@werter:

В гугле static ip openvpn

P.s. Если у Вас клиенты вер. 2.3.х, можно на сервере поставить галку на Topology , чтобы при подкл. получали один ip , а не подсеть из 4-ех адресов.

Благодарю!

как минимум поставить галку Enable Access Logging
и дорогу к логам посмотри Log Store Directory /var/squid/logs
ну и подождать пока на собираются логи.

Transparent - это когда трафик принудительно и без ведома клиента направляется в прокси. Explicit - это когда клиент знает о наличии прокси и с помощью специальной магии договаривается последним, чтобы он за него запрашивал странички. Если вы прописываете прокси в браузерах, то trasparent режим вам не нужен.

но это мне не подошло ибо бегать и менять на 50 машинах TTL

ttl меняется один раз - на шлюзе. И ссылки на 4pda как раз об этом.

Далее

Свисток вставляется в железный роутер. На роутере шаманите с ttl. Пакеты уходят с правильным ttl.
Какая разница у кого какой ttl до этого был в локальн. сети, если пакет уходит с правильным ttl от роутера ?

Пробуйте с железным роутером.

P.s. Вот готовое решение по модемам - http://4pda.ru/forum/index.php?showtopic=582284&st=19820#entry46975186
Раз сделали - и всё. А для страховки вместо файла hosts исп. dnsmasq на пф, вбив туда адреса для блокировки.

Мониторьте. Вам там виднее на месте.

@Dmitriy:

@werter:

Шта ?! А как же виртуализация ? Ее скоро кофеварки поддерживать будут. Какие еще "железки" ?
https://www.proxmox.com/en/ же.

Зачем к словам придираться. Не важно где биндец сидеть будет: на виртуалке или реальной железке, а важно то, что надо будет его админить отдельно от pfSense, а хотелось бы OOB.

Я за язык не тянул - сами сказали, что "железка".

Мне уже лень в шеле мучиться, хоца тыкать мышой. Старею наверное.  Вот в чём соль.

Как вариант - Zentyal, Nethserver, Webmin (?)

P.s. А что , если bind установить в jail на пф ?

http://ghanima.net/doku.php?id=wiki:pfsense:creatingjails
http://ghanima.net/doku.php?id=wiki:pfsense:samba4jail
http://ghanima.net/doku.php?id=wiki:pfsense:packagebind9forsamba4

P.p.s. Подумалось, что в 2.3 bind не будет, но есть же unbound  https://calomel.org/unbound_dns.html  ?

файл /var/dhcpd/dev переполнен на 100%.
И везде там DHCP сервер работает нормально.

Более того, на pfSense, где DHCP не поднят вообще - тоже заполнение 100%.

@pigbrother:

вот это похоже поможет,т.к WAN 192.168.100.232

Не очень яcно, как вы получите доступ к pfSense снаружи из интернета.

pf для попробовать в этой сетке,на нее порт проброшен,еслиб сразу на внешку поставил данный затык не возник бы

Удалял не помогает

Могу ошибиться, но я вижу со стороны  pf 2.2.6 (HOME) только gre (192.168.5.0/24    192.168.31.2    UGS            351            1400    gre0),
ipsec не вижу.

Cо стороны pf 2.1 (ZAVOD) вижу два gre :

192.168.1.0/24    192.168.30.1    UGS            0    24                    1400    gre0   
192.168.2.0/24    192.168.31.1    UGS            0    4                    1400    gre1

P.s. И не пингуйте концы туннелей или адреса пф за ними. Пингуйте адреса лок. машин за туннелями.
Только у всех машин за пфсенсами шлюзами\gw в настр. сетевых  должны быть  ip-адреса их пфсенсов.

Это конечно выход из ситуации не спорю, но искал решения через сам шлюз.

Если форвардеры в DNS(AD) направлены на pfSense, то как раз сработает вариант с Host Overrides в DNS-Advanced на pfSense.

@werter:

Доброе.
У меня WANы - untagged каждый своим VLAN ID, а порт LAN pf - tagged всеми VLAN ID WAN-ов + untag VLAN ID общим.
Но у меня свитч HP + pf как вирт. маш. на ms hyper-v.

Tagged порт 3 свитча подключен к pfSense, созданы интерфейсы VLAN2 и VLAN3

VLAN ID у WAN портов должны быть разные и untagged.  Порт WAN pfsense должен быть tagged обеими VLAN ID WAN-ов.
LAN pfsense должен untagged отличным от предыдущих VLAN ID или вообще его VLAN не трогать.

Может стоит сменить сетевые на что-то прилично-гигабитное, типа intel, broadcom ?

Ну и 3com superstack 3 switch 4200 firmware download в гугле. Только внимательно, т.к. их там целое семейство.

Вроде как по моей схеме (см конфигурацию со свитча) все именно так - оба WAN (порты 1 и 2) на свитче - каждый в своем VLAN со своим  VLAN ID и оба untagged.
Порт 3 свитча - tagged и подключен к WANp fSense.

Lan порт unatagged и входит в дефолтный VLAN1 (порты  4-26).
Адаптер fxp0 - как раз intel.

Прошивки видел, их действительно много, надо не ошибиться моделью\версией железа и пр.

Здесь в ветке подробно описал и проблему, и как его решил:
https://forum.pfsense.org/index.php?topic=107633.0

Вебморда переписывает конфиг сквида заново. Все ручные изменения теряются.

Нет , графики взяты с моего провайдера, для него это входящий трафик, для меня исходящий. Я связался с ним, они говорят что-то не правильно в конфигурации BGP. Спасибо все таки.  :( :( :( :( :( :( :( :(

Я уже писал, что в режимах SSL/TLS topology subnet обязательна для использования OSPF. В новых версиях она, похоже, будет топологией по умолчанию.

где можно увязать версию протокола SSL\TLS к каждой версии библиотеки OpenSSL

Еще отвечая на первый пост пробежался по openssl.org.
Прямого указания на на соответствие версий OpenSSL и "официальной" версии не нашел. Может оказаться, что такой информации не существует вовсе.
Тут
https://ru.wikipedia.org/wiki/OpenSSL
Указывают, что OpenSSL 1.0.1 поддерживает TLS v1.2

Вдогонку. Из клиентского лога (verb 3):
Fri Feb 26 20:07:52 2016 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA

к сожалению ключевое слово, здесь "Pretty sure"

так я попробовал с самого начала.  не работает. пишет неверное имя пользователя или пароль.

@werter:

А то что к этим серверам он по защищенному каналу подкл ? С этим никак не связано ? Или к нестандартным портам ?

У меня НЕ прозрачный прокси. Секция SSL Man In the Middle Filtering - не задействована

насколько я понимаю squid дает подключиться, squidguard даже с добавленными в белый список темиже адресами что и в сквиде - это все дело блочит. т.е дело все в пакете сквидгуард.
как ему дать понять что пропусти к этим адресам - мне не понятно, разьясните

у меня есть шлюз pfsense 2.0.1 со сквидом 2.9.7 и сквидгуардом - так тот без проблем все пропускает
поэтому делаю вывод что дело в пакете squidguard именно в новой конфигурации
если есть дельные предложения как решить вопрос - предлагайте попробую

Можно обойтись и без pfSense.
Кинетик (любой другой роутер с кастомной прошивкой OpenWRT/Tomato) + сервис фильтрации DNS (ЯндексDNS, SkyDNS) с фильтрацией по категориям.