Я бы рекомендовал поснимать трафик на локальных ресурсах. Не забывайте, на них ведь тоже может стоять firewall.

@datalife: Нечего не понял. Но спасибо за совет. Крайне не рекомендую вообще этот антивирус - толку 0, а проблем приобретете кучу.

Большое спасибо. Завелось. Виной всему моя невнимательность.

и это ещё больше омрачает ситуацию, кстати можно ширину не 40. а 20 мегагерц сделать. тогда будет больше не задействованных полос, но скорость упадёт, и особенно сильно упадёт для движущихся объектов.

ну в твоём варианте проще от рртр вообще отказаться, 5 человек не 100 =)

Возьмите за основу это: https://forum.pfsense.org/index.php?topic=76015.0

Установил всё то же самое на реальную машину, тормозов между LAN1 и LAN3 нет.

+CRM=1

вопрос может ли PfSense применять правила спустя какое то время? Если не сбросить states - да, пока неактуальные  states не будут прибиты самой PfSense.

Они показываются в порядке, установленном вами. Выполняются - сверху вниз.

@Dm.K: на вопрос о подключении новых пользователей: "Включите их в коммутатор" То есть остальное Вы додумали, а проверить страшитесь))

@WY6EPT: похоже на правду =) спасибо за наводку. а то я никак дойти не мог поискать и воткнуть обратно Еще рекомендую IDS\IPS Snort\Suricata. Только их обучать сперва немного надо и осторожнее обращаться. Совет. Не вкл. автоблокировку сразу - оставитьте только Alert-ы. И понаблюдайте за работой\логами. Оч. помогает кто изнутри\снаружи "шалит". http://linoxide.com/firewall/install-configure-snort-pfsense-firewall/ http://pfsensesetup.com/tag/suricata/

@WY6EPT: чувак проверь в настройках сетевого интерфейса ты мог оставить 32 маску, тогда будет такую фигню писать, потому, что подсеть из 1 айпишника состоит ( ну так думает пфсенс) Я нашёл причину. IP сетевой карты  не попадал в тот диапазон, который давал DHCP на роутере. Плюс на той карте в pfsense была маска /32. Что тоже фатально. Всем спасибо!

В принципе объекты "компьютер" находятся в AD по пути CN=Computers,DC=domain,DC=local аналогично контейнеру с пользователями CN=Users,DC=domain,DC=local Но использование контейнера Computers для авторизации, imho, маловероятно. Найдете способ - отпишитесь. P.S. AD удобно исследовать этой маленькой, но весьма powerful утилиткой от Руссиновича: http://live.sysinternals.com/ADExplorer.exe Острожно! она умеет и редактировать/удалять объекты!

@mons: есть virtual ip address-> ip alias (10.10.2.7/24) для lan (10.10.1.0/24) есть Transparent proxy (squid) на lan интерфейсе клиенты из подсети lan (10.10.1.0/24) свободно ходят в инет через proxy клиенты из подсети ip alias (10.10.2.7/24) не ходят на 80 и 443 порты, ping и другое работает. При внесении адреса в Bypass proxy for these source IPs интернеты работают в полном объеме Куда копать? 10.10.2.0/24 добавить в разрешенные сети в настройках сквида.

@SNELS: Добрый день. Уже многие, наверное, задавались этим вопросом, но почему-то решения по-прежнему нет. Либо я его просто неправильно искал. Поэтому попытаю удачу и здесь. Да, SquidGuard не поддерживает алиасы, но возможна ли реализация комментариев к списку Client (source) в Groups ACL? Просто одного лишь перечня IP-адресов недостаточно. Порой звонит человек, просит открыть ему доступ к каким-то ресурсам, а ты листаешь этот список адресов и знать не знаешь, какой принадлежит этому клиенту. Собственно, в самих конфигах же можно комментарии добавлять после #. Почему это не реализовано в веб-интерфейсе? Может быть есть какие-то решения этой проблемы? P.S. Нет, заводить отдельный документ, где будет перечень IP-адресов и фамилии пользователей, которым эти адреса принадлежат - это не выход. Ведь pfSense - это комплексное решение. Удобнее, когда всё в одном. В домене удобно исп. bginfo - http://www.voip-lab.ru/vyvodim-informaciyu-o-servere-na-rabochij-stol-windows/

@WY6EPT: к сожалению, это не победить. я тоже пользую мульти ван и даже пассивные порты прописывал на всех ванах и редиректил, проходит авторизация и зависает сессия, потому, что FTP сервер кидает настройки пассивных портов клиенту, а там айпишник допустим первого вана, а ты через второй ломишься! я даже через DNS зону пробовал. нифига. только 1 канал и причём тот который первый подключился ;) насчёт ftp passthr надо глянуть. В правилах fw на LAN для ip-адреса ftp-сервера шлюзом явно указана группа loadbalance\failover ? На Stickly connections галка стоит в настройках pf ?

Попробуйте перейти на 3-ий сквид. Удалив 2-ой сперва вместе с гвардом.

@olnn: Cпасибо с маской 255.255.0.0 все решилось. За совет с железкой с поддержкой OpenVPN спасибо. А не встречался ли подобный роутер, но с поддержкой 3G и WiFi http://tomato.groov.pl/?page_id=69 Все Асусы с U в назв. модели по ссылке выше. Или модели др. пр-лей по той же ссылке (ищем самостоятельно) Также можно исп. тот zyxel kinetic 4g II. Но у него вроде нет OpenVPN. P.s. В кач-ве usb-модема рекомендую Huawei E3372h (он же МТС 827F/829F, Мегафон М150-2) Перешивается в hilink  и работает как самостоятельное уст-во - http://4pda.ru/forum/index.php?showtopic=582284 Перепрошивается под любого оператора.

@sisodmen: Добрый день! Люди помогите пожалуйста настроить SquidGuard. Настроил авторизацию в squid по LDAP, работает. Но необходима NTLM авторизация, чтобы пользователям в GoogleChrome не приходилось вводить логин и пароль. Далее в SquidGuard создал 3 группы, необходимые ACL, но срабатывает только одно правило. Кто-нибудь подскажет как настроить SquidGuard  непосредственно через web интерфейс? Руками посредством конфигов я настроил. Но задача стоит настроить непосредственно через web, чтобы ничего не писать в конфигах. Спасибо. Покажите ваш конфиг, что там настроено?