Russian

• P

  Squid - LDAP группы AD нужен совет
  • pouwer

  6
  0
  Votes
  6
  Posts
  620
  Views

  W

  Добрый. https://forum.netgate.com/topic/108251/прошу-помощи-в-настройке-squid-ldap-pfsense-2-3-1 У вас в хелпере OU был пропущен. Здесь http://www.k-max.name/linux/squid-auth-kerberos-ldap-grupp-active-directory в комментариях оч. интересно : Спасибо за мануал. Сделал всё тоже самое, но с хелпером ext_kerberos_ldap_group_acl. Работает магическим способом, получая все необходимые данные о сервере ldap из DNS, и авторизуясь в нём для проверки по уже существующему ключику kerberos (используя учётную запись машины). Таким образом, не надо создавать учётку пользователя и хранить её пароль на сервере. Конфиг, который проверяет пользователей на вхождение в группы: external_acl_type adgroup ttl=1200 %LOGIN %ACL /usr/lib/squid3/ext_kerberos_ldap_group_acl -D AD.LOCAL acl internet external adgroup acl fastinternet external adgroup где internet и fastinternet — имена соответствующих груп в AD. Ну и да, realm AD.LOCAL указан только потому, что у нас в сети несколько доменов.
• T

  Какую версию ставить!?
  • ToXaNSK

  7
  0
  Votes
  7
  Posts
  441
  Views

  T

  Спасибо всем кто ответил.
• I

  Не могу настроить ip адрес с маской 252 на сетевом интерфейсе
  • i_t_x

  5
  0
  Votes
  5
  Posts
  248
  Views

  I

  Всё спасибо разобрался сам виноват был )
• K

  Привязка пользователей AD к сертификату OpenVPN + mac адресу устройства
  • kudrik_tt

  8
  0
  Votes
  8
  Posts
  536
  Views

  K

  @pigbrother Да, спасибо, у меня так и настроено, и использованием Radius. Спасибо за Strict User-CN Matching, это ответ на мой вопрос, про mac я видимо перегнул, я тоже проштудировал логи OpenVPN подключения в режиме tun, и не увидел там никаких намеков на mac.
• T

  Squid Proxy Reports
  • Tolpa

  1
  0
  Votes
  1
  Posts
  172
  Views

  No one has replied

• D

  Лимитер.
  • DIMADUR

  5
  0
  Votes
  5
  Posts
  227
  Views

  D

  @pigbrother Вот вот.. я тоже так же считаю.. Дело в том то ли показалось то ли ещё что то, в общем копировал большой файл "образ ос " мне показалось что медленнее чем обычно.. Вот что то засомневался. ...
• V

  Настройка vlan
  • viktor1504

  6
  0
  Votes
  6
  Posts
  371
  Views

  S

  i. Interfaces \ assign network ports \ VLAN добавляем нужный vlan нужной сетевой карте ii. Interfaces \ Assign network ports в Available network ports выбираем созданный vlan жмём плюк iii. Interfaces \ OPTx (новый интерфейс) включаем интерфейс, DHCP клиент, задаём новый MAC адрес (как того требует провайдер) применяем настройки iv. Status \ Interfaces смотрим на предмет полученного адреса, gateway . v. Firewall \ Rules \ LAN добавляем правило с указанием Gateway. (кому и куда в плане ip сетей соображайте сами) v. c компьютера "клиента" проверяем корректность маршрутизации tracert 10.160.192.1 (я предполагаю это вышеуказанный gateway) или сразу работу сервисов
• 

  Сброс сессий в failover
  • PTZ-M

  9
  0
  Votes
  9
  Posts
  642
  Views

  

  @derwin я завис на моменте "трафик", какой и куда я должен прописывать? TCP, порт, запрос приложения? и какой тригер должен всю это монструозность запускать?
• O

  Делать было нечего !!
  • oleg1969

  1
  1
  Votes
  1
  Posts
  271
  Views

  No one has replied

• A

  Pfsence и l2tp
  • antonvs85

  14
  0
  Votes
  14
  Posts
  560
  Views

  P

  @werter said in Pfsence и l2tp: Т.е., если у клиента сеть вида 192.168.x.x, то и маршрут автоматом ему добавится только на 192.168.0.0\16? Млжет быть и так, что маршруты добавляюются на основании имеющегося у клиента IP на LAN, надо будет проверить. Даже если и так - "элегантное решение" от Микрософт- imho, все равно дыра. Пользователь вместо доступа только к LAN за VPN, получает доступ ко всем 192.168.0.0/16 сетям, для которых у VPN-сервера есть маршрут. UPD. Проверил пока только это - если поставить галку "Отключить добавление маршрута, основанное на классе" клиент теряет доступ даже к сети за VPN-сервером. В моем случае и домашняя сеть и сеть\сети за сервером - попадают в 10/8, доступ теряется ко всем 10/8. Возможно - это зависит от версии сервера, тестировал на древнем резервном PPTP WIN 2003.
• S

  Несколько вопросов по настройке домашней сети от новичка.
  • shteud1

  56
  0
  Votes
  56
  Posts
  2800
  Views

  S

  @werter said in Несколько вопросов по настройке домашней сети от новичка.: iconbit боюсь с прошивками там туго :) производитель забил болт быстро (так и не допилив прошивки), а т.к. модель не очень популярная кастомных прошивок кот наплакал (я итак поставил последнюю доступную). но вообще не думаю что это прошивка. т.к. плеер пахал раньше вполне сносно (разве что плохие образы/рипы попадались тогда могли быть проблемы)
• S

  PPPoE + DHCPv6-PD как раздать интернет?
  • Scodezan

  4
  0
  Votes
  4
  Posts
  330
  Views

  W

  Добрый. То, что решили - замечательно. А вот то, что версия пф у вас древняя - плохо. Потому как при дальнейшей эксплуатация обязательно наткнетесь на ее ограничения. Хотя, если пф у вас дома ...
• N

  Squid редирект с https на http
  • nurlan1992

  3
  0
  Votes
  3
  Posts
  324
  Views

  W

  Добрый. ходят в инет через squid + sslbump с импортированным самоподписным сертификатом В последней версии достаточно сгенерировать CA для сквида и выставить splice all в настройках. И ничего никому не понадобится импортировать. https://forum.netgate.com/topic/100342/guide-to-filtering-web-content-http-and-https-with-pfsense-2-3 UPDATE You can try setting up MITM by setting the SSL/MITM Mode to splice all, that way you do not need to create a certificate for each device on the network. (you still need to create a main certificate though) So in this guide we are going to use a Non Transparent with wpad which will filter http and https content. Update I found that we can use both a transperrent proxy for port 80 and a wpad for 443 https content (UPDATE or you can use splice all in MITM), the wpad will be setup to use port 80 and 443. The transperrent proxy is going to catch every thing that the wpad misses, enable transperrent proxy in squid once you have the wpad setup. http://forum.it-monkey.net/index.php?topic=23.0
• D

  pfSense не получает список пакетов и firmware
  • dvv06

  28
  0
  Votes
  28
  Posts
  1331
  Views

  D

  @oleg1969 Спасибо, да я устанавливал speedtest-cli но уверяю вас, невозможность получения списка пакетов не работало до него, а до него я стороннего не ставил. Если это как-то натолкнет на мысль людям, которые разбираются, то я вручную синхронизировал изменения с рабочего шлюза за год на находящийся в offline режиме второй шлюз, а это в основном: добавление/изменение ip диапазонов в Alias и создания новых добавление OpenVPN клиента + создание для него сертификатов в System - Certificate Manager-CAs и в Certificates (путем эксспорта импорта из основного через web. работоспособность проверена) правила для новых элиасов в фаерволе (они идентичные рабочему, параноидально проверял) поменял Domain firma.com -> local Как у основного (в домен AD не включал как и основной-рабочий) установил Lightsquid из пакетов, он меня попросил добавить loopback как интерейс для непрозрачного squid, что я и сделал (мне кажется, что поблема кроется где-то в этом направлении)
• P

  SSH/HTTPS/OpenVPN/Telegram через единый порт 443
  • pigbrother

  1
  2
  Votes
  1
  Posts
  232
  Views

  No one has replied

• S

  Отваливается Wi-fi точка доступа
  • SKREPKA

  37
  0
  Votes
  37
  Posts
  1099
  Views

  W

  Добрый. С таким же успехом вы можете включить тостер, СВЧ-печь и др. быт. технику. 2.4.х - это ветка пф на др. версии freebsd. Пора бы это знать.
• U

  Перенос конфига. Какие подводные камни?
  • ultra

  3
  0
  Votes
  3
  Posts
  377
  Views

  U

  Конфиг перенёс на целевую машину, вроде как всё поднялось. Но проблема с фильтрами сквидгуард. На старой машине был настроен блеклист по сайту http://urlblacklist.com/, который давно уже прикрыли. На старой машине были настроены по этом листу Target Rules, а на новой машине эти правила не отрабатывают так как нет откуда скачать это пакет правил (сайт то не работает). Соответственно правила есть в списке, но они ведут в никуда. Как удалить эти правила не затронув Target categories? И заодно посоветуйте какие сейчас есть объёмные блеклисты.
• W

  Filterdns stops working (alias)
  • werter

  1
  1
  Votes
  1
  Posts
  102
  Views

  No one has replied

• T

  Блокировка начального экрана
  • Tolpa

  3
  0
  Votes
  3
  Posts
  260
  Views

  T

  Гениально! Спасибо!!!
• N

  L2TP/Ipsec
  • nyukers

  13
  0
  Votes
  13
  Posts
  480
  Views

  W

  @pigbrother said in L2TP/Ipsec: @nyukers said in L2TP/Ipsec: а есть возможность все правила фаерволла pfsense увидеть одним списком? http(s)://Ip_addreess_pfsense/status.php Все настройки pfSense одной страницей с разбивкой по категориям. правила фаерволла там тоже будут. Супер! Спасибо )
• V

  Squid и 2 WAN
  • vadimb

  2
  0
  Votes
  2
  Posts
  185
  Views

  W

  Добрый. Сквид имеет проблемы с работой на мултиванах. В англоветке что-то есть. Поищите
• M

  pfsense+VPN pptp=WAN - помогите
  • Moveo

  6
  0
  Votes
  6
  Posts
  272
  Views

  W

  @moveo said in pfsense+VPN pptp=WAN - помогите: @werter там виндовый сервак, так что есть ограничения IPSEC
• D

  Не открывается web интерфейс
  • DonDragon

  12
  0
  Votes
  12
  Posts
  547
  Views

  P

  @werter said in Не открывается web интерфейс: ТС мог откл. антиблокирующее правило На это случай я привел ссылку. https://doc.pfsense.org/index.php/Locked_out_of_the_WebGUI
• P

  Обновление форума. Как вам?
  • pigbrother

  21
  0
  Votes
  21
  Posts
  1362
  Views

  V

  Что за мода пошла, как можно сильнее испоганить дизайн сайта, ПО или ОС, и выдать за "супер улучшение"... (((
• S

  This topic is deleted!
  • Sals

  1
  0
  Votes
  1
  Posts
  1
  Views

  No one has replied

• M

  PfSense не работает интернет
  • Mister_X

  1
  0
  Votes
  1
  Posts
  339
  Views

  No one has replied

• U

  Openvpn через разные шлюзы
  • unijohnson

  7
  0
  Votes
  7
  Posts
  460
  Views

  D

  да у меня была проблема (тема) с опенвпн мне werter помог день-два назад, сейчас прикидываю у меня сервер висел на 1194 и клиент опенвпн на pfsense на этомже порту висел, и в итоге ситуация, что я подключаюсь, а пинги не идут, поэтому поставил tcp вместо udp. А порт я сменил "повыше" уже всвязи с этим VPNfilter
• D

  PfSense 2.3.5 + 2.1.5 IPSec
  • Desrozen

  4
  0
  Votes
  4
  Posts
  349
  Views

  D

  И что, ни у кого никаких мыслей нет? Как, блин, мне подружить два филиала с разных городах имея в наличии два pfSense разных версий?
• D

  OpenVPN server нет пинга
  • dvv06

  5
  0
  Votes
  5
  Posts
  450
  Views

  W

  @dvv06 Рад, что помог. "Поменял порт" В настройках fw на ВАН правило поправить под новый адрес порта не забудьте.
• L

  Traffic Shaper (LAN - > 4 vpn + интернет)
  • lvlukola

  5
  0
  Votes
  5
  Posts
  485
  Views

  W

  Добрый. Создайте динамические правила в Лимитере. Тогда и потерь при простоях не будет.
• W

  Bogon networks lists
  • werter

  10
  1
  Votes
  10
  Posts
  562
  Views

  W

  Добрый. @dvv06 Приехали. Список скачайте. И просмотрите.
• D

  MultiWAN + статический маршрут переключает не на тот шлюз
  • dvv06

  1
  0
  Votes
  1
  Posts
  213
  Views

  No one has replied

• M

  Закрыть интрнет только на втором WAN\OPT1
  • merdzd

  35
  0
  Votes
  35
  Posts
  1188
  Views

  W

  Добрый. Обновитесь до последнего из ветки 2.3.х
• V

  WAN не пропускает трафик
  • Vargos

  28
  0
  Votes
  28
  Posts
  1465
  Views

  W

  Переустановите пф с нуля. И попробуйте заработает ли линк. Все остальные настройки пока не вносите.
• D

  Не работает Routing после перезагрузки.
  • DIMADUR

  20
  0
  Votes
  20
  Posts
  2023
  Views

  W

  Добрый. как бы он не ругался при добавлении существующего маршрута. Внимательнее еще раз всмотритесь в код скрипта. Маршрут будет добавляться, если выполняются оба условия (условие_1 && условие_2). Итого: Если нет пинга на 10.168.45.6, то скрипт завершит работу сразу и без проверки на 2-ое условие, т.к. первое не выполнено. Если есть пинг на 10.168.45.6 и нет маршрута в 10.168.49.0/24 через l2tp, то  маршрут добавится. Если есть пинг на 10.168.45.6 и есть маршрут в 10.168.49.0/24 через l2tp, то скрипт просто завершит работу без попытки добавления маршрута. P.s. Одно но. Обязательно убедитесь в том, что зюхел постоянно будет получать адрес 10.168.45.6 в l2tp-туннеле. Иначе "ахалай-махалай"(с) не выйдет.
• S

  Перенаправление порт в WAN
  • strelok

  5
  0
  Votes
  5
  Posts
  506
  Views

  P

  Если торрент-закачки изнутри офиса идут с произвольных адресов, что вы как source будете в этом правиле указывать? Если с заранее известных и не меняющихся - это сработает.
• V

  Проброс портов с нескольких IP адресов
  • vladimir_k

  7
  0
  Votes
  7
  Posts
  436
  Views

  V

  @werter: Здрасти всем 1. Ест ли возможность обеспечивает бесперебойную работу необходимо создовать Вы ТС почитайте. Да спасибо прочитал. И как выяснелось там много полезной информации. Так что у меня получилось настроить всё что было необходимо. Спасибо всем откликнувшимся.
• R

  Voip и siproxd
  • randreevich

  38
  0
  Votes
  38
  Posts
  5634
  Views

  D

  товарищ выше всё верно говорит. Помимо НАТа нужно адрес прописать в астере внутрь протокола, это разные вещи.
• N

  IPTV igmp non promiscuous mode magical bug
  • neto

  29
  0
  Votes
  29
  Posts
  1023
  Views

  D

  QoS???? вы серьёзно???? (сарказм)
• R

  Reverse proxy HAProxy
  • rossomaha

  4
  0
  Votes
  4
  Posts
  381
  Views

  R

  @werter: Вдогонку. Не совсем по теме, но все же. Есть еще крайне интересное решение - Apache Guacamole (https://guacamole.apache.org/). Это этакий портал единого входа для rdp, vnc, ssh. На пальцах - разворачивается вирт. маш. с Apache Guacamole. Извне открываются порты только на нее. Внешним пользователям гибко предост-ся доступ (можно по данным из LDAP\AD) к каким сервисам внутри сети они могут обращаться. Удобно, что доступ к ресурсам по rdp, vnc, ssh прямо из браузера. И без впн. Ес-но, что прикрутив https, весь трафик шифруется. А оно умеет с сертификатами AD работать?