Я бы рекомендовал поснимать трафик на локальных ресурсах. Не забывайте, на них ведь тоже может стоять firewall.

@datalife:

Нечего не понял. Но спасибо за совет.

Крайне не рекомендую вообще этот антивирус - толку 0, а проблем приобретете кучу.

Большое спасибо.
Завелось. Виной всему моя невнимательность.

и это ещё больше омрачает ситуацию, кстати можно ширину не 40. а 20 мегагерц сделать. тогда будет больше не задействованных полос, но скорость упадёт, и особенно сильно упадёт для движущихся объектов.

ну в твоём варианте проще от рртр вообще отказаться, 5 человек не 100 =)

Возьмите за основу это:
https://forum.pfsense.org/index.php?topic=76015.0

Установил всё то же самое на реальную машину, тормозов между LAN1 и LAN3 нет.

+CRM=1

вопрос может ли PfSense применять правила спустя какое то время?

Если не сбросить states - да, пока неактуальные  states не будут прибиты самой PfSense.

Они показываются в порядке, установленном вами.
Выполняются - сверху вниз.

@Dm.K:

на вопрос о подключении новых пользователей: "Включите их в коммутатор"

То есть остальное Вы додумали, а проверить страшитесь))

@WY6EPT:

похоже на правду =)
спасибо за наводку. а то я никак дойти не мог поискать и воткнуть обратно

Еще рекомендую IDS\IPS Snort\Suricata. Только их обучать сперва немного надо и осторожнее обращаться.
Совет. Не вкл. автоблокировку сразу - оставитьте только Alert-ы. И понаблюдайте за работой\логами. Оч. помогает кто изнутри\снаружи "шалит".

http://linoxide.com/firewall/install-configure-snort-pfsense-firewall/
http://pfsensesetup.com/tag/suricata/

@WY6EPT:

чувак проверь в настройках сетевого интерфейса ты мог оставить 32 маску, тогда будет такую фигню писать, потому, что подсеть из 1 айпишника состоит ( ну так думает пфсенс)

Я нашёл причину. IP сетевой карты  не попадал в тот диапазон, который давал DHCP на роутере.
Плюс на той карте в pfsense была маска /32. Что тоже фатально.

Всем спасибо!

В принципе объекты "компьютер" находятся в AD по пути
CN=Computers,DC=domain,DC=local
аналогично контейнеру с пользователями
CN=Users,DC=domain,DC=local
Но использование контейнера Computers для авторизации, imho, маловероятно.
Найдете способ - отпишитесь.

P.S.
AD удобно исследовать этой маленькой, но весьма powerful утилиткой от Руссиновича:
http://live.sysinternals.com/ADExplorer.exe
Острожно! она умеет и редактировать/удалять объекты!

@mons:

есть virtual ip address-> ip alias (10.10.2.7/24) для lan (10.10.1.0/24)
есть Transparent proxy (squid) на lan интерфейсе

клиенты из подсети lan (10.10.1.0/24) свободно ходят в инет через proxy
клиенты из подсети ip alias (10.10.2.7/24) не ходят на 80 и 443 порты, ping и другое работает. При внесении адреса в Bypass proxy for these source IPs интернеты работают в полном объеме
Куда копать?

10.10.2.0/24 добавить в разрешенные сети в настройках сквида.

@SNELS:

Добрый день. Уже многие, наверное, задавались этим вопросом, но почему-то решения по-прежнему нет. Либо я его просто неправильно искал. Поэтому попытаю удачу и здесь.
Да, SquidGuard не поддерживает алиасы, но возможна ли реализация комментариев к списку Client (source) в Groups ACL? Просто одного лишь перечня IP-адресов недостаточно. Порой звонит человек, просит открыть ему доступ к каким-то ресурсам, а ты листаешь этот список адресов и знать не знаешь, какой принадлежит этому клиенту.
Собственно, в самих конфигах же можно комментарии добавлять после #. Почему это не реализовано в веб-интерфейсе?
Может быть есть какие-то решения этой проблемы?
P.S. Нет, заводить отдельный документ, где будет перечень IP-адресов и фамилии пользователей, которым эти адреса принадлежат - это не выход. Ведь pfSense - это комплексное решение. Удобнее, когда всё в одном.

В домене удобно исп. bginfo - http://www.voip-lab.ru/vyvodim-informaciyu-o-servere-na-rabochij-stol-windows/

@WY6EPT:

к сожалению, это не победить.
я тоже пользую мульти ван и даже пассивные порты прописывал на всех ванах и редиректил, проходит авторизация и зависает сессия, потому, что FTP сервер кидает настройки пассивных портов клиенту, а там айпишник допустим первого вана, а ты через второй ломишься!
я даже через DNS зону пробовал. нифига. только 1 канал и причём тот который первый подключился ;)
насчёт ftp passthr надо глянуть.

В правилах fw на LAN для ip-адреса ftp-сервера шлюзом явно указана группа loadbalance\failover ?
На Stickly connections галка стоит в настройках pf ?

Попробуйте перейти на 3-ий сквид. Удалив 2-ой сперва вместе с гвардом.

@olnn:

Cпасибо
с маской 255.255.0.0 все решилось.
За совет с железкой с поддержкой OpenVPN спасибо.
А не встречался ли подобный роутер, но с поддержкой 3G и WiFi

http://tomato.groov.pl/?page_id=69

Все Асусы с U в назв. модели по ссылке выше. Или модели др. пр-лей по той же ссылке (ищем самостоятельно)

Также можно исп. тот zyxel kinetic 4g II. Но у него вроде нет OpenVPN.

P.s. В кач-ве usb-модема рекомендую Huawei E3372h (он же МТС 827F/829F, Мегафон М150-2)
Перешивается в hilink  и работает как самостоятельное уст-во - http://4pda.ru/forum/index.php?showtopic=582284
Перепрошивается под любого оператора.

@sisodmen:

Добрый день! Люди помогите пожалуйста настроить SquidGuard. Настроил авторизацию в squid по LDAP, работает. Но необходима NTLM авторизация, чтобы пользователям в GoogleChrome не приходилось вводить логин и пароль.
Далее в SquidGuard создал 3 группы, необходимые ACL, но срабатывает только одно правило. Кто-нибудь подскажет как настроить SquidGuard  непосредственно через web интерфейс?
Руками посредством конфигов я настроил. Но задача стоит настроить непосредственно через web, чтобы ничего не писать в конфигах.
Спасибо.

Покажите ваш конфиг, что там настроено?