битый сертификат /var/etc/cert.crt .

Решение: не морочить себе голову и переназначить IP интерфейсу LAN, во время настройки LAN у вас спросит что то типа: выключить http редирект на ssl? Жмете Y и WEbConfigurator переходит на протокол http:// Дальше уже понятно, что нужно пересоздать сертификат и переназначить для https уже нормальный сертификат.

Опух совсем? Все есть, только деньги надо платить. А pf хоть и хреноватая. но халява. А на смартфон мне нас-ть, я им не пользуюсь почти. а так дебилов будет меньше.

@wezen
Настраивайте чистый ipsec между циской и пф.
Cisco Anyconnect использует иной механизм , к-ый пф не поддерживает.

@werter
pf - 2.6.0-release
squid - 0.4.45_8

@kiu86
https://docs.netgate.com/pfsense/en/latest/multiwan/policy-route.html

@werter said in Проблема с переездом на pfSense:

Зачем на LAN у пф указан Gw?
Зачем у пф руками добавлен роут до .14.0/24 ?

Все это было убрано. Изначально добавлялось чтобы понять, где ошибка.

Всем спасибо. Решил проблему обновлением до 2.6 и настройкой прозрачного прокси для конкретного сервиса.

@zerk0
Проверьте настройки прокси на предмет разрешения доступа к нему из других сетей.
Временно разрешите всё на обоих пф на всех интерфейсах и пробуйте.
Возможно, на пф2 понадобится добавить роут до сети прокси.

Зы. Проверьте ЛС.

@werter
Если после указанных действий добавить шлюз и поменять маску на /32 через web-интерфейс, всё работает после перезагрузки, ведь в web-интерфейсе есть галочка "Use non-local gateway through interface specific route." (как в Shell указать этот ключ не нашёл).

По поводу обновлений соглашусь, но клиентов множество в разных городах, поэтому разом поменять у всех версию OpenVPN проблематично. СО временем перейдём, конечно.

Какая версия? Стоит до 2.6 обновиться для начала.

@werter Благодарю Вас, о уважаемейший.
Привязки по MAC точно нет, иначе под OPNSense не шевелилось бы ничего.

Сейчас подниму OPNSense до конца, затем начну колупать PFSense. Но непонятно мне как так-то: когда WAN - DHCP или Static - и лампочки горят и сетка есть. А когда PPPoE - то лампочки не горят и сети нет вообще.
Но тем не менее покопаюсь в обозначенном направлении.

Добрый
@kashtan
Смотрите логи сквида. Там точно что-то будет.

Зы. Меняйте ms exchange на открытое ПО https://mailcow.email/ или https://docs.zextras.com/carbonio-ce/html/installation.html

@sheva

ВПН есть, как раз с 10.0.0.0/16

Мало. Надо 10.0.0.0/8

А разве не это вам выше советовал?
Указание source-порта для port forward в 99,99% вредно.

@rogi-0 said in Проброс нескольких портов для RDP из вне:

Возможно Порт источника это исходящий порт источника запроса

Да. И в 99,99% случаев он не указывается при port forward.

@rogi-0 said in Проброс нескольких портов для RDP из вне:

В керио 9 такая штука работала

Вы уверены, что в Керио указывали исходящий порт источника? Речь, вероятно о пробросе 3390->3389. Тогда
Destination port range = 3390
Redirect target port = 3389

Добрый
@bazyak
Еще бы проверил, вкл. ли trim на пуле. Иначе могут быть проблемы (

@nockdown
Зачем вам сервер на пф? Разверните его отдельно в виртуалке за пф. Я бы его еще и в dmz вынес.

Для LAN используется DNS Forwarder.

Супер, че (
А то что сами разрабы пользуют ДНС резольвер по-дефолту ни на какие мысли не наталкивает?