@Zloi: @PbIXTOP: Кстати исли используете Limiter не забывайте его настраивать на обоих интерфейсах. Зачем на обоих? Вроде достаточно на одном, именно на том который идет к арендатору. Нам то зачем ограничивать трафик? Поскольку pfSense формирует правила на интерфейсах и использует механизм statefull для сессий. И если нету правила на внешнем интерфейсе, то можно получить приятный перекос по скорости, если тестировать её из вне.

@arkan1973: Единственный вопрос: Phase 2 0.0.0.0/0 по сути перекрыло  мои ранее введенные параметры? Ес-но. Получилось правило заворачивать весь трафик в туннель.

Нет выхода в интернет. Мой нетбук подключен к порту LAN и получает IP 192.168.1.100 или 192.168.0.100 это не важно. Пинг на сам шлюз идет (то есть 192.168.0.1 и 192.168.1.1 это лан порты шлюза на которых >висит DHCP). Но вот на внешку (mail.ru) не идет. Захожу в диагностика\пинг пишу mail.ru  и вижу что пинга нет. Принудительно выбираю чтобы пинг шел через WAN1 и он идет. Принудительно выбираю WAN2 и он идет. Но если выбрать там дефолт то нет пинга. Почему так? А зачем мультилан? Что это такое? Агрегацию каналов знаю а эту хрень нет. Почему так? А как вы объяснили компу через какую сетевую карту слать пакет и на какой мак адрес? Мы же помним что пакеты шлются не на IP а на мак адрес.? Обычно или прописывают статический маршрут или для всех неизвестных хостов прописывают шлюз по умолчанию. Мол не знаешь где mail.ru шли туда там разберутся. Мы же помним что шлюз по умолчанию один на все сетевые карты? Соответственно у вас может быть хоть 100500 карт но шлюз по умолчанию будет один и только для той карты для которой он одной подсети. Тогда он получит верный мак адрес и будет слать пакеты туда. Теперь если мы хотим сделать балансировку нагрузки между двумя линками до шлюза - нам надо что-то что будет над этими каналами и для нас будет представляться как один канал. и уже эта штука будет использовать два линка и осуществлять балансировку между ними. Для этих целей обычно используют агрегацию канала. Говорят CARP может работать в режиме балансировки. и т.д. и т.п. Мой совет прочтите "сети для самых маленьких".

@cuba: @PbIXTOP: Определитесь каким способом вы подключаетесь к общей папке: по имени или по IP. И уже исходите из этого какие сервисы вам проверять - самбу, DNS или firewall. По IP и по имени. Главное, имя PFSense машины видно в проводнике, но ошибка та же. Файрвол в порядке, открывал как 137-139 порты, так и * * все. Нашел один комп, который нормально подрублен к сетевому диску. Почему он работает, а остальные нет - не понятно. В логах PFSense ничего такого, что пишет ошибку доступа нет. В логах самбы - успешный запуск, правда есть одно в логе самбы вида IP_машины.лог есть libsamba-util.so undefined symbol iconv_open после попытки коннекта машины. Гугл по этой ошибке молчит. Может быть из-за iconv проблема? Так вы определитесь поскольку на IP и на DNS или WIN имя windows обычно ругается разными ошибками. Рекомендую использовать простую схему — каждый сервис = свое имя DNS. Ну и к этому нормально развернутую сеть иметь обязательно (DHCP, DNS у всех одинаковые).

@Guf-Rolex-X: @PbIXTOP: Подключение Wi-FI Mikrotik–pfSense по моему мнению может иметь несколько вариантов настройки: На микротике отключается DHCP и делается мост между WiFi и LAN портом - все клиенты WiFi работают с общей сетью, выдачей адресов занимается pfSense На pfSense вы поднимаете дополнительный vlan и делаете мост WiFi этот vlan на Mikrotik, при этом не обязательны управляемые коммутаторы — у вас две разделенные поностью сети, обоими управляет pfSense Подмимаете отдельную сеть на WiFi на микротике и с pfSense по необходимости на неё маршрутизируете, при этом необходимо помнить про ассиметричную маршрутизацию клиентов. Почти во всех этих конфигурациях, если не требуется усиленная защита от пользователей WiFi и не используется NAT, Mikrotik можно перевести в режим голого L3 маршрутизатора отключив на нем firewall. Как еще один из вариантов сделать первичным L3 маршрутизатором сети Mikrotik, правда я не помню как у него firewall относиться к ассиметричной маршрутизации. на MT dhcp не включен, выдачей адресов pf не может выступать так как dhcp крутится на контролере и оттуда раздаются адреса, кстати стоят сейчас управляемые коммутаторы snr. Если у вас Wi-Fi будет использоваться отдельно от основной сети в чем проблема использовать мой второй вариант?

@dilo: @PbIXTOP: Очень плохая идея по умолчанию, если Proxy IP входит в подсеть самого клиента, которого pfSense перенаправляет, поскольку просто сработает асимметричная маршрутизация, а pfSense её не любит из коробки. Возможно, но PF не выдавал ошибки  в логах и уведомлений. Возможно из-за того что он не перепроверял список ip а Аслиасе. Возможно так как proxy-ip считается одним из GW. А ошибок не будет в логах. pfSense не обращает внимание на плохо устанавливаемые соединения.

@werter: Разрешите 443\TCP в fw на ЛАН. Это же логично. на fw lan any any IP. проблема не в нем

Сквид в пф. Одна галка. Не подскажите что там за галочка, как называется?

@pigbrother: порты на локальный сервер тоже проброшены Включая GRE? Доброе По этому и прошу скрины правил fw.

Ну, тогда другого решения не знаю, помимо тех, что я предложил :) А версия pfsense 2.3.2-RELEASE-p1 [image: 000.PNG] [image: 000.PNG_thumb]

c хоста vmPFsense Модем ZYXel P660HT2 Перевести ваш адсл-модем в режим моста. При этом ПФ будет поднимать линк. Тогда проблем с exceeds the max. number of session per host не будет. Как не будет проблем с двойным NAT-ом.

Вам в принципе и pfSense не нужен до ЮГ, если вы не хотите контролировать каждого отдельного пользователя конечно (правда ваши лицензии этого не позволят). Вам достаточно поднять дополнительный прокси в сети и отправить часть машин через него, а уже его выпускать через ЮГ.

@werter: На свитче шлюзом должен быть ip пф. Проверьте этот момент. Это важно. И пробрасывать tcp-порт. Проверять только извне. Т.е. с другого провайдера (можно исп. моб. связь) спасибо, разобрался.

Выяснил. Это стандартных два отлупа связаны с логикой NTLM авторизации. Так что это нормально.

Именно. Посмотрите какие сервера какие адреса дают. Собственно там и поймете кто из них выдает ошибочный адрес. Цепочку проверки я писал выше.

Доброе Можно поискать по фразе mass bulk users add pfsense. А также спросить в англоветке.

Доброе. Прикрутить к сквидгварду http://www.squidguard.org/blacklists.html , http://www.shallalist.de/categories.html https://forum.pfsense.org/index.php/topic,55515.0.html Если возникнут проблемы с обнов. - https://forum.pfsense.org/index.php?topic=91793.0 P.s. Еще оч. неплохой вариант - исп. Семейный ДНС Яндекса https://dns.yandex.ru/ . Причем с пом. правила port forw на ЛАН принудительно заворачивать все днс-запросы на яндекс.

Не забудьте добавить себя\свою лок. сеть в белый список. А то навоююете :)

С удовольствием присоединюсь.