@scodezan said in Добавить еще один внешний IP-address на pfSense 2.4.2: На всякий случай, попробуй Interfaces \ WAN \ IPv4 Gateway выставить в none. Добрый день. К сожалению не работает. Ни outbound nat, ни Port Forward. Такое ощущение, что добавляемый адрес pfsense считает для себя как Internal....

Вопрос снимается - откатил конфиг

Огромное спасибо, всегда знал что PfSense лучше всех!!!

@werter said in И снова DMZ: Прокси - прозрачный? На данном этапе уже не требуется устанавливать сертификат пол-лям явно. Достаточно создать CA на пф и правильно настроить сквид. Не прозрачный. Я так понял что создав СА на пфсенсе и включив MITM SpliceAll, я получу в браузерах при посещении каждой https странички проблемы с самоподписным сертификатом?

Добрый. @dimon_dark said in Ограничение трафика по интерфейсам Pfsense: Или же можно задать правила по айпи адресам что бы указанные айпи адреса уходили через WAN2, а все остальные через WAN1 и возможно ли это все Шейпить? Да. Да.

@shar Решено. Вобсчем касперский, скотино блокировал доступ к пк. всем спасибо. Pf-sense крут.

@deadlymic said in OpenVPN - не пускает в сеть клиента: Не ругайтесь. И не пытался. Вопрос регулярно всплывает на практически всех форумах, связанных с OpenVPN Site-to-Site, и на англоязычных тоже. Напрягает писать одно и то же. За несколько лет - наверное, уже десятки раз. Реализация OpenVPN в pfSense - IMHO, лучшее, с чем приходилось сталкиваться, превосходит многие коммерческие продукты. Прекрасно откомментированная и документированная. https://www.netgate.com/docs/pfsense/vpn/openvpn/index.html

Валялся у меня DSR-500, поставил его. В него завел 2 WAN, включил Round Robin балансировку и WAN обоих pfSense воткнул ему в LAN (192.168.10.1/29). WAN pfsense поставил 192.168.10.3 и 4/29 c шлюзом 192.168.10.1. WAN VIP 192.168.10.2/29. Так вроде заработало. Но при включении синхронизации состояния, на монитор постоянно валятся сообщения pfsync_undefer_state: unable to find deferred state. Что это такое?

@pigbrother said in Dynamic DNS: Если речь, например, о подключении внешних клиентов к Open VPN, например, то достаточно указать в конфиге клиента несколько серверов: remote my-server-1 1194 remote my-server-2 1194 Речь именно об этом. Спасибо, воспользуюсь. Вероятно, что DynDNS в таком случае вовсе не нужен.

@1evgen1 Доброго дня Гляньте вот тут https://openschoolsolutions.org/pfsense-web-filter-filter-https-squidguard/ https://forum.netgate.com/topic/100342/guide-to-filtering-web-content-http-and-https-with-pfsense-2-3 возможно ,поможет

Konstanti Спасибо огромное! Очень помогли!

Добрый. @oleg1969 Это не комментарий о сертификате ,а ссылка по настройке SQUID где и указано что нужен только CA, и эта ссылка актуальна и сейчас (читайте внимательно) Один я там (https://forum.netgate.com/topic/128912/не-могу-войти-на-192-168-1-1-ошибка-сертификата) вижу? [image: 1535890233234-balabol.png] Эээ..Как бы Вам объяснить? Не травмируя ранимую психику. CA - это Certificate Authority. Не сертификат. В криптографии центр сертификации или удостоверяющий центр (англ. Certification authority, CA) — сторона (отдел, организация), чья честность неоспорима, а открытый ключ широко известен. Задача центра сертификации — подтверждать подлинность ключей шифрования с помощью сертификатов электронной подписи. Все объяснил, привел ссылки выше. То, что возможно блокировать ресурсы, не используя доп. пакеты - также. Перенимайте опыт.

в IPSEC нет tun/tap. В общем разобрался в проблеме сам: openvpn клиентам делался push сети 192.168.11.0 (Office2) только, поэтому из этого офиса пакеты проходили. Добавил также в настройки клиентов push route 192.168.13.0 и пакеты стали идти.

Добрый. VLAN 1 по умолч. исп-ся у больш-ва произ-лей как дефолтный для управления. Крайне рекомендуется VLAN 1 не использовать , оставив его только для управления оборудованием (?)

В обоих решениях есть и плюсы и минусы. Лично мне виртуализация кажется лучше. Убедился на личном опыте. Само железо для шлюзов обычно выделяется не очень мощное Крайне желательна поддержка AES-NI инс-ций на CPU шлюза. Далеко не все CPU это умеют.

Добрый. Openvpn export пакет установлен? Плюс пермишены для пол-ля в его настройках покрутить.

Добрый. Может тут чего есть https://vorkbaard.nl/openvpn-in-a-pfsense-carp-cluster/ https://community.spiceworks.com/how_to/34667-setup-open-vpn-with-pfsense-carp-and-quagga-ospf

не подскажите а где задается время блокировки файрвола, по умолчанию на какое время он блокирует?

@skrepka Главное , что все работает теперь )))