@werter:

Добрый.
Покажите скрины того, что настраивали. И смените порт веб-фейса пф на др.

http://www.itblah.com/how-to-set-up-reverse-proxy-and-load-balancing-using-pfsense-and-haproxy/

На сколько я понял в вашей статье описана настройка балансировки с помощью HAProxy. Но меня интересует использование встроенной фичи PFSense, как сервера балансировки (информация из этой статьи http://shop.nativepc.ru/content/88-pfsense-17 )
В качестве реверспрокси я использую squid reversproxy.
Порт webинтерфейса pfsense я и так использую не стандартный.

@deem73:

@smils:

На pfSense DHCP включен?

Выключено. Повсюду. Так собственно раньше и стояло.

Что то вы не договариваете.

Вы ИПы машинам руками прибиваете?

Даже если так, тогда rubic писАл вам

DNS-ом надо сделать DC, на нем настроить forwarding на pfSense

В вашем случае ни каких вторых ДНС на машинах быть не должно .

@werter:

В Local ipv4 network указал нужный vlan 192.168.90.0/24, но клиент не может пингануть ни один сервак из vlan90. т.к.  это тестовая сеть, то всем всё разрешено

1. Поставьте шлюзом на всех машинах во vlan90  адрес pf.
2. Скрин правил fw на OpenVPN
3. route print с клиента при поднятом туннеле.

сделал новый vlan…соединение без проблем пошло.

Схема.

Начните с этого.
https://forum.pfsense.org/index.php?topic=59081.0
Не ограничивайтесь первым постом, с момента его публикации многое изменилось.

Спасибо работает !
Убрал железку перед pfSense

@dirar:

@pigbrother:

@dirar:

Эту строчку ifconfig-pool-persist ipp.txt добавляю в Advanced? Я правильно понял?
А файл ipp.txt где разместить в pfSense?

Да, с указанием пути к файлу.
например
ifconfig-pool-persist /cf/conf/ips.list 0

Создал файл ips.list в директории  /cf/conf и добавил туда строчки
client1,10.5.0.201
client2,10.5.0.202
А в  OpenVPN - Server - Advanced добавил
ifconfig-pool-persist /cf/conf/ips.list

Но к сожалению, пока не работает.

Если  сервер работает с типом сети net30 (НЕ стоит галка Topology) то адреса следует раздавать с шагом в 4 адреса, начиная с 6:
имя_сертификата,адрес
samara1,10.6.63.6
samara2,10.6.63.10
samara3,10.6.63.14
samara4,10.6.63.18
samara5,10.6.63.22
samara6,10.6.63.26

Адреса смените на свои
10.5.0.х
или перевести сервер в режим subnet (поставить галку Topology)
Адреса тогда можно раздавать со 2-го с шагом в единицу, как у вас.

А в  OpenVPN - Server - Advanced добавил
ifconfig-pool-persist /cf/conf/ips.list

Надо
ifconfig-pool-persist /cf/conf/ips.list 0;

проблему решил.
iroute 192.168.1.0 255.255.255.0
именно iroute

@dirar:

Проблема была в поле Concurrent connections. По умолчанию там стоит число 2. Вот и не могли другие подключаться.
Ничего страшного, если я там поставлю 100?

Технически ничто не мешает.
Хотя идеологически это не хорошо.

@cheee:

сделал мост между wan и lan, теперь пк за шлюзом получают ip от роутера и следовательно находятся в одной подсети (192,168,0,1),а шлюз через прозрачный прокси фильтрует трафик.

Возникла проблема:
sqid в режиме прозрачного прокси не работает через мост, почитав форум понял что проблема действительно такая есть. Но есть ли решения ? Он у меня блокирует полностью http трафик при установке галочки Allow Users on Interface, без нее не блокирует ничего.

squidguard не запускается, OpenVPN и IPSec перестали работать
C  OpenVPN расстроили - расстроили.

На тестовой виртуальной машине клиент OpenVPN работал в RC. Обновил тестовую, теперь пишет о себе так:

2.3.1-DEVELOPMENT (i386)
built on Tue Apr 12 11:10:55 CDT 2016
FreeBSD 10.3-RELEASE

The system is on a later version than
the official release.

Клиент OpenVPN продолжает работать. Что в OpenVPN перестало работать у вас?

Про IPSec пишут так:
https://www.reddit.com/r/PFSENSE/comments/4ehk2t/23release_now_available/

Updated to 2.3 and IPSec tunnels are down. Disabled IPComp and they're back up. Otherwise, upgrade went smooth!

Обновление с 2.3-RC (or older 2.3 installs) to 2.3-RELEASE может потребовать дополнительных действий:
https://forum.pfsense.org/index.php?topic=109690.0

@werter:

Не надо ничего мудрить. Правьте правила fw на LAN. Или не правьте  - инет уже есть.

Да, Вы правы. Мой косяк, разобрался. Спасибо.

Хочется узнать, это что, ботнеты, вирусы?

Это сканирование вашего IP на открытые порты ботнетами, вирусами и прочей гадостью с попытками подобрать пароль.

Правильным решением будет поднятие VPN и организация доступа к pfSense и как бонус - к внутренней сети через VPN.

@lesaer:

By Interface
Отображается иерархия очередей ALTQ на интерфейсах

У пф по-дефолту исп-ся hfsc вроде. Если только изменить.

можно одновременно использовать By Interface и Limiter, будут ли проблеммы совместимости?

Если на на одних и тех же инт-сах исп-ть - точно будут.

Доброе

Если добавить еще один Lan (Opt) интерфейс 192.168.10.1 и поднять на нем Captive Porta, какие могут возникнуть проблемы?
Будут ли проблемы с форвардингом портов?

На половину вопроса Вы уже ответили.

У Вас довольно специфичная задача. Пробуйте.

спс, за ответ уже пробую применить полученные знания на практике

Нехочу хвалится окатил системы, все вернулось на место даже с теми правилами, что и были.

Сервер с topology subnet
Добавил в Advanced сервера

;ifconfig-pool-persist /../../ips.list

В ips.list:

user1,10.11.11.20
user2,10.11.11.77

В логе OVPN появилось следующее:

openvpn[64176]:    ifconfig_pool_read(), in='user1,10.11.11.20', TODO: IPv6
Apr 7 09:49:51 openvpn[64176]: succeeded -> ifconfig_pool_set()
Apr 7 09:49:51 openvpn[64176]: ifconfig_pool_read(), in='user2,10.11.11.77', TODO: IPv6
Apr 7 09:49:51 openvpn[64176]: succeeded -> ifconfig_pool_set()

Т.е сервер, похоже, реально резервирует адреса.
user1 и user2 стали получать назначенные адреса.
Адреса остальных пользователей автоматически добавляются сервером  в ips.list при подключении и, вероятно, закрепляются за ними.
Редактировать  ips.list можно при остановленном экземпляре OVPN-сервера\при гарантированном отсутствии подключений. Иначе при запущенном сервере получить ошибку - порт занят, сервер падает и не запускается (видно в логе). Помогает перезагрузка pfSense.

И нужно ли переводить лист в режим только для чтения(ifconfig-pool-persist /conf/ovpns1.ipp 0)

Вероятно - нужно. Мануал говорит так:

–ifconfig-pool-persist file [seconds]
              Persist/unpersist ifconfig-pool data to file, at seconds intervals (default=600), as well as on program startup and shutdown.The goal of this option is to provide a long-term association between clients (denoted by their common name) and the virtual IP address as‐signed  to  them from the ifconfig-pool.  Maintaining a long-term association is good for clients because it allows them to effectively use the –persist-tun option.
              file is a comma-delimited ASCII file, formatted as <common-name>,<ip-address>.
              If seconds = 0, file will be treated as read-only.  This is useful if you would like to treat file as a configuration file.
Однако:

Note that the entries in this file are treated by OpenVPN as suggestions only, based on past associations between a common name and IP  address.  They do not guarantee that the given common name will always receive the given IP address.  If you want guaranteed assignment, use
              --ifconfig-push</ip-address></common-name>

Железо там хорошее. К тому же год на этом же железе проработал без единого подвисания. Логи не смотрел..иду рыться…