@rline said in Как объединить 3 филиала через vpn?:

Да, вот и я что-то не вижу. У вас peer to peer?

Да, везде выбран режим режим Точка-Точка(SSL/TLS).

@werter
Добрый день вам!
Перевел на английский вебку.
Галку поставил на блокировании использования днс для openvpn клиентов.
Как правильно настроить общий ДНС, провайдеров днс указать, что не так?
Что еще надо сделать?

Firewall/NAT/Port Forwarding

Interface Protocol Source Address Source Ports Dest. Address Dest. Ports NAT IP NAT Ports Description Actions 1 WAN_MTS TCP/UDP * * WAN_MTS address 13000 - 17000 192.168.14.123 13000 - 17000 2 WAN_MTS TCP * * WAN_MTS address 2004 - 20400 192.168.14.121 2004 - 20400 3 WAN_MTS TCP * * WAN_MTS address 2004 - 20400 192.168.14.121 2004 - 20400 4 WAN_MTS TCP * * WAN_MTS address 20 - 1224 192.168.14.125 20 - 1224 5 WAN_MTS UDP * * WAN_MTS address 12346 - 12446 192.168.40.250 12346 - 12446 disable

В этой таблице у меня выключено 5-е правило. Если я его включаю, то перестаёт работать правило 4 (нет доступа к серверу 192.168.14.125). Адреса источников указать нет возможности, так как производиться подключение из сети Интернет, и Source Address - может быть любой адрес выданный ISP. Почему правило 5 при включении нарушает отработку по 4 правилу?

Также у меня настроен OpenVPN
Firewall/Rules/OpenVPN

States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions 22 /4.13 GiB IPv4 TCP/UDP * * 192.168.30.0/19 * * none Auto added OpenVPN rule from config upgrade.

Пользователи могут подключаться к серверу OpenVPN. После включения 5-го правила Firewall/NAT/Port Forwarding пользователи не могут подключиться к OpenVPN серверу.
Происходит перенаправление трафика по протоколу UDP?
В правиле Firewall/Rules/OpenVPN есть ограничение Destination - 192.168.30.0/19. Это должно ограничивать возможность подключения пользователей которые подключаются к серверу OpenVPN?
Правило 5 Firewall/NAT/Port Forwarding пересекается с Firewall/Rules/OpenVPN? Их можно разграничить только используя SourceAddress?

Зашёл через консоль и сделал ребут системы. Web -интерфейс заработал корректно.

@danilov

1 используйте отдельное правило исходящего NAT для хоста 192.168.40.250 и порта 12426 (оно должно быть выше остальных) -> используйте статический порт (static port)
Для примера ( Вам надо заполнить свои данные ip и порт согласно Ваших хотелок)

da3d284f-a871-4dfb-bbb2-e21f8f392d7b-image.png

2 писал выше уже ( проброс портов)

@Konstanti
Спасибо большое, я прописывал и ранее как вы указали, но нужно было переконектить сетевую карту, и теперь все заработало.

Добрый
@rline
Для zbx на пф есть пакет точно. Как по др системам - хз.

@DIMADUR
Разбиратайтесь снова с микротиком ( настройки , статические маршруты и тд и тп ) пакетов в туннеле от Микротика нет

Добрый
@Mad-Axell
Как указали выше - 2 и 3 правила не нужны.
Loadbalance и так будет отрабатывать в случае падения одного из линков - в настройках LB есть пункт Member down.
Тут работает принцип ИЛИ: или балансировка или failover.
Можете сами проверить это выдергиванием линков по очереди.

@JonathanLee
Read this article. everything is written down there.
https://osbsd.com/vosstanovlenie-sbros-parolya-pfsense.html

@tty1

У меня более 10 pfSense в разных местах работают без этой галки, с подобным поведением первый случай.
Можете объяснить причину такого поведения, опираясь на трафик и детальные логи unbound?

1 Потому что БЕЗ этой галки ваш пф будет пользовать КОРНЕВЫЕ днс, а не те, что вы указали в настройках.

2 НЕ ИСПОЛЬЗОВАТЬ гуглоднс - к ним завтра доступ прикроют и останетесь без инета. Для конторы хватит и я-днс.

@Lares Добрый день! Можно закрывать тему. Я разобрался. У меня на компе какая-то гадость частично блокировала работу COM-порта. С другого компа установка прошла на 5+, всё работает, все счастливы.

@DIMADUR

Здравствуйте
Не совсем понял , зачем в такой схеме проброс портов ?

Насколько я вижу , Вам надо просто правильно настроить статические маршруты ,
1 чтобы 10.x.x.1 знал о том , что сеть 10.168.1.0/24 находится за шлюзом .10.x.x.2
2 чтобы 10.x.x.2 знал о том , что сеть 10.168.45.0/24 находится за шлюзом .10.x.x.1

Добрый.
@danilov
В правилах fw на ВАН создайте правило для нужного IP + галку на Логирование поставьте. И после в Логах смотрите.
Есть еще доп. пакет ntopng https://osbsd.com/ustanavlivaem-ntopng-dlya-monitoring-trafika-v-kompyuternoj-seti-na-pfsense.html

Оставлю этот пост здесь, на случай, если кто-то столкнется с подобной проблемой.

@tty1 said in Не работает AirPrint между VLAN (Avahi):

Правда только один из трех почему-то

Всё дело оказалось в домене home.arpa, который по умолчанию pfSense присваивал принтерам через DHCP (а на том принтере, с которого печать работала домен .local был указан вручную).
Решение: в настройках DHCP для VLAN с принтерами указал домен local, все принтеры сразу стали находиться.

@BirBar

а на нем уже добавляются Virtual IPs и к ним отдельные Gateway

возможно , что именно тут и кроется суть проблемы
Надо смотреть , какие конфиги создаются системой в этом случае, и как отрабатывает ПО PF в этом случае
( может быть это ошибка разработчиков именно для Вашего случая, не знаю)

Для анализа , возможно Вам потребуется
1 выгрузить XML файл конфигурации PF
2 посмотреть содержимое файлов папки /tmp/gbe0 (1-2-3__xxxxx
3 и уже смотреть , что делает код PF

возможно , что в Вашем случае нужен другой путь создания необходимой конфигурации ( средствами FreeBsd )
Использовать Netgraph ( встроен в ядро)
На мой взгляд , понадобятся модули
1 ng_ether
2 ng_bridge
3 ng_eiface
Идея состоит в том , чтобы на начальном этапе загрузки PF , выполняется скрипт , который создает несколько виртуальных Ethernet интерфейсов, присваевает им случайные Mac-адреса , и потом присваиваются нужные ip адреса
После загрузки у Вас появляются несколько интерфейсов раздельных с отд ip для каждого , видимых системе , у которого будет свой отдельный gateway
Картинку , как это могло бы выглядеть в теории , скидываю

97e6bb79-642b-4e5b-88f7-54e87ff509c5-image.png

@Tim2000
Откройте тем, кому надо. Не мучайтесь.

Нашел время для решения этой проблемы.
На путь истинный натолкнула ветка англоязычного форума https://forum.netgate.com/topic/183033/static-routes-ignored-in-2-7-0/17

Если коротко, то проблема в автоматических правилах NAT.

По настройкам:

В шлюзах прописываем оба шлюза (в моем примере это 100.0.0.1 и 100.0.0.10 ) В стат маршрутах прописываем статические маршруты (у меня сеть 100.0.1.0/24 доступна через шлюз 10.0.0.10) Шлюз по умолчанию назначаем основной шлюз. (у меня 100.0.0.1) Прописываем правила для LAN интерфейса (в моем примере разрешаю подсети 192.168.0.0/24 ходить через шлюз по умолчанию, а подсети 192.168.1.0/24 задаю выходной шлюз 100.0.0.10) В правилах исходящего NAT переводим из авто или гибрида в ручное. В настройках интерфейса WAN шлюз IPv4 - ничего.

Пятый пункт раньше шестого делаю для того чтоб авто правила перенеслись в ручное автоматом.

PS всем добра!

Всем спасибо - разобрался - некоторые записи Client Identifier были на русском языке)))

@tty1

1 ничего советовать тут не могу , и так и этак пробовал , отличий особых не нашел , как создавались дубли фазы-2 , так и создаются ( пришлось своим путем идти неформальным) . тут дело не в инициаторе соединения , а кто инициирует обновление ключей .

2 тоже не вижу проблем в том , кто первый пакет отправит (см настройки фазы-1 (responder only)

Responder Only Enable this option to never initiate this connection from this side, only respond to incoming requests.

3 Поставьте уровень логгирования Silent и будет заказчику счастье