Спасибо))) просто гуглил про проблемы с коннектом и забрел на этот сайт))

т.е. вы хотите через LDAP доступ к управлению PFSENSE ?

отпишусь для потомков:

IPSec никак не маршрутизируется, и в интерфейсы не выделяется. Он работает напрямую с ядром. Mikrotik старых версий(6.18, 5.24) поднять IPSec удалось, но не использую. Остался на L2TP ибо есть проблемы с траффиком от микротика в pf. Микротик в своём репертуаре.

@Shaman2:

@PbIXTOP:

Не забудьте прописать обратное правило из сети LAN2

А его мне например ненужно. Нужно видеть шары второй сетки, но вторая сетка в первую доступа не имеет. Я думал наоборот блокировать, а тут как по заказу :)

Все, что не разрешено явно - запрещено.

@rubic:

Interfaces > (assign) > Interface Groups

Тут напрягает строка "NOTE: Rules for WAN type interfaces in groups do not contain the reply-to mechanism upon which Multi-WAN typically relies. More Information"
а у меня multiWAN настроен. получается одно с другим несовместимо?

Слушайте, а SURICATA SMTP data command rejected что вообще проверяет то?

Просто в сети есть почтовый сервер на postfix'е, к нему проброшены соответствующие порты. В принципе, там своих проверок до фига, в т.ч. и по некоторым blacklist'ам, но спам так или иначе все равно проходит. А сейчас я смотрю, что в suricate большенство блокировок идет, как раз, со значением SURICATA SMTP data command rejected. Пока не скажу меньше ли стало спама, просто пока не очень понятно, что суриката в принципе в данном случае проверяет.

Упростит ли задачу если в локальных сетях клиентов и конторы будут разные подсети?

Если коротко - да.

Пример. Некий компьютер находится в  локальной сети  с популярной адресацией 192.168.0.0/24 и пытается попасть в удаленную сеть у которой сеть тоже 192.168.0.0/24.

Личное наблюдение. Старинный комп на котором уже лет 5 крутится pfSense делит одно из прерываний между USB-контроллером и одной из  сетевых карт.
Отключение USB-контроллера при этом роняет pfSense в дамп.

А это не спасет?

https://forum.pfsense.org/index.php?topic=102470.0

https://forum.pfsense.org/index.php?topic=101933

2 dirar
Сделайте проще - откройте на ip фтп все порты в fw на LAN.

pfSense 2.2.6, Squid 3

Services > Squid Proxy Server > вкладка ACLs > Squid Allowed Ports (в самом низу) > ACL SSLPorts

pf.jpg
pf.jpg_thumb

Прошивка была предпоследняя от сентября. Буквально в четверг ее обновил.
А тут оказывается еще одна вышла.

Во общем обновил прошивку до последней версии и включил IKEv2 (три недели назад все работало с первой версией ) и все заработало. Туннель поднимается с любой стороны)))

2 shlavabit

В настройках правил fw в Advanced features TCP flags галку на Any flags.
Там же ниже State Type выбрать sloppy state.

2 pigbrother
Огромное спасибо за инс-цию  ::)

Доброе.
1. Squid + squidguard
2. Suricata\Snort.

@rubic:

Надо в Local Networks каждого сервера указать сеть оппозитного сервера, или использовать "push route…"

Спасибо! Получилось.

werter, Я В ЭТОМ ЛОЛ МЕНЯ КАК НАУЧИЛИ ЕЩЁ НА СТАРЫХ ВЕРСИЯХ ПОРТЫ ПРОБРАСЫВАТЬ- ТАК Я И ДЕЛАЮ КАК ОБЕЗЬЯНКА… ДА И ПРОБЛЕМЫ С АНГЛ. У МЕНЯ ((( :( А ПРАВИЛО Я НАШЁЛ ВЫХОД КАК УДАЛЯТЬ - Я ПРОСТО СТИРАЮ О НЁМ УПОМИНАНИЯ В  "xml" ФАЙЛЕ- И ОБРАТНО ЕГО ЗАГРУЖАЮ)))  ;)

8980.PNG
8980.PNG_thumb

Здравствуйте.
1. Эксперимент, но наличие или отсутствие этой галки проблему не решало.
2. Клиент пока 1, типа в тестовом режиме, но спасибо, что напомнили. Обязательно поставлю.
3. ок
4. А вот это черт его знает почему. Настраивался сервер и через визард и просто, потом удалялся и снова настраивался. Результат был одиноковый. На каком-то этапе, видимо, оно испарилось. :) Сейчас снова через визард настроил. Попробую вечерком снова. Но адрес локальной сети там был отличный от адреса сети для туннеля.
5. ок, попробую сначала опять через установщик, а потом с сайта openvpn'а. По поводу явного запуска от администратора - попробую, но вообще странно, ведь по сути пользователь обычно и так локальный админ у себя дома…

Сохраните бэкап настроек
Сбросьте настройки в дефолт
Проверьте проблему

Если проблема решена - подгрузите настройки
Если нет - ставьте пф заново.

Как сделать так, чтобы каждому направлению (шлюзу) сопоставлялся свой DNS?

DNS у Вас внутренний ? Если да - выдавайте его по dhcp.