@rubic: Серверу назначить шлюзом pfSense. На pfSense завести новый gateway VIPNET : 192.168.1.254 в System > Routig. В System > Routing > Static Routes завести маршрут в сеть 192.168.5.0/24 через gateway VIPNET. В  System > Advanced > Firewall & NAT установить галку Static route filtering V Bypass firewall rules for traffic on the same interface. Это все, хотя с вашей адресацией в локалке, не факт, что взлетит. Мне до этого подсказывали почти тоже самое, только на сервере выставить шлюзом vipnet, а на пфсенс в статик роутенге прописать адрес сервака и шлюз випнет. Ничего не работало, оно и понятно…буду пробовать как вы посоветовали)

Спасибо, разобрался что мне нужно было) Теперь всё работает. Пока работает)

У вас какой случай? Это я понимаю. Я просто описывал, что пробовал оба варианта и они оба не отрабатывали. В идеале достаточно failover. Какие адреса днс-сервера выдаются по дхцп клиентам? Какие ДНС исп-ся в настройках днс-сервера? Они там явно указаны вообще? Или стоит дефолтные корневые? Выдаются внутренние ИП 2-х ДЦ. 192.168.0.2, 192.168.0.3 Покажите скрин правил fw на ЛАН. [image: Screenshot_1.jpg] [image: Screenshot_1.jpg_thumb] [image: Screenshot_2.jpg] [image: Screenshot_2.jpg_thumb]

а что в логах может быть не так? входящие есть, исходящие есть… куда смотреть то?

@werter: Все правила во флоатинг, созданные руками - откл. У вас там - каша. Сперва с обычными разберитесь, а вас уже во флоатинг понесло. У них и специфика работы - особенная. Не создавайте там ничего руками. Да…, жёлтые это избыточные правила, я их включаю порой при DDOS атаках, так они обычно отключены, выделенное тоже страховка на всякий случай. И вот без этого тоже. Для пф правила - это явный и четкий посыл к действиям. Ему вы "страховка, всякий случай, потом откл\вкл и т.д." не объясните. Создавайте и вкл. только правила, к-ые действительно необходимы в данный момент. Таким образом, у вас останутся правила, созданные пфблокер-ом + правила портфорвардинга. Проверяете это. Перезагружаете пфсенсе. Ждете атаки. Уважаемый, там просто избыточные правила, я знаю что по сути PF и так заблокирует весь трафик идущий на не открытый порт, уж поверьте, в 90 случаях из 100 там блокируется или фильтруется трафик идущий на некоторые периодически открываемые порты,  так что всё нормально, и вообще если вы не забыли то эта темы не об атаках на TS, а об том что не пропускаются некоторые IP хотя они есть в разрешённых.

Добрый. Если не выйдет - попробовать перенести часть пол-лей на развернутый отдельно squid.

Добрый. http://conexti.com.br/sso_wmi/ Upd. Прошу прощения. Все же есть ограничения на их пакет для sso http://conexti.com.br/modpf/  :'(

Задача построить на том что есть. Бум пробовать. Всем спасибо, по завершению отпишу.

Просто выделил текст. FIDO почти не застал. Лишь краем глаза в областном ВЦ. Хотя на ДВК,БК и Агатах (крутотень!) даже что-то программировал. Зы. В Скайпе текст дает италик для текста.

Добрый. Но прошлый админ свалил с паролями Что-то не так с этим местом работы. Если человек уходит с негативом. Я бы задумался.

Добрый. У меня использование ipv6 вообще откл. в системе. Проблем не было.

Добрый. Потом что делать, если днс сервером сам пф не является. Не страшно. Заверните все днс-запросы во вне на адрес пф правилами Port forwarding на ЛАН. И тогда неважно от кого они будут.

@Rarog: @boltushka: Проверил: простой пароль и кавычки не помогают ( Попробуйте пароль из обычных и заглавных букв, без цифр, без символов, без кавычек. Благодарю! Помогло. Теперь есть другие ошибки, но думаю что направление понятно

@werter: Добрый. Если сквид - прозрачный, то выпускать "избранных" мимо него можно просто добавив их ip в настройках сквида в source. Создавать явные правила fw для этого не требуется. Задача была в том, чтобы, имея pfSense в кач-ве "шлюза по-умолчанию", по-умолчанию запрещать устройствам выход в интернет. Как явный - доступ к сайтам. Так и неявный - проверку обновлений, лазание в фоне по каким-то экзотическим портам и т.д. Грубо говоря: подключил комп dhcp-сервер выдал компу ip… 3)... и все - пока явно не разрешишь - pfSense должен блокировать любые поползновения в интернет. Мне показалось логичным блокировать при помощи firewall. Задача следующая - кастомизировать доступ к разным сайтам, кому куда можно. Хотя я могу ошибаться насчет логичности - я только неделю как ковыряю pfSense в вялотекущем режиме, параллельно с другими задачами.  ???

Прошу. Как и обещал. Если кому надо забирайте. Не знаю будет ли работать на субдоименах, если честно то не проверял, да и задача была не в том. https://github.com/vanohaker/cf-bash

Как правило, в данном случае, все упирается в процессор. 775 сокета с 2х2,2 ГГц хватает для пропуска гигабита.

Добрый. Это не проблема. Проблема в лени. Прежде, чем задавать вопрос, воспользуйтесь поиском. В гугле это примерно так: static ip dhcp pfsense И сразу же по первой ссылке получаем https://doc.pfsense.org/index.php/DHCP_Server P.s. Хороший цикл статей по сетям https://linkmeup.ru/sdsm

Добрый. вообщем,  сделал. service - proxy server - general - снял галочку Allow users on interface. в Access control добавил свою разрешенную подсеть. и внизу там есть acl sslports, т.е. дополнительные ssl порты…туда вписал 8000. все заработало.

pfsense почему то же выдает те статические Ip которые уже заняты и активны. Что где нажать, подскажите pfSense не может знать, какие IP "уже заняты и активны" Что делать? 1. Назначить (сузить) pfSense диапазон выдаваемых IP, который не будет пересекаться с диапазоном, из которого IP назначаются вручную. 2. Если адреса вручную назначаются бессистемно - организовать выдачу IP с привязкой к MAC-адресу. Получите аналог статического IP. Прмечание к п.2 If an IPv4 address is entered, the address must be outside of the pool. If no IPv4 address is given, one will be dynamically allocated from the pool.