@xzmz: Bansardo Благодарю! Конфиг вытащю. У меня он на нем были PPTP и L2TP сервер, их настройки тоже сохранятся? Да.

Я тоже приверженец того, что шлюз, фаервол, нат, должны быть на отдельном железе. Повиснет серв с виртуализацией, повиснет все, чтобы восстановить - только ехать на место. По стейтам конечно удобно, НО я также сниму спокойно посекторный за 12-15 минут и буду делать все, что захочу. Для этого встраиваю в коробку с сенсом салазки для винта и сидиром. В салазки винт для бекапа, в сидиром диск с любым ПО для бекапов. Если что случись, можно даже запуститься с другого винта, на который сливал посекторный образ, так как он в салазках стоит. Имея правильные руки в 99% случаев все взлетает после манипуляций. У меня станции с PF стоят даже на отдельном бесперебойнике…

С описания ничего не понял. У Вас выдается адрес виртуальному интерфейсу. А в интернет ПК ходит по железному интерфейсу. С удовольствием посмотрю видео для повышения своей грамотности, так как вопрос для меня актуален.

Для спасибо есть кнопочка, а так рад что все разрешилось!

@PbIXTOP: По Embeded — насколько я помню там еще и основная файловая система монтируется только read. Все логи только в памяти. В основном именно так. Перезаписывается только только config. Отличия: https://doc.pfsense.org/index.php/Full_Install_and_NanoBSD_Comparison Для желающих впихнуть невпихуемое: https://forum.pfsense.org/index.php?topic=12995.0

@pigbrother: 5. Обновляем\уст. на чистую esxi на флешку. В процессе может ругаться - пропускаем. Под обновлением подразумеваем флэшку  изъятую с хоста, с установленной esxi, которую хотим  обновить? Да.

@werter: @Bansardo: почти 100% что будут все ядра задействованы. А вот с интерфейса на интерфейс перетаскивать без переустановки, может не смонтироваться на новом интерфейсе. Также были глюки с сетевыми интерфейсами. После обновления с 2.0.1 на 2.3.2 отвалился один интерфейс (встроенная сетевая), если вытащить сетевую из PCI слота, тогда встроенная начинает работать, вставляешь, встроенная отваливается. Пробовал разные сетевые вставлять, результат одинаков. Плюнул, поменял плату на новую с 2 LAN интерфейсами встроенными и доп. PCI слотами. Это я так, для справки, если кто столкнется. Доброе БИОС обновить пробовали ? Или сменить прерывание, на к-ом висит одна из сетевых. Также выкл в БИОС все лишнее - com, lpt, audio. Даже неисп. порты для HDD можно откл. Выключал все, а вот с прерываниями не догадался, можно собрать стенд и попробовать. Для меня это было вообще странным сюрпризом. Буду в офисе, могу чипсет посмотреть и модель MB. Если кому-то интересно.

Есть вариант руками прописать публичный DNS, в начале на компе и попробовать, потом на сенсе и опять попробовать. Идея из разряда ух, но всеже… А напишите ка трасировку с компа до www.yandex.ru и трасировку с pfsense до этого же домена. А если по ip пропинговать 77.88.55.66 а потом yandex.ru?

Если оптика GPON то там нужен специфический модуль SFP (Его удастся применить, если РТ пойдет на уступки и на своей базовой станции накатит конфиги для этого модуля, а также если совпадет прошивка для этого SFP на сервере) либо оставлять из eltex как переходник между оптикой и витой парой, а далее подключать сенс по статическому IP. Естественно, рекомендую залезть в эльтех и убить там все лишнее типа WiFi, DHCP… Оставить eltex как передаточное звено проще всего как для кошелька так и для нервов. Тут дело в том, что GPON это пассивная технология и тотже eltex получает все настройки с сервера, причем если пробовать их изменить, то на сервере стоит таймаут, по которому он перезапишет настройки иначе отключит. А так там все работает на VLAN, телек по одному, интернет по другому, телефон по третьему. В принципе ничего сложного, НО не зря они пихают всем eltex, без него не катит...

Я думаю, что такое из-за использования в маршрутизации очень запутанной схемы из нескольких VPN. Я если честно так и не понял, зачем соединять первый пфсенс с удаленным сервером как клиент и делать в нем сервер для других удаленных клиентов. Но это Ваша конфигурация, значит так Вам удобнее или так надо. Много лишних стенок пробивать приходится, поэтому мне кажется, что в данном случае и нужно задавать явно через что и куда отправлять пакеты.

Либо вместо LAN net можно указать конкретный ip до конкретного ip. Еще вопрос, если в разных виланах будут крутиться одинаковые подсети и одинаковые ip адреса. Есть спец. оборудованиие и монтажники знают только 192.168.0.0/24 подсеть и не хотят настраивать на другой диапазон, поэтому куча оборудования с адресами 192.168.0.3/24 например. Будет же нехорошо все это, как я понимаю из теории? Как из опыта можно решить данную проблему?

Статьи прочитал, конфиги ваши тоже  посмотрел, вроде бы понял. Настроил шейпер таким образом queue root_em1 on em1 bandwidth 1Gb priority 0 {qLink, qInternet} queue  qLink on em1 bandwidth 200Mb qlimit 500 hfsc( red ecn default ) queue  qInternet on em1 bandwidth 50Mb hfsc( red ecn upperlimit 50Mb ) {qACK, qVIP} queue  qACK on em1 bandwidth 8Mb hfsc( red ecn realtime 8Mb upperlimit 12Mb ) queue  qVIP on em1 bandwidth 40Mb hfsc( red ecn realtime 35Mb upperlimit 37Mb )  И правила match on em0 inet from any to <vip> label "USER_RULE" queue(qVIP, qACK) match on em1 inet from any to <vip> label "USER_RULE" queue(qVIP, qACK)</vip></vip> Получается вип клиенты при работе будут иметь гарантированно 35 MB/sec, и максимум в 37 MB/sec. Как я понял, для остальных пользователей ни очередь, ни отдельный алиас с правилом в файрволле не нужны.

Приветствую. Надо сказать Squid использовать исходящий адрес 127.0.0.1 и его уже маршрутизировать. Инструкция, правда на старую версию: https://forum.pfsense.org/index.php?topic=34810.0

@artsi: dest  это destination?  а уточните пожалуйста в какой именно вкладке  сквида это?  Transparent  Proxy  отключен. Тогда просто разрешите в правиле fw на LAN в dest адрес и порт проблемного сервера. Поставьте это правило первым. И в настр. браузера исключите адрес этого сервера (чтобы через прокси не ходил)

Есть 2 варианта: 1. Отключить NAT + фильтрацию. PFSense работает как обычный маршрутизатор. Как сделать: System > Advanced >Firewall & NAT > Disable Firewal 2. Отключить только NAT.  PFSense работает только как фильтр: Firewall > NAT > Outbound > Disable Outbound NAT rule generation.(No Outbound NAT rules)

@PbIXTOP: А не пробовали применить Limiter в разрешающем правиле для проброса на WAN интерфейсе? Тут https://forum.pfsense.org/index.php?topic=99525.0 жалуются на отсутствие трафика вообще при таком решении.

Доброе Я пробовал связать фрирадиус пфсенсе + ад для ви-фи . Не вышло  :'( Нужно ставить отдельно никсовый фрирадиус и делать правки в его конфиге для работы с ад. Как я понял во фрирадиус пфсенсе не поддерживается протокол авторизации ад.

Такой топик надо закрепить, ну или в FAQ

Господа, неужто никто не делал на pfSense: MultiWan + Load Balancibg (балансировка нагрузки WAN) + FailOver + Traffic Shaper ? Буду искренне благодарен за информацию в этом направлении :)