@PbIXTOP: @IStandAlone: @PbIXTOP: @IStandAlone: Соответственно в инет они ходят без авторизации в браузере, напрямую. Но почему то в соц сети попасть не могут, я так понимаю SquidGuard почему то блочит. Если они у вас ходят напрямую зачем вы пытаетесь настраивать прокси? За напрямую — смотрите Firewall, DNS, специальные услуги у провайдера. Я, видимо, не совсем верно выразился. pfSense используется в качестве прокси и в инет лезут все через него, но этим 2м компам разрешен выход во вне по всем портам и настройки прокси в браузере у них не стоит. Остальные юзеры фильтруются фаерволом и соответственно в браузере у них выставлены настройки "прокси". Так если они ходят напрямую — зачем вы мучаете Squid? Потому что, если я ставлю на этих 2х компах авторизацию в браузере(тобишь работать через прокси), то тогда соц сети открываются без проблем, но в этом случае у них фильтруются порты. А напрямую без авторизации в браузере с открытыми портами, соц сети почему то не открываются.

Большое спасибо! Буду переходить на OpenVPN!

Такая же проблема  >:(

Я в pfsense ввел команду tcpdump, в результате всё повисло жесточайшим образом Свой mac вам покажет ifconfig в консоли или  Status-Interfaces в GUI. Использование tcpdump в FreeBSD: http://alexof.ru/page/tcpdump http://bezopasnik.org/unix/dok/FreeBSD/dok/415.htm

@Charg: @werter: Это решаемо запретом в сети любых dns, кроме pf. Хмм, не знал что так можно… как так сделать? И что насчет DC? AD же на днс завязан вроде(?), т.е. минимум еще 1 будет. Сейчас нету, я на будущее интересуюсь. https://doc.pfsense.org/index.php/Blocking_DNS_queries_to_external_resolvers https://doc.pfsense.org/index.php/Redirecting_all_DNS_Requests_to_pfSense

К сожалению, мне так и не удалось протестировать загрузку CPU, т.к. компьютер пришлось отдать сотрудникам на постоянной основе.

@pigbrother: довольно слабые характеристики железа Это врядли. Мой первый pfSense работал вообще на PIII с 416 МБ ОЗУ. 25 Мбит, 2 WAN, несколько OVPNVPN - site-to-site + мобильные юзеры. Возможно от версии зависит. В общем непонятно почему так у меня происходит, в инете ничего подобного не нашёл. Но по факту проблема 40 секунд решается либо выбором другой опции в "Firewall Optimization Options" либо выставлением нужных значений в "State Timeouts", либо отключением фаервола полностью.

конечено по этой причине, и мой рабочий ПК сопоставил адресу имя..но я уверен, что с трафиком то все в порядке поменял тоннель на 10.0.8.0\24

@pyuriev: Подключаюсь к шаре на сервере  туда скорость хорошая около 30 мбит, а с сервера ничего не скачивается Т.е. вообще ничего? Или очень низкая скорость?

Доброе. Сейчас к серверу с pfsense идет один кабель с интернетов, он втыкается в свич, а от свича два провода в кажду сетевую карту. Если свитч не Л2 и не настроены вланы, то примите поздравления - у вас петля.

Как уже отвечали в приведенной вами ссылке - средствами шлюза это сделать невозможно. Но: In Microsoft Windows, starting from Windows XP, there is a built-in ability to set up network ports forwarding (port forwarding). Due to it, any connection coming to any port can be forwarded to another local port or even to port on remote computer. Not necessarily that the system has a service listens on this port. Port forwarding in Windows can be configured using Portproxy mode of the command Netsh. The syntax of this command is as follows: netsh interface portproxy add v4tov4 listenaddress=localaddress listenport=localport connectaddress=destaddress connectport=destport http://woshub.com/port-forwarding-in-windows/

Поставил на отдельный сервер, с двумя картами и вс езаработало. Но сейчас, если я получаю адресс от DHCP pfSense, то интернета нет. Скайп есть, но DNS не находит для выхода в инет. Но при настройке веб-интерфейса я вписал дНС нашего провайдера. Что может быть не так?

Не могу найти эти настройки. Не могли бы более конкретно указать.

@varieli: Добрый вечер,посмотрел на эту модель mikrotik hap ac, довольно спорный вопрос про мощность wifi, что можете сказать про это ? С мощностью у него все хорошо: более 20 dBm в обоих диапазонах, что даже избыточно\опасно для работы в обычных условиях. С MIMO - тоже: Triple-chain на обоих диапазонах Без держит несколько десятков клиентов Однако высокая мощность - не гарантия реальной скорости и надежности связи. Далее - сугубое IMHO Однако в зашумленном диапазоне 2,4 эта модель, как и другие Микротики может страдать от постоянных обрывов связи на клиенте, с disconnected, extensive data loss в логе. Погуглите "disconnected, extensive data loss". Выражается это особенно сильно при попытке скопировать через Wi-Fi относительно большой файл (Более 1-2 ГБ) и практически неощутимо при серфинге.

Спасибо )

Доброе. pfsense на виртуальной машине. tap туннель поднят. Как объединить сети, если у физ. компьютера, на котором pfsense, всего один физический интерфейс? Стоп. Пф на той же машине или пф на др машине в виде вирт. ? Если на той же : 1. Что в кач-ве гипервизора ? 2. У гипервизоров есть неск. типов сетей, к-ый они отдают вирт. маш. В Виртбоксе (гипервизор 2-го типа) - это сет. мост, NAT, внутр. сеть и др. Комбинируя эти сети на вирт. машине можно добиться необходимого вам.

Вернёмся к старой проблеме. Дело в лимитерах, если их ставить то через какое то время начинается большой пинг до шлюза. Далее если изменить на другой лимитер, то всё нормально, но тоже через некоторое время становится большой пинг. Никто не использует лимитеры в 2.3.2 p1?

У меня сделано так: squid + lightsquid + squidguard + ipcad. Собирает вообще весь трафик. Прокси не прозрачный, настройки отдаются через wpad. Удобно. Винда сама забирает этот файл и работает через прокси - автоматическое определение параметров. Если что нужно разрешить, редактируется файл wpad. Через групповые политики стоит запрет на изменение настроек прокси. Для мозилы спец файлы так же на запрет изменения сетевых настроек. В случае если прокси отвалится, убираем файл wpad или редактируем (умышленно делаем ошибку в нём) и все идут в обход прокси. Не нужно редактировать групповые политики и применять их на всех компах принудительно.

Меняю в конфиге квоту превышение лимита с 10 мб на 1гб для отображение в статистике, применяется но через N-ое время скидывается обратно на 10МБ. Если меняете непосредственно в конфигурационном файле, то при сохранении конфига LS он переписывается на основе шаблона: define('LS_CONFIGFILE', 'lightsquid.cfg'); define('LS_CONFIGFILE_DIST', 'lightsquid.cfg.sample'); Так что меняйте в шаблоне - lightsquid.cfg.sample, а затем сохраняйте настойки из окна настроек LS, чтбы конфиг перестроился с учётом ваших изменений в шаблоне.

Тему можно закрыть вопрос решен, спасибо за советы, решил все с помощью NAT  :D [image: Nat.JPG] [image: Nat.JPG_thumb]