@werter said in Не открывается web интерфейс: ТС мог откл. антиблокирующее правило На это случай я привел ссылку. https://doc.pfsense.org/index.php/Locked_out_of_the_WebGUI

Что за мода пошла, как можно сильнее испоганить дизайн сайта, ПО или ОС, и выдать за "супер улучшение"... (((

да у меня была проблема (тема) с опенвпн мне werter помог день-два назад, сейчас прикидываю у меня сервер висел на 1194 и клиент опенвпн на pfsense на этомже порту висел, и в итоге ситуация, что я подключаюсь, а пинги не идут, поэтому поставил tcp вместо udp. А порт я сменил "повыше" уже всвязи с этим VPNfilter

И что, ни у кого никаких мыслей нет? Как, блин, мне подружить два филиала с разных городах имея в наличии два pfSense разных версий?

@dvv06 Рад, что помог. "Поменял порт" В настройках fw на ВАН правило поправить под новый адрес порта не забудьте.

Добрый. Создайте динамические правила в Лимитере. Тогда и потерь при простоях не будет.

Добрый. @dvv06 Приехали. Список скачайте. И просмотрите.

Добрый. Обновитесь до последнего из ветки 2.3.х

Переустановите пф с нуля. И попробуйте заработает ли линк. Все остальные настройки пока не вносите.

Добрый. как бы он не ругался при добавлении существующего маршрута. Внимательнее еще раз всмотритесь в код скрипта. Маршрут будет добавляться, если выполняются оба условия (условие_1 && условие_2). Итого: Если нет пинга на 10.168.45.6, то скрипт завершит работу сразу и без проверки на 2-ое условие, т.к. первое не выполнено. Если есть пинг на 10.168.45.6 и нет маршрута в 10.168.49.0/24 через l2tp, то  маршрут добавится. Если есть пинг на 10.168.45.6 и есть маршрут в 10.168.49.0/24 через l2tp, то скрипт просто завершит работу без попытки добавления маршрута. P.s. Одно но. Обязательно убедитесь в том, что зюхел постоянно будет получать адрес 10.168.45.6 в l2tp-туннеле. Иначе "ахалай-махалай"(с) не выйдет.

Если торрент-закачки изнутри офиса идут с произвольных адресов, что вы как source будете в этом правиле указывать? Если с заранее известных и не меняющихся - это сработает.

@werter: Здрасти всем 1. Ест ли возможность обеспечивает бесперебойную работу необходимо создовать Вы ТС почитайте. Да спасибо прочитал. И как выяснелось там много полезной информации. Так что у меня получилось настроить всё что было необходимо. Спасибо всем откликнувшимся.

товарищ выше всё верно говорит. Помимо НАТа нужно адрес прописать в астере внутрь протокола, это разные вещи.

QoS???? вы серьёзно???? (сарказм)

@werter: Вдогонку. Не совсем по теме, но все же. Есть еще крайне интересное решение - Apache Guacamole (https://guacamole.apache.org/). Это этакий портал единого входа для rdp, vnc, ssh. На пальцах - разворачивается вирт. маш. с Apache Guacamole. Извне открываются порты только на нее. Внешним пользователям гибко предост-ся доступ (можно по данным из LDAP\AD) к каким сервисам внутри сети они могут обращаться. Удобно, что доступ к ресурсам по rdp, vnc, ssh прямо из браузера. И без впн. Ес-но, что прикрутив https, весь трафик шифруется. А оно умеет с сертификатами AD работать?

Но ведь помогло же!

в удалённом офисе: оптический крос, медиаконвертер и обчный неуправляемый свитч типа D-LINK DES1008A не взлетело И не взлетит: 1. Обычный свитч в доп. офисе рубит все VLAN. 2. У провайдера по пути к доп. офису может стоять куча оборудования, к-ое не поддерживает VLAN. Костыли: 1. Проверить, поддерживает ли сетевая на WAN в центр. офисе VLAN вообще. У вас там реалтек обычный. 2. В удаленном (временно) поставить L2-свитч и поработать с ним. Поможет точно : установка пфсенсе в доп. офисе. установка железного роутера в доп. офисе, к-ый умеет ОпенВПН - https://forum.pfsense.org/index.php?topic=147079