Enter an unused private Network and appropriate subnet mask (such as /24) т.е. надо понимать, что это не неиспользуемые IP из диапазона  сети, к которой они подключаются. Нет, речь идет как раз о выборе (для туннеля?) отдельной, неиспользуемой ни на стороне сервера, ни на стороне клиента подсети. О выдаче клиентам адресов из диапазона локальной сети я написал лишь как способ обойти необходимость настраивать брандмауэры на локальных машинах. Предпочитаю и клиентов и филиалы объединять в отдельные подсети. Настройки IpSec вне моей компетенции, предпочитаю OpenVPN, c ним такой режим (TAP Bridging with LAN) настраивался бы, например, так: https://forum.pfsense.org/index.php?topic=46984.0

поле Allowed subnets - разрешенные подсети, кому разрешено использовать прокси,  поле Banned Hosts Addresses - перечисляете или IP или подсети, которым хотите запретить использовать прокси(все прекрасно работает).  А вообще вам уже писали, что лучше, да и правильнее, настроить fw, где можно создать алиасы, создать для них правила в fw, и исправления в дальнейшем вносить в alias. Наверняка появится потребность не только дать доступ в интернет, но и разрешить или запретить работу различных служб и приложений, значит указываете порты для этих служб, поэтому fw придется настраивать…

pfsense точно не собирается её решать. настраивайте OpenVPN. сейчас клиенты даже на iphone есть и всё работает. Авторы явно указали, что не хотят его поддерживать.

а правила в свиче через ACL пишешь? как файрволишь то? или у тебя нет необходимости файрволить внутренние подсети? одно не пойму. почему вланы на пфсенсе не принимать на отдельные интерфейсы? у меня сейчас порядка 30 интерфейсов все прилетают через разные сетевухи. WAN тоже тегами прилетают

pf самый свежий, x86. Сквид - 4.3.10, не 3-й. А есть какая-то разница? Ну, в общем-то проблема может быть решена именно по признаку наличия адреса клиента. Есть адрес - значит это запрос доступа по PPTP. Получается четыре правила. Только что проверил - все работает. Однако решение это выглядит каким-то кривым.

А вот nano\флешечная ли или нет не знаю как проверить… Если в дашбоарде Platform pfSense то это полная установка. Нано выглядит так: [image: pfsense1.jpg]

Вопрос решен. Тривиальная задача - тривиальное решение. Микротики - клиенты OVPN-server  Peer-to-Peer ничего не знали о сети 10.11.11.0/24, адреса из которой получают клиенты сервера  Remote Access. Добавляем маршрут: /ip route add comment=" " distance=20 dst-address=10.11.11.0/24 gateway=ovpn-out1 scope=10 где ovpn-out1 - интерфейс Микротика к OVPN-server  Peer-to-Peer Смотрите таблицы марш-ции на проблемных клиентах при поднятом впн-канале. Пример таблицы с корректными маршрутами приведен в 1-м посте существовании такой команды как tracert\traceroute tracert, насколько помнится, "проваливался" на первом IP "серверного" конца туннеля, дальше шло сплошное Маршруты вроде на месте, а в логе firewall ничего на тему нет? Включение лога как раз и показало, что пакеты в нужные сети уходят, это подсказало, что проблема не в pFsense. Жаль, что не прочитал ваш пост раньше, пришлось думать самому ;)

@werter: UPD. с https вроде разобрался, но сертификат лень на каждый комп ставить, пока нет необходимости повременю. Кстати а нет способа другого? Есть. Групповыми политиками прикрутить самоподписан. сертификаты. Правкой .cfg-файлов лайтсквида - http://www.pontin.ru/technical/linux/pfsense/lightsquid Только пути к файлам в 2.2.х могут быть другими. Большое спасибо ) Если буду подымать AD, то воспользуюсь этими мануалами. а с lightsquid'ом разобрался. в конфиг забил вручную адреса.

1. Скрины правил fw 2. Отключить блокирование серых сетей на WAN 3. У всех машин в обеих сетях шлюзом должен быть pf

@Olejka39: Всем привет. Имеется следующая конфигурация. Сервер Asterisk 13 в локальной сети и шлюз в интернет посредством PfSense 2.2.4 1)PfsenseIP: 83.219.159.159 2)AsteriskIP: 192.168.2.8 Сделан NAT до Астериска. Проброшены 2 правилами 5060, и другим правилом 10000-20000. Вроде бы все бегает, звонит, маршрутизируется. ( кроме одного телефона DLink - DPH 150S, но есть подозрение что виноват сам телефон. Во всяком случае всякие софтфоны нормально коннектятся и звонят ) В виду оправданной паранойи на тему брутфорса в астериск, установлен fail2ban, и включены правила блокировки по подбору паролей. НО! в логах астериска я вижу такую строку. chan_sip.c: Failed to authenticate device 2000 sip:2000@83.219.159.159Т.е. вместе истинного ip бота\подборщика парлей я вижу внешний ip собственного шлюза. Вопрос, где поправить чтоб корректно отображался ip внешнего брутфорсера?</sip:2000@83.219.159.159> У меня по такой схеме работает freeswitch и облако. И то и другое отлично банится fail2ban. pfsense прокидывает source адреса на внутренние

@werter: Могу ошибаться, но ведь с неск-ми WAN-ми со squid в 2.2.х проблемы? ну я так понимаю проблема не в самой балансировке а в фейловере что и пытаюсь решить [image: lb.jpg] [image: lb.jpg_thumb]

мне эта инфа нужна что бы сдать СОРМ Вам нужна спец железка с соответствующим сертификатом, иначе вам кое-что "отвинтят" и кое-куда "засунут".

Нет, c kerio все ок, он держит соединение сейчас, в плане мы отходим от него и переходит на pfsense. когда включен pfsense  только он поднимает PPPOE

pigbrother, werter спасибо большое! Вроде как все заработало. Если что я еще напишу.

нашел в чем был косяк - сквид не виноват (зато поставил себе 3.5.10 пока тестировал :D) - ошибся в одной цифре в айпишнике днс сервера в политике джунипера. топик можно удалить.

ну вот ртк поднялся и все снова заработало. кастомные опции сквида: server_persistent_connections off; tcp_outgoing_address тут_ип_ттк; tcp_outgoing_address тут_пи_ртк; url_rewrite_program /usr/pbi/squidguard-amd64/bin/squidGuard -c /usr/pbi/squidguard-amd64/etc/squidGuard/squidGuard.conf; url_rewrite_bypass off; url_rewrite_children 16 startup=8 idle=4 concurrency=0 persistant connections отключен чтобы балансировка была более менее равномерной и чтоб не тыкалось по упавшему линку. проблемных ресурсов пока что не много (например сбербанк у которого слетает авторизация). эту проблему пока решаю прописыванием конкретного гейтвея для конкретных айпи в rules.

@hvac14400: @werter: @hvac14400: у меня сенс 2.2.2 если есть нтп - зачем синхронизация гипер ви, или если есть гипер ви - зачем синхронизация нтп? тем более если сам гипер ви тоже синхронизирован например с контроллером домена, который берёт время с того же самого нтп. видимо что-то одно можно отключить? Отключите синхронизацию времени в настройках ВМ на Гипер-В. И посмотрите, что будет. отключил - ничего не поменялось. У меня "убегать" начинает через нек-ое время. Повторюс, версия Hyper-V не R2 P.s. Рекомендую Proxmox (KVM). Как раз недавно дистр. до 4-й вер обновился. Оч. хороший продукт - кластеризация, бэкапы, не нужно бренд. железо, zfs soft-raid из коробки.

@pigbrother: А вот наоборот, из головной сети маршрутизации до клиента инициатора подключения никак добиться не могу. Сеть А - 192.168.4.0./24 Сеть B - 192.168.6.0/24 Если 192.168.4.0./24 - это головная сеть, создайте на LAN интерфейсе правило LAN net * 192.168.6.0/24 * * none Первая звездочка - это Protocol=any … и поставьте первым (на время хотя бы)