Доброго. Спасибо большое за ответ, сегодня вечером ещё поковырялся и понял свою ошибку. Я делал виртуальную сетку для клиентов из пула 10.0.1.0, а пытался войти на 192.168.1.0. Я просто поменял виртуальную сетку на 192.168.2.0 и трафик стал спокойно проходить в локальную сеть. Это не так. Вы выдавали клиентам доступ в 192.168.88.0. Это явно видно по вашим скринам. Так что проблема в другом. Рекомендую вкл. использование TLS auth. Это защитит от атаки MITM. Но прийдется перевыдать настройки впн-клиентам. Зы. И снова использование 192.168.1.0 в рабочей сети. Сколько уж говорено-переговорено про проблемы с такой адресацией :'( Есть же другие диапазоны.

Добрый. Проверить железо пф (сетевая). Обновить пф. Позвонить в ТП провайдера.

дело было всего-то в 1 команде. Вы про RUN_AS_USER root Или о чем-то еще? пошёл и вырубил главный автомат, вся стойка запищала как шальная, Жестоко. Я просто вытаскивал сетевой кабель из конкретного UPS.

Про вопросик спасибо. Читал. Но нагляднее было бы понятнее.

Хорошо. Просто иногда отключение localhost от DNS может вызвать отсутствие доступа к обновлениям\пакетам.

@Sanci: Доброго дня, на pfsense2.3 поднял openvpn…основная подсетка 192.168.10.(самба и прочее) после подключения клиента к vpn сетка становится 192.168.11. Как клиентам получить доступ к самбе на 192.168.10.*? При отсутствии настроенного DNS в OpenVPN - стандартно, с удаленной машины с windows \192.168.10.1 \192.168.10.2 и т.д.

В общем будет "несинхронный" кластер из двух NetGate SG-4860, один - рабочий, другой - зеркало. Питание одно на двоих ;) При сбое откроют серверный шкаф, вынут питание из первого и включат во второй.

После обновления PFsense/ ACME 0.2.5_1 все работает  :) Спасибо за ответы!

Вроде всё работает, огромное спасибо, конечно я ещё "погоняю" эту конструкцию :), но похоже всё будет и дальше.

@pigbrother: Может проблема, в данном случае, в том что pfsens не является шлюзом для моей машины? Общее правило - пакеты уходят либо по конкретному (заданному) маршруту, либо в шлюз по умолчанию. Сделайте трассировку со своей машины до хоста в другой сети - пакеты наверняка провалятся в  в шлюз по умолчанию. Чтобы не менять шлюз на своей машине для теста добавьте маршрут через route add и посмотрите на результат. Действительно дело было в шлюзе. Сейчас пинги идут и есть доступ к машинам(там где добавлен маршрут к шлюзу). Всем спасибо что помогли разобраться!

Добрый. а резервирование через 4G модем с серым ИП В этом проблема. Решит только постоянный белый IP или динамический белый + dyndns.

@akoba: Здравствуйте, создал PPPoE сервер клиенты подключаются все нормально, хочу разделить по группам и ограничить им скорость. Полдня потратил читая форумы, так и не сумел сделать.Помогите пожалуйста. Вроде mpd, имеет настройки для ограничения скорости тунеля. В свое время использовали раудиус для аунтификации и там просто задавали параметр передаваемый pfSense

в общем на днях решил забороть этот косяк. В очередной раз переставляя PF вынул все сетевые карты из сервера. Остались только встроенные. После установки дал на одну из встроенных карточек интернет, и как не странно после перезагрузки GNID отработал нормально. Система получила некий идентификатор, и благополучно стартовала. Я вернул все доп карты обратно и пока что полет нормальный. Мысль такая. GNID генерирует некий хэш из мак адресов карт установленных на сервере. Это заранее гарантирует его уникальность, и как бы не сильно заморочно. Беда в том что при наличии более 5-6 сетевых интерфейсов программа загибается. Видимо не доработка. Я попробовал оставить одну 4 портовую карту и результат тот же. (получилось 6 портов, 2 встроенных и 4 моих на карте) А вот при установке 2 карт одно портовых все прошло штатно… На ранних версия PF такой проблемы я не наблюдал и железяки работали стабильно, видимо кто то что то поправил... Вот.

Зачем писать в такой мервый пост?Он датирован June 21, 2017. Я уверен автор или решил проблему или забил на нее. Как вариант между HAProxy и веб серверами будет HTTP На ружу HTTPS И все же вы написали спорный ответ, я бы ответил так: Если в сети в которой находятся сервера за pfSense кроме серверов есть другие компьютеры или устройсва, или если просто уровень безопасности должен быть высоким то можно настроить HTTPS между HAProxy и серверами BackEnd'a. Если же сеть под серверы выделена отдельная или они находятся в DMZ то вполне сопокойно можно делать обычный HTTP. Что бы сделать HTTPS между HAProxy и серверами BackEnd'a можно создать в том же pfSense самоподписный Certificate Authority, от его имени нагенерировать нужных сервер сертификатов для каждого вебсайта BackEnd'a, передать их на эти вебсервера, добавить CA на BackEnd'e в довереные, а в HAProxy в BackEnd настроить проверку сервер сертификата по этому CA. Готово.

werter Да, да, да, у меня всё неверно сконфигурировано, и лимитер, хотя он работает, были уже идиоты пытавшиеся завалить меня трафиком с одного соединения на проброшенный порт, проверенно уже не раз, и не два и даже не десять, но раз вы сказали то естественно он не работает, надо удалит (сарказм)  :) На счёт states, такие настройки сделаны для свободного прохождения трафика от правильных пользователей, когда нет DDOS атак, да там не совсем верны цифры в математическом плане, но я их подбирал во время атаки, и если честно мне некогда было считать, а на данный момент, я их не трогаю, работает и ладно, или мне их тоже надо удалить только потому что вам не нравиться. Ещё раз повторю цифры сделаны с запасом, бывает что обычный пользователь за счёт всяких плагинов умудряется создать не два, а больше state, потому и поставил Max. src states не 2, а 5. Max. src nodes да сделал 370…, раньше было чуть более 200, но перед Новым Годом господа ддосеры похоже брали отпуск и у меня на сервере порой тусовались 250-260 человек каждый день и я просто не считая накинул параметр до 370, да Max states тоже надо было бы чуть увеличить, но так и не понадобилось пока что в связи с вновь возобновившимися атаками. Как я уже и сказал, Лимитер привязан к правилу которое автоматически создаётся при пробросе порта Тимспика, зачем я буду создавать ещё одно правило во Float, вы похоже опять пропустили половину моего текста мимо глаз, то тут мне советуют не делать лишних правил в Float, то сами же говорят создать дубль  :). Так что завязывайте с умным видом говорить прописные истинны и язвить, меня вы этим не заденете, а себя выставляете в не очень хорошем свете, все мои настройки проверенны, и уже работают под большой нагрузкой не один год,  возможно они немного не точны, но они рабочие, не важно что вам кажется, тем более если вы не можете обьяснить что и почему неправильно.

А на чем почта крутится ? Что за ПО, если не секрет?

Добрый. https://pf2ad.mundounix.com.br/en/index.html https://forum.pfsense.org/index.php?topic=112335.0 https://www.youtube.com/playlist?list=PLQ7gVTPc8Kmij4-2RpiQMAQjkj3XkolGI http://forum.it-monkey.net/index.php?topic=23.0 https://turbofuture.com/internet/Intercepting-HTTPS-Traffic-Using-the-Squid-Proxy-in-pfSense

Добрый. Что есть тп-линк в этой схеме, для чего он в ней? Canyon - управляемые свитчи? Сходу - правилами на микротике или на пф можно.

Пользуйтесь пока, как вариант, 2.3.x Ее будут поддерживать еще минимум год, а то и больше. В 2.4.х проблемы возникают на ровном месте в самых неожиданных местах, хотя у большинства все ОК.