Спасибо))) просто гуглил про проблемы с коннектом и забрел на этот сайт))

т.е. вы хотите через LDAP доступ к управлению PFSENSE ?

отпишусь для потомков: IPSec никак не маршрутизируется, и в интерфейсы не выделяется. Он работает напрямую с ядром. Mikrotik старых версий(6.18, 5.24) поднять IPSec удалось, но не использую. Остался на L2TP ибо есть проблемы с траффиком от микротика в pf. Микротик в своём репертуаре.

@Shaman2: @PbIXTOP: Не забудьте прописать обратное правило из сети LAN2 А его мне например ненужно. Нужно видеть шары второй сетки, но вторая сетка в первую доступа не имеет. Я думал наоборот блокировать, а тут как по заказу :) Все, что не разрешено явно - запрещено.

@rubic: Interfaces > (assign) > Interface Groups Тут напрягает строка "NOTE: Rules for WAN type interfaces in groups do not contain the reply-to mechanism upon which Multi-WAN typically relies. More Information" а у меня multiWAN настроен. получается одно с другим несовместимо?

Слушайте, а SURICATA SMTP data command rejected что вообще проверяет то? Просто в сети есть почтовый сервер на postfix'е, к нему проброшены соответствующие порты. В принципе, там своих проверок до фига, в т.ч. и по некоторым blacklist'ам, но спам так или иначе все равно проходит. А сейчас я смотрю, что в suricate большенство блокировок идет, как раз, со значением SURICATA SMTP data command rejected. Пока не скажу меньше ли стало спама, просто пока не очень понятно, что суриката в принципе в данном случае проверяет.

Упростит ли задачу если в локальных сетях клиентов и конторы будут разные подсети? Если коротко - да. Пример. Некий компьютер находится в  локальной сети  с популярной адресацией 192.168.0.0/24 и пытается попасть в удаленную сеть у которой сеть тоже 192.168.0.0/24.

Личное наблюдение. Старинный комп на котором уже лет 5 крутится pfSense делит одно из прерываний между USB-контроллером и одной из  сетевых карт. Отключение USB-контроллера при этом роняет pfSense в дамп.

А это не спасет? https://forum.pfsense.org/index.php?topic=102470.0 https://forum.pfsense.org/index.php?topic=101933

2 dirar Сделайте проще - откройте на ip фтп все порты в fw на LAN.

pfSense 2.2.6, Squid 3 Services > Squid Proxy Server > вкладка ACLs > Squid Allowed Ports (в самом низу) > ACL SSLPorts [image: pf.jpg] [image: pf.jpg_thumb]

Прошивка была предпоследняя от сентября. Буквально в четверг ее обновил. А тут оказывается еще одна вышла. Во общем обновил прошивку до последней версии и включил IKEv2 (три недели назад все работало с первой версией ) и все заработало. Туннель поднимается с любой стороны)))

2 shlavabit В настройках правил fw в Advanced features TCP flags галку на Any flags. Там же ниже State Type выбрать sloppy state.

2 pigbrother Огромное спасибо за инс-цию  ::)

Доброе. 1. Squid + squidguard 2. Suricata\Snort.

@rubic: Надо в Local Networks каждого сервера указать сеть оппозитного сервера, или использовать "push route…" Спасибо! Получилось.

werter, Я В ЭТОМ ЛОЛ МЕНЯ КАК НАУЧИЛИ ЕЩЁ НА СТАРЫХ ВЕРСИЯХ ПОРТЫ ПРОБРАСЫВАТЬ- ТАК Я И ДЕЛАЮ КАК ОБЕЗЬЯНКА… ДА И ПРОБЛЕМЫ С АНГЛ. У МЕНЯ ((( :( А ПРАВИЛО Я НАШЁЛ ВЫХОД КАК УДАЛЯТЬ - Я ПРОСТО СТИРАЮ О НЁМ УПОМИНАНИЯ В  "xml" ФАЙЛЕ- И ОБРАТНО ЕГО ЗАГРУЖАЮ)))  ;) [image: 8980.PNG] [image: 8980.PNG_thumb]

Здравствуйте. 1. Эксперимент, но наличие или отсутствие этой галки проблему не решало. 2. Клиент пока 1, типа в тестовом режиме, но спасибо, что напомнили. Обязательно поставлю. 3. ок 4. А вот это черт его знает почему. Настраивался сервер и через визард и просто, потом удалялся и снова настраивался. Результат был одиноковый. На каком-то этапе, видимо, оно испарилось. :) Сейчас снова через визард настроил. Попробую вечерком снова. Но адрес локальной сети там был отличный от адреса сети для туннеля. 5. ок, попробую сначала опять через установщик, а потом с сайта openvpn'а. По поводу явного запуска от администратора - попробую, но вообще странно, ведь по сути пользователь обычно и так локальный админ у себя дома…

Сохраните бэкап настроек Сбросьте настройки в дефолт Проверьте проблему Если проблема решена - подгрузите настройки Если нет - ставьте пф заново.

Как сделать так, чтобы каждому направлению (шлюзу) сопоставлялся свой DNS? DNS у Вас внутренний ? Если да - выдавайте его по dhcp.