@pigbrother Согласен. Просто пропишу правило в брендмауере на конечной машине.
Так проще потом понять что я навертел).

@konstanti, @pigbrother, огромное спасибо вам.

@konstanti Ну... ограничение скорости это уж слишком радикально и огульно. Заплатить за машину, но налить только 100 грамм топлива, открутить ей колёса, руль и таким образом запретить водителю заезжать домой на обед. Мы же боремся за увеличение скорости доступа, таков наш путь. Ограничиваем пользователям возможность злоупотребять контентом и тем самым наносить вред паразитным трафиком в сети, плюс время тратят рабочее. Действуем прицельно. ;)

@werter

Возможно Вы не поняли (эти статьи я видел), мой GRE туннель работает в транспортном режиме, т.е. из Вашего скрина, галка снята !!!

@randreevich В pfBlockerNG можно только смотреть статистику заблокированных доменов/IP и отчёты по DNS запросам.

@konstanti Понимаю, что странно писать столько времени спустя. Но внезапно возник вопрос, ключи EAP с общим PSK не связаны? Можно общий и PSK и EAP по одному создать?

@psyapathy
/var/log/openvpn.log

@abdurohman said in [OpenVPN] Задание шлюза клиенту:

Компьютеру не удалось подключиться к другому сеансу консоли на удаленном компьютере, поскольку сеанс консоли уже запущен

Это не говорит о недоступности хоста. Ругается на попытку подключения к нулевой консоли
mstsc /admin
Которая возможна только одна. Правда при этом предыдущий пользователь обычно просто выбрасывается.

@konstanti Спасибо, похоже вы правы(

Добрый.
@jeleg

В общих настройках логов увеличить общее кол-во строк до необходимого (?)
И https://docs.netgate.com/pfsense/en/latest/monitoring/logs/l2tp.html

@werter
Спасибо!

Поделюсь схемой именования раб. станций и серверов.

Рабочие станции - это WSxxx-yyyzzz, где WS- сокращение от workstation, xxx - номер филиала (если имеются), yyy - внутренний номер отдела, zzz- номер рабочей станции в отделе. Порядок кодировки можно варьировать на свой вкус.
Критически важные серверы имеют свои имена- dc-0x, mail-0x (или mx-0x), nas-0x etc.
Серверы некритичные именуются также как рабочие станции - SRVxxx-yyyzzz

Считаю, что никаких фамилий, названий должностей и т.д. в кач-ве имен машин быть не должно. Так это у нас. Схема гибкая и понятная только сотрудникам it-отдела. Всем остальным "понятность" ни к чему.

https://www.opennet.ru/opennews/art.shtml?num=53981

Из конфигурации по умолчанию убрана поддержка шифра BF-CBC

Всем, Доброго дня.

Во общем телефония работает по VPN через TCP, все телефоны регаются за секунду. Через UDP так и не заработал, хотя все порты открыты.

Все таки грешу на АТС, ее настройки...

Доработал дергалку до вида

/usr/bin/nice -n20 /bin/sleep 60 && /usr/bin/nice -n20 /sbin/pfctl -F state

можно добавить про https://docs.netgate.com/pfsense/en/latest/highavailability/reduce-heartbeat-traffic.html

@werter said in arpresolve: can't allocate llinfo for 10.xxx.xx.xxx:

Зы. Недавно тут свежие драйверы для Реалтека проскакивали. Попробуйте поискать.

@webnash

2020-11-26 17_08_37-port 443 wan to lan _ Netgate Forum - Vivaldi.png

Или на WAN 443 порт разрешайте или проброс 443-го делайте. Возможно только ОДНО.

Смените вебку пф на 8443. Измените 443 на 8443 в 1-й строке. Проверьте, что в кач-ве шлюза на 192.168.1.125. Должен быть лан ip пф.

Не увидел правил на ЛАН. Покажите.

Зы. За использование 192.168.0|1. нужно карать каторгой. Меняйте адресацию в сети.
Зы2. Не открывайте стандартные порты во вне - это дурной тон. Пользуйте ВПН.

@Konstanti said in GRE +IPSec:

@Moron
Здр
Как я Вам уже писал и в соседней теме - никак . Ipsec , наоборот , стартует позже GRE

https://forum.netgate.com/topic/158496/%D0%B2%D0%BB%D0%BE%D0%B6%D0%B5%D0%BD%D0%BD%D1%8B%D0%B5-gre-%D1%82%D1%83%D0%BD%D0%B5%D0%BB%D0%B8/29

Тогда GRE+IPSec не рабочий вариант? На что его лучше заменить? Нужно 2 провайдера с одной стороны связать с 1 провайдером с другой стороны

@werter said in Работа OSPF маршрутов:

@Moron

Моей радости нет предела! Правило в Floating помогло!

Точно ?

Точно, у меня 2 места с такой пробоемой и правило в Floating сработало

Может помогло это ?

@Konstanti said in Работа OSPF маршрутов:

так как у Вас PF запускается на виртуальной машине , то можно отключить еще и вот такую опцию

Есть ли возможность проверить?

Зы. Ого. Так у ТС пф как ВМ? Я к тому что галка на Disable hw offload - это ПЕРВОЕ, что делают при развертывание пф как ВМ. И это описано в вики пф.

Было отключено изначально, везде про это пишут

Всем спасибо.
Заработало в режиме One VPN tunnel per Gateway pair

@Moron

Самому интересна эта тема. Спасибо, что подняли ее.

Общая схема (комментарий от jim-p):
FRR OSPF restrict redistributed networks https://www.reddit.com/r/PFSENSE/comments/gdy3dq/frr_ospf_restrict_redistributed_networks/

Реализация.

2.1. С помощью Route map:
Filtering unwanted routes from OSPF distribution https://forum.netgate.com/topic/154445/filtering-unwanted-routes-from-ospf-distribution/

2.2. C помощью Access Lists (ACL) (проще?):
OSFP distributing routes just using Access Lists, not bothering with interfaces (expect the VTi ones...) https://forum.netgate.com/topic/145252/osfp-distributing-routes-just-using-access-lists-not-bothering-with-interfaces-expect-the-vti-ones

Зы. Как одолеете, просьба описать историю успеха с картинками ) Заранее благодарен.
Зы2. Тут https://www.reddit.com/r/PFSENSE/comments/dioq95/frr_ospf_advertise_policy_based_ipsec_subnet/ предложение с ABR.

@kharkov_max

1.https://www.reddit.com/r/PFSENSE/comments/dioq95/frr_ospf_advertise_policy_based_ipsec_subnet/

Когда-то настраивал ospf (frr) + ovpn. Процесс описан тут https://forum.netgate.com/topic/147028/%D0%B4%D0%B2%D0%B0-%D0%BF%D1%80%D0%BE%D0%B2%D0%B0%D0%B9%D0%B4%D0%B5%D1%80%D0%B0-%D0%B8-openvpn-%D0%BA%D0%BB%D0%B8%D0%B5%D0%BD%D1%82/87

Теперь самое интересное.

Как выдать OSPF-клиенту маршрут в сеть ЗА сервером (напр., в сеть, к -ая подключена по VPN к серверу) или наоборот?

Долго перебирал варианты. Пока не наткнулся на https://forum.netgate.com/topic/144153/frr-ospf-distribute-route-for-openvpn-interface/

Делаем так. В FRR Global Settings на сервере в самом низу в Subnet пишем адрес сети, путь к к-ой хотим по OSPF выдать клиенту.

НО, маску пишем не ту, к-ая у вас изначально, а перекрывающую ее. Напр., вам надо выдать клиенту по OSPF путь в сеть 192.168.1.0/24 за сервером.

Для этого пишем в Subnet на сервере 192.168.0.0/23 и в Static Route Target выбираем Interface:Localhost. В топике по ссылке выше

объяснено почему (FreeBSD only supports one route per matching network so your FRR static route wouldn't stick

because FreeBSD already has a route in its kernel routing table for the same network. Using a supernet works because

that route doesn't already exist in your routing table.) И правила fw на клиенте\сервере поправить по ситуации не забываем.

@max5775
Тогда все карты у вас на руках ) Ребята выше уже подсказывали как реализовать.

@pigbrother said in Связь между 2 Pfsense которые выступают клиентами openvpn server:

@invisible said in Связь между 2 Pfsense которые выступают клиентами openvpn server:

еще много чего

Отпишитесь.
Запуск программы IŞ ÇOMEKÇI сети торговых точек , телефония

Добрый.
@mikeroygbiv

Или автоматом выдавать маршрут https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/routed-vti.html

@Konstanti выше это предлагал.

@maxyca Попробуй добавить в lmhosts.sam имена хостов, например так:
192.168.1.10 hostname1
192.168.1.12 hostname2
и тд.
Файл лежит в c:\windows\system32\drivers\etc
Дальше для свойств адаптера OpenVPN GUI TAP в Win через который осуществляется подключение для TCP/IP делаешь импорт файла lmhosts.
После этого попробуй пингануть удаленные компы или напр. подключиться к сетевому диску, putty и пр. Чтобы понимать будет доступ по хосту или нет.

@viktor_g said in Как импортировать сертификат к списку центру сертификации:

7daab3d8dc4cc045db22925cccbde22c23083c03

Спасибо за ответ!
Проблема разрешилась добавление головного сертификата действием cat /tmp/сертификатГоловной.cer >> /etc/ssl/cert.pem

@werter

Спасибо, понял

Советую сделать багрепорт:
https://docs.netgate.com/pfsense/en/latest/development/bug-reports.html

@ko said in Не срабатывает Policy Routing:

требуется маршрутизация между удаленной площадкой с сетью 9.9.0.0/24 и площадкой с сетью 192.168.100.0/22 через промежуточный pfSense в "облаке".

1604403525926-9b65c21a-7513-41f1-8b22-3daaddb18a30-image.png

Так у вас трасер прошел. Связь есть.

И не надо Disable Outbond NAT - надо Hybrid Outbond NAT (или не трогайте вы его вообще - поставьте Auto). Иначе у вас люди из локальной сети пф-а в инет не попадут.

@evgen86
Не помогает что?

@Павел
Попробуйте сперва все филиалы подключить по OVPN через Головной офис
Получится - будете пробовать c OSPF. Если оно вам действительно надо.

ЗЫ. У вас у всех филиалах белые ip на ВАН?

ЗЫ2

Я читаю таблицу маршрутизации, умею прописывать маршруты, но в Windows, чтобы работал OpenVPN

Прелесть правильно приготовленного овпн в том, что прописывать руками маршруты в 99% не надо.

Я использую Hyper-V, при этом там нет необходимости пробрасывать USB внутрь машин.

Открою секрет. Гипер-В не умеет нативно пробрасывать юсб в ВМ. Или я отстал от жизни?

И от знакомства с опенсурс (proxmox etc) не отказывайтесь - не все сразу получается. Сейчас это необходимость. Откройте hh и 90% вакансий будет с никсами в требованиях. И хорошо - не MS единым.

ЗЫ3. Вот городил ovpn + ospf https://forum.netgate.com/post/871963

@werter спасибо. На данный момент этот вариант не особо подходит, нужно решить с тем, что есть.
PF 2.3.4

Добрый.
@lucas1
Совет из 1-го моего сообщения. Пробуйте.

@Galymzhan
Может, что вы мониторите пингом не оч это любит? Или на нем закрыт icmp.

@werter , спасибо.
Опциями, кроме Login page color и Login hostname и картинки пользуюсь давно.