@igor-kinma
Они при прозрачном режиме тем более будут ломиться.

@werter said in WAN интерфейс не может получить IP адресс если сменить MAC Address на этом порту! SOS:

За что вас так не любят-то? ДДОС-ят в 99.99% не просто так. Что у вас там крутится помимо пф?

Первым стоит роутер pfsense принимает все данные. А за ним 3 машины одна для игр. Вторая для серверов игровых.
Роутер-box идёт посде pfsense для wifi раздачи для мобильников.

Причём ддосить стали не наши сервера. А всего лишь один маленький сервачёк для удобства игры KAM-Remake - Knights and Merchants для RU региона.
Вот когда там начали массово долбить все сервера то попался и я в том числе.

А смысл еще сильнее заморачиваться ставить сначала систему управления виртуалками а следом виртуалку Если все ресурсы можно отдать одной машине если на ней ничего кроме обработки трафика и маршрутизации не нужно для более стабильной работы?
Да и бэкапиться придётся чаще на этой машине я так думаю если там виртуалки размещать.
Реализация в принцепе очень интересная 🙄
Я присмотрюсь к вашей идеи.

(3ья машина файловая помойка так сказать стоит...)

@werter said in pfsense+squig+другие порты:

В настройках сквида в вебке ТОЧНО есть возможность добавить порты, к-ые можно пользовать со сквидом.

Да. Спасибо я нашел. Но есть программа Runovo Monitoring System у нее в настройках есть работать через прокси. И она использует порт для соединения с сервером. Дак вот порт в Web интерфейсе указал, прокси в программе ввел, а она все равно не соединяется(

@layman
Как перенесете все на freepbx\asterisk - отпишите, получилось ли.
Спасибо.

@pigbrother Да-да, именно.
Никак не обновляли - это новая площадка..

@viktor_g said in pfsense squid kerberos:

Проверьте настройки DNS на pfSense, убедитесь что в Domain Overrides добавлен ваш домен и доменный DNS

kinit: krb5_get_init_creds: Client (HTTP/srv01.test.iv.ru@TEST.IV.RU) unknown

@werter попробую ваше предложение

@sherr_khann
Выдернуть-подождать-вернуть кабель из основного и смотреть логи в этот момент пробовали?

@konstanti
Огромное спасибо!

Здравствуйте!
Ну похоже что победил. Во всяком случае канал стоит почти сутки без обрывов. Достоверно сказать не берусь, т.к. пересоздание Фазы 1 не отловил, но за ее время жизни - 28800 секунд обрывов не было точно. Собственно все свелось к пересозданию профилей с другим шифрованием, как собственно здесь советовали. Всем спасибо.

Настройки на картинке:

Без имени-100.jpg

@inkoff
В сети точно есть как работать с API DNS. Даже на ютубе. Поищите.

Добрый
@balya
Проверяйте память, диск.

@testsia
Спасибо, что поделились решением.

В оф. доке про порядок создания интерфейсов есть:
https://docs.netgate.com/pfsense/en/latest/troubleshooting/high-availability.html

As mentioned on pfSense XML-RPC Config Sync Overview, the interface assignment order and internal identifiers must match identically on both nodes.

If the interface order does not match, the configuration synchronziation process will copy rules and other settings such as DHCP failover to the wrong interfaces on the secondary node.

Изменил конфигурацию WAN интерфейсов.
У Микротиков убрал DHCP, присвоил статические IP WAN интерфейсам. Убрал DNS серверы получаемые от сети Мегафон.
Сейчас Спидтест видит многопотоковое подключение и скорость удваивается.
Понаблюдаем. Спасибо всем.

Багрепорт: https://redmine.pfsense.org/issues/12331

Исправление будет включено в следующую стабильную версию и ближайшие 2.6-DEVELOPMENT снапшоты

Нет не чистил, кстати вариант проверю отпишусь

Добрый
@mustdie89

На пф, где роутер БЕЗ симки:

Добавить вторую сетевую на пф для ЛАН. Тп-линк перевести в режим ТД\выкл. dhcp на нем. Будем использовать его как простой свитч. На пф (при двух сетевых) подключить инет на ВАН, ЛАН пф-а и все ваши устр-ва воткнуть в ЛАН-порты тп-линка. Если ЛАН-портов на тп-линке не хватает, то перешить его в openwrt (4pda в помощь) - появится возможность использовать ВАН-порт тп-линка как ЛАН.

Можно докупить б\у свитч\роутер на авито, если не хватит портов.

На пф, где роутер с СИМкой вижу след. варианты:

докупить б\у usb-модем, воткнуть в пф - будет ВАН для пф-а. Далее как описано выше; докупить 2-ую сетевую для пф и простой свитч. ВАН-ом для пф будет роутер с СИМ-кой, ЛАН пф-а и все ваши устр-ва воткнуть в простой свитч.

В вашем случае, если пф с одной сетевой он и не нужен особо. Смотрите на pritunl, streisand etc

Все оказалось очень просто меня ем имя и пароль (смотри скриншот) и жмём save.
Проблема решена

@viktor_g Ясно. Спасибо.

Разобрались

совет такой - используйте алиасы в "Bypass Proxy for These Source/Destination IPs", а не перечень IP/доменов

@konstanti
1.
cisco2960 ios12.2
cisco2960s ios15.2
cisco3750 ios12.2
cisco3750x ios15.2
eltex 3116f
2.
Intel 82563EB
Intel i210-T4
hyper-v
какие то реалтеки пробовал
3. журналы чисты были. сейчас все железо в ентерпрайзе, тестировать не буду

На этом интерфейсе было такое поведение
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=4209b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC,VLAN_HWTSO>
capabilities=1539db<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,POLLING,VLAN_HWCSUM,TSO4,WOL_UCAST,WOL_MCAST,WOL_MAGIC,VLAN_HWFILTER,VLAN_HWTSO,NETMAP>
ether 00:1e:8c:xxxxxx
inet6 fe80::21e:8cff:fe53:xxxxxem0 prefixlen 64 scopeid 0x1
inet xxxxxxxxxxx netmask 0xffffff00 broadcast xxxxxxxxxxx
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
media: Ethernet autoselect (1000baseT <full-duplex>)
status: active
supported media:
media autoselect
media 1000baseT
media 1000baseT mediaopt full-duplex
media 100baseTX mediaopt full-duplex
media 100baseTX
media 10baseT/UTP mediaopt full-duplex
media 10baseT/UTP

@antonr69 НЕ верно выразился. Нет доменных имен и L7 как такового.

@viktor_g подробнее про этот баг: https://redmine.pfsense.org/issues/12219

@pigbrother said in default password:

pfSense настраивается только из GUI
USB-модем с полпинка обычно не заводится.

потихоньку осваиваю pfsense,
ИМХО USB модемы и телефоны, в принципе только в том случае создают сложности, когда на них какие-то драйвера на внутреннем диске, по крайней мере у меня все устройства, что работают с честным ndis драйвером в виндах, спокойно запускались "с полпинка":) а те, где нужно в винде еще что-то "щелкнуть" просто не инициировались, видимо их необходимо сначала переконфигурировать
проблема возникла затем: при любом переподключении модема (телефона) pfsense по-видимому теряет шлюз (от провайдера) и не пытается его перепрописать или принять снова, хотя шлюз явно выдается по DHCP -- при переподключениях на винде все всегда ОК
долго возился, чтобы понять, но единственное что действует, это вручную поднятие WAN в WebGUI Статус/Интерфейсы
возможно я какие-то принципы pfsense еще не понимаю (искал, читал но не нашел), но не вручную же каждый раз поднимать WAN? (тем более это видно только по тому признаку, что интернет пропал)
настройки не менялись - те, что при чистой установке с 1 wan и 1 lan

Добрый
@xenofobia
Схему в студию )

@slepich

aclIpParseIpData: Bad host/IP: '10.' in '10.', flags=0 : (8) Name does not resolve 2021/08/02 03:54:43| FATAL: Bungled /usr/local/etc/squid/squid.conf line 65:

Что на 65-й строке? Похоже, что где-то неверный формат записи адреса. Перепроверьте.

Добрый
@reno-0
Пройдитесь ВНИМАТЕЛЬНО по https://docs.netgate.com/pfsense/en/latest/recipes/openvpn-s2s-psk.html

Пункты Remote network, Firewall > Rules > OpenVPN вдумчиво.

@lucas-borges
Не использую pf2ad.

Но точно уверен, что с kerberos (и без samba) это возможно
https://habr.com/ru/post/492684/

Добрый
@xxspider

Здесь и в 1-й части поищите
https://forum.netgate.com/topic/163435/proxmox-ceph-zfs-pfsense-%D0%B8-%D0%B2%D1%81%D0%B5-%D0%B2%D1%81%D0%B5-%D0%B2%D1%81%D0%B5-%D1%87%D0%B0%D1%81%D1%82%D1%8C-2

@иван
Определились?

@guf-rolex-x

CN=pfSense pfS. pfSense

Зачем вы так поль-ля называете? Вы себе доп. проблемы решили создать?
ПРОСТО pfsense и всё. Не надо мудрить.

Ссылки я вам нашел. Потрудитесь разобраться неспеша.

@dmdandrew
Вот же https://www.itwriting.com/blog/9592-publishing-exchange-with-pfsense.html
Достаточно сменить порт вебки пф на нестандартный (напр., 10080\10443) и пробросить TCP 80\443 на локальный ip экса. Всё.

Я не совсем понимаю зачем для этого нужен сквид реверс прокси (
Для https? Так его можно на самом эксе с iis настроить.

Зы. Тут https://hobbycomp.ru/soft/exchange-pfsense/ и https://hobbycomp.ru/soft/pfsense-shlyuz-za-pyat-minut/

Спасибо, заработало ! По простому нужно добавить ключ MaxMind. После, страница сама появится

@druidblack
failover
оптика и адсл

Добрый
@sottomesso
Ни... непонятно, но очень интересно (с)
Рисуйте схему.

@геннадий-0

Задача соединения подсетей 192.168.9.0/24 и 192.168.2.0/24

Уверены в ТАКОЙ трактовке?

Может так:
Задача соединения подсетей 192.168.2.0/24 и 10.0.0.0/16?

В доке пф замечательно все описано. Вчитайтесь внимательнее.

@pigbrother он там указан, первый IP локального DNS указан, альтернативным указан гугловский DNS