• Как объединить 3 филиала через vpn?

    7
    0 Votes
    7 Posts
    637 Views
    V

    @rline said in Как объединить 3 филиала через vpn?:

    Да, вот и я что-то не вижу. У вас peer to peer?

    Да, везде выбран режим режим Точка-Точка(SSL/TLS).

  • 0 Votes
    3 Posts
    273 Views
    L

    @werter
    Добрый день вам!
    Перевел на английский вебку.
    Галку поставил на блокировании использования днс для openvpn клиентов.
    Как правильно настроить общий ДНС, провайдеров днс указать, что не так?
    Что еще надо сделать?

  • 0 Votes
    9 Posts
    1k Views
    D

    Firewall/NAT/Port Forwarding

    Interface Protocol Source Address Source Ports Dest. Address Dest. Ports NAT IP NAT Ports Description Actions 1 WAN_MTS TCP/UDP * * WAN_MTS address 13000 - 17000 192.168.14.123 13000 - 17000 2 WAN_MTS TCP * * WAN_MTS address 2004 - 20400 192.168.14.121 2004 - 20400 3 WAN_MTS TCP * * WAN_MTS address 2004 - 20400 192.168.14.121 2004 - 20400 4 WAN_MTS TCP * * WAN_MTS address 20 - 1224 192.168.14.125 20 - 1224 5 WAN_MTS UDP * * WAN_MTS address 12346 - 12446 192.168.40.250 12346 - 12446 disable

    В этой таблице у меня выключено 5-е правило. Если я его включаю, то перестаёт работать правило 4 (нет доступа к серверу 192.168.14.125). Адреса источников указать нет возможности, так как производиться подключение из сети Интернет, и Source Address - может быть любой адрес выданный ISP. Почему правило 5 при включении нарушает отработку по 4 правилу?

    Также у меня настроен OpenVPN
    Firewall/Rules/OpenVPN

    States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions 22 /4.13 GiB IPv4 TCP/UDP * * 192.168.30.0/19 * * none Auto added OpenVPN rule from config upgrade.

    Пользователи могут подключаться к серверу OpenVPN. После включения 5-го правила Firewall/NAT/Port Forwarding пользователи не могут подключиться к OpenVPN серверу.
    Происходит перенаправление трафика по протоколу UDP?
    В правиле Firewall/Rules/OpenVPN есть ограничение Destination - 192.168.30.0/19. Это должно ограничивать возможность подключения пользователей которые подключаются к серверу OpenVPN?
    Правило 5 Firewall/NAT/Port Forwarding пересекается с Firewall/Rules/OpenVPN? Их можно разграничить только используя SourceAddress?

  • Обновление с версии 2.5.1 до версии 2.6.0

    8
    0 Votes
    8 Posts
    1k Views
    D

    Зашёл через консоль и сделал ребут системы. Web -интерфейс заработал корректно.

  • NO_TRAFFIC:SINGLE

    30
    0 Votes
    30 Posts
    3k Views
    K

    @danilov

    1 используйте отдельное правило исходящего NAT для хоста 192.168.40.250 и порта 12426 (оно должно быть выше остальных) -> используйте статический порт (static port)
    Для примера ( Вам надо заполнить свои данные ip и порт согласно Ваших хотелок)

    da3d284f-a871-4dfb-bbb2-e21f8f392d7b-image.png

    2 писал выше уже ( проброс портов)

  • 0 Votes
    5 Posts
    325 Views
    S

    @Konstanti
    Спасибо большое, я прописывал и ранее как вы указали, но нужно было переконектить сетевую карту, и теперь все заработало.

  • 0 Votes
    2 Posts
    276 Views
    werterW

    Добрый
    @rline
    Для zbx на пф есть пакет точно. Как по др системам - хз.

  • Ipsec будь он не ладен.

    27
    0 Votes
    27 Posts
    2k Views
    K

    @DIMADUR
    Разбиратайтесь снова с микротиком ( настройки , статические маршруты и тд и тп ) пакетов в туннеле от Микротика нет

  • 0 Votes
    5 Posts
    467 Views
    werterW

    Добрый
    @Mad-Axell
    Как указали выше - 2 и 3 правила не нужны.
    Loadbalance и так будет отрабатывать в случае падения одного из линков - в настройках LB есть пункт Member down.
    Тут работает принцип ИЛИ: или балансировка или failover.
    Можете сами проверить это выдергиванием линков по очереди.

  • Защита от сброса пароля.

    13
    0 Votes
    13 Posts
    697 Views
    D

    @JonathanLee
    Read this article. everything is written down there.
    https://osbsd.com/vosstanovlenie-sbros-parolya-pfsense.html

  • DNS Resolver problem (2.7)

    38
    0 Votes
    38 Posts
    2k Views
    werterW

    @tty1

    У меня более 10 pfSense в разных местах работают без этой галки, с подобным поведением первый случай.
    Можете объяснить причину такого поведения, опираясь на трафик и детальные логи unbound?

    1 Потому что БЕЗ этой галки ваш пф будет пользовать КОРНЕВЫЕ днс, а не те, что вы указали в настройках.

    2 НЕ ИСПОЛЬЗОВАТЬ гуглоднс - к ним завтра доступ прикроют и останетесь без инета. Для конторы хватит и я-днс.

  • 0 Votes
    2 Posts
    219 Views
    L

    @Lares Добрый день! Можно закрывать тему. Я разобрался. У меня на компе какая-то гадость частично блокировала работу COM-порта. С другого компа установка прошла на 5+, всё работает, все счастливы.

  • Help port Forward

    4
    0 Votes
    4 Posts
    278 Views
    K

    @DIMADUR

    Здравствуйте
    Не совсем понял , зачем в такой схеме проброс портов ?

    Насколько я вижу , Вам надо просто правильно настроить статические маршруты ,
    1 чтобы 10.x.x.1 знал о том , что сеть 10.168.1.0/24 находится за шлюзом .10.x.x.2
    2 чтобы 10.x.x.2 знал о том , что сеть 10.168.45.0/24 находится за шлюзом .10.x.x.1

  • Просмотр попыток входящих соединений

    3
    0 Votes
    3 Posts
    304 Views
    werterW

    Добрый.
    @danilov
    В правилах fw на ВАН создайте правило для нужного IP + галку на Логирование поставьте. И после в Логах смотрите.
    Есть еще доп. пакет ntopng https://osbsd.com/ustanavlivaem-ntopng-dlya-monitoring-trafika-v-kompyuternoj-seti-na-pfsense.html

  • Не работает AirPrint между VLAN (Avahi)

    5
    0 Votes
    5 Posts
    474 Views
    T

    Оставлю этот пост здесь, на случай, если кто-то столкнется с подобной проблемой.

    @tty1 said in Не работает AirPrint между VLAN (Avahi):

    Правда только один из трех почему-то

    Всё дело оказалось в домене home.arpa, который по умолчанию pfSense присваивал принтерам через DHCP (а на том принтере, с которого печать работала домен .local был указан вручную).
    Решение: в настройках DHCP для VLAN с принтерами указал домен local, все принтеры сразу стали находиться.

  • Проброс портов, не хочет работать

    15
    0 Votes
    15 Posts
    2k Views
    K

    @BirBar

    а на нем уже добавляются Virtual IPs и к ним отдельные Gateway

    возможно , что именно тут и кроется суть проблемы
    Надо смотреть , какие конфиги создаются системой в этом случае, и как отрабатывает ПО PF в этом случае
    ( может быть это ошибка разработчиков именно для Вашего случая, не знаю)

    Для анализа , возможно Вам потребуется
    1 выгрузить XML файл конфигурации PF
    2 посмотреть содержимое файлов папки /tmp/gbe0 (1-2-3__xxxxx
    3 и уже смотреть , что делает код PF

    возможно , что в Вашем случае нужен другой путь создания необходимой конфигурации ( средствами FreeBsd )
    Использовать Netgraph ( встроен в ядро)
    На мой взгляд , понадобятся модули
    1 ng_ether
    2 ng_bridge
    3 ng_eiface
    Идея состоит в том , чтобы на начальном этапе загрузки PF , выполняется скрипт , который создает несколько виртуальных Ethernet интерфейсов, присваевает им случайные Mac-адреса , и потом присваиваются нужные ip адреса
    После загрузки у Вас появляются несколько интерфейсов раздельных с отд ip для каждого , видимых системе , у которого будет свой отдельный gateway
    Картинку , как это могло бы выглядеть в теории , скидываю

    97e6bb79-642b-4e5b-88f7-54e87ff509c5-image.png

  • 0 Votes
    5 Posts
    438 Views
    werterW

    @Tim2000
    Откройте тем, кому надо. Не мучайтесь.

  • Два шлюза на одном интерфейсе

    3
    0 Votes
    3 Posts
    960 Views
    S

    Нашел время для решения этой проблемы.
    На путь истинный натолкнула ветка англоязычного форума https://forum.netgate.com/topic/183033/static-routes-ignored-in-2-7-0/17

    Если коротко, то проблема в автоматических правилах NAT.

    По настройкам:

    В шлюзах прописываем оба шлюза (в моем примере это 100.0.0.1 и 100.0.0.10 ) В стат маршрутах прописываем статические маршруты (у меня сеть 100.0.1.0/24 доступна через шлюз 10.0.0.10) Шлюз по умолчанию назначаем основной шлюз. (у меня 100.0.0.1) Прописываем правила для LAN интерфейса (в моем примере разрешаю подсети 192.168.0.0/24 ходить через шлюз по умолчанию, а подсети 192.168.1.0/24 задаю выходной шлюз 100.0.0.10) В правилах исходящего NAT переводим из авто или гибрида в ручное. В настройках интерфейса WAN шлюз IPv4 - ничего.

    Пятый пункт раньше шестого делаю для того чтоб авто правила перенеслись в ручное автоматом.

    PS всем добра!

  • PF 2.7.1 Kea-dhcp4 и Dhcp leases

    2
    0 Votes
    2 Posts
    407 Views
    R

    Всем спасибо - разобрался - некоторые записи Client Identifier были на русском языке)))

  • Несколько вопросов по Site-To-Site IPSec

    4
    0 Votes
    4 Posts
    330 Views
    K

    @tty1

    1 ничего советовать тут не могу , и так и этак пробовал , отличий особых не нашел , как создавались дубли фазы-2 , так и создаются ( пришлось своим путем идти неформальным) . тут дело не в инициаторе соединения , а кто инициирует обновление ключей .

    2 тоже не вижу проблем в том , кто первый пакет отправит (см настройки фазы-1 (responder only)

    Responder Only Enable this option to never initiate this connection from this side, only respond to incoming requests.

    3 Поставьте уровень логгирования Silent и будет заказчику счастье

Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.