@werter:

C ospf на тике тоже есть нюансы :

http://forum.mikrotik.com/viewtopic.php?t=86672

Это скорее у pfSense нюансы. В Mikrotik для решения проблемы можно выбрать тип сети point-to-point, а в pfSense - нельзя. Есть патч для этого

System: Patches: Edit
URL/Commit ID: https://github.com/agpecam/pfsense-packages/commit/d65ae93e851c367c46c16c17765b12dece9f71c0.patch
Path Strip Count: 3
Base Directory: /usr/local/pkg

Все работает с tun, только Quagga OSPF я еще не обновлял до 0.6.7, сижу на 0.6.5. Как он на последнюю версию ляжет надо смотреть.

2 Olejka39

И еще.  Для доступа из сети за сервером в сеть за клиентом , на сервере в fw на LAN необходимо создать явное разрешающее правило вида :

LAN net * remote_net * * *

Поставить его самым первым (в зав-ти от условий, конечно). Можно и во Floating rules впихнуть вместо lan.

Это особенность 2.1.х и новее.

Удалите в Advanced маршруты. Все.

Добавьте там же только:

route 192.168.5.0 255.255.255.0**;**
push "route 192.168.1.0 255.255.255.0";

Не поставите ; в конце строки - работать не будет. Там об этом написано. Внимательнее.

https://forum.pfsense.org/index.php?topic=5897.0

http://www.docunext.com/blog/2007/12/how-i-use-apache-behind-pfsense.html

Apache can sometimes cause problems when configured certain ways in certain environments with certain clients.

Like FIN_WAIT_2.

If you setup Apache behind a pfSense firewall you might notice a lot of FIN_WAIT_2 states in your table. This isn't necessary, and as I understand it is caused by sloppy http clients that never send the FIN/ACK to close the tcp connection.

There are a few things I've done to alleviate this issue:
Turn off KeepAlive in Apache
Reduce the tcp timeout on the Apache server using sysctl ( I use net.ipv4.tcp_keepalive_time = 1800 )
Reduce the fin timeout (I use net.ipv4.tcp_fin_timeout = 20 )
Change the firewall optimization setting to aggressive (but actually I've switched it back to normal for the time being)

The more I read about this, the more I feel its not a serious problem, unless you have several thousand FIN_WAIT_2 states. The one's I'm mostly confused about are the ones from the firewall to the server:
192.168.3.1:43147 -> 192.168.3.2:80

There are usually many of these, and I'm not sure exactly why there needs to be so many. I think it may be since I'm using the load balancer, instead of simple nat, which I think would directly use the web server's settings for keeping state.

Thankfully, pfSense has the “advanced” option for each firewall rule. I went into the rule for port 80, and reduced the timeout for that rule to 20, though I may reduce it more.

К сожалению, не получилось у меня настроить маршрутизацию без использования интерфейса.

т.е. без учёта вышестоящего шлюза.

Что является шлюзом? На шлюзе просто проброшен порт 3400 для OVPN-сервера? Тогда шлюз абсолютно прозрачен как для OVPN-сервера, тск и для OVPN-клиента, и никаких мер для его "учета" принимать не надо.

Посмотрите\приведите лог сервера.

@werter:

5о0-ый не знает куда отправлять пакет. Рисуйте на на нем маршрут в нужную сеть.

Верно, проблема в том, что я не знаю как это правильно реализовать. Создание гейтвея и прописывания роута не помогает.
Создал гейтвей esxi2 LAN2 11.11.13.69 и сделал роут 11.11.18.0/24 esxi2 - 11.11.13.69 LAN2 и сеть все так же недоступна, что 11.11.11.50 затык что 11.11.13.1

@werter:

@sanaaa:

Так будет, если в mask выставить source кажется(а  може dest, не помню). Если стоит none, то ограничение будет на толпу.

Все верно. Там даже об этом написано. Но мало кто читает  :'(

да, виноват

@Sega:

Здравствуйте. Как squidGuard проверяет список Target Rules List? Проверка правил идет до первого совпадения или проверяется каждый элемент списка? Если проверяются все правила сразу, то между правилами стоит знак конъюнкции или дизъюнкции?

До первого совпадения.

Поставил.
Не сразу, но помогло.
Разбираюсь дальше. Спасибо!

подскажите в PF у меня все правильно?

Ну если судить по скрину , то все правильно.

Видно по скрину что все ок - висит сразу на физ. интерфейсе.
Пробуйте сменить карту или сперва позвоните пров-ру-  пускай они у себя глянут по логам, что происходит.

@sanaaa:

Интерфейс Lan выбери. И в поле лимитеров они у тебя местами попутаны(хотя непринципиально для симметричного ограничения). Да и правило одно можно было без разделения tcp/udp (не забудь его перед более общими правилами поставить, если они есть)

А, действительно, я лан интерфейс изначально выбирал, видимо случайно клацнул потом. Так заработало, спасибо :)
Лимитеры поменял местами, чтоб по феншую было, ну и да, спасибо за замечание про одно правило, везде в выпадающих списках any было вверху, и я не увидев его сверху не читая дальше подумал что такого нет :) Оказалось оно там вконце.

@werter:

А Direction точно ни any ?

А так нельзя в floating rules.
Выдает ошибку

The following input errors were detected: You can not use limiters in Floating rules without choosing a direction.

@werter:

Вы не правильно настроили Лимитер. У вас он каждому из вашего алиаса 2 Мбит\с отдает. Burst указывать не надо.

Скрин как надо (изменить под свою скорость)

Окей, спасибо, исправил, буду проверять как работает.

IE открывает ссылку как есть, по HTTP, а FF сваливается в HTTPS с ошибочным сертификатом.

Пробуйте сперва и отследите, поможет ли:
System: Advanced: Firewall and NAT
Firewall Optimization Options: conservative

После, сделать Reset states

P.s. Еще как вариант, покопаться в настройках Cisco. Там есть (?) настройки по поводу NAT (yes), Reinvite Behavior (no),
SIP canrenivite (directmedia) (no) . Также должны быть указаны Local Networks в NAT Settings.

Могу ошибаться, но смысл в том, чтобы голосовые потоки (RTP) шли только через ip-атс и им было запрещено "общаться" p2p после установления соединения .

Спасибо за инс-цию.

Замечания :

1. Нет маршрута в сеть за сервером для клиентов - push "route …" в Advanced configuration сервера или в настройках сервера - IPv4 Local Network/s . Ваша директива route … рисует роут для сервера в сеть клиента. Для того , чтобы машины за сервером попадали в сеть за клиентом исп-ся директива iroute <сеть за клиентом> в Client Specific Overrides

2. В версии 2.2.х (или даже 2.1.х) необходимо явно нарисовать разрешающее правило в fw на LAN для того, чтобы машины за сервером попадали в сеть за клиентом. И поставить его повыше (или самым первым вообще). Уже многие здесь с этим столкнулись.

3. Клиента для Win устанавливать от имени Админа, т.е. прав.кн.мыши "Запустить от имени Администратора". Иначе могут роуты не добавляться при поднятии туннеля. Рекомендуется и запускать от имени Админа (проверить этот момент)

4. В конф. файле Win-клиента в самый верх после dev tun я добавляю :

keepalive 5 10 # можно и увеличить время по желанию ping-timer-rem

Иногда маршруты не добавляются. Помогает добавление директив в конец (под разные вер. Win пробовать одну из них) :

route-delay 5 # задержка при добавлении роута в сек route-method exe  ip-win32 netsh

И в самом конце :

pull # не обязательно verb 3

5.

Server Mode: Remote Acces (SSL/TLS)
Protocol: UDP
Device mode: tun
Interface: WAN
Local port: 1194

Я бы не исп. стандартный порт. Нет, конечно врядли кто-то сумеет подключиться без логин-пасс\сертификаты, но все же.
Или исп. порт выше 10 000 или , если будете подключаться из корп. сети со злыми админами, то исп. порты 80\TCP,
443\TCP, 53\TCP_UDP , порты почтовых служб - SMPTS, POP3S, IMAPS. Чаще всего описанные стандартные порты открыты во вне даже в сетях со строгими правилами.

6.

Создаем клиентское подключение.

VPN -> OpenVPN  вкладка  Client Specific Override

http://192.168.1.1/vpn_openvpn_csc.php

Нажимаем "Плюс", [add csc]

Common name: my.vpn.remote.client    [внимательно и аккуратно копипастим из нашего третьего сертификата, поле common name.  без пробелов. без лишних знаков.]

Description: My laptop mobile client [Для удобства заполняем описание, чтоб оптом через год вспомнить к кому это относится]
Tunnel Network: 192.168.2.4/30  [закрепляем за этим клиентом IP адрес, для удобства]

Вами описан случай, когда один клиент - один сервер. Если же это подключение исп-ся десятками клиентов, к-ые исп. один и тот же конфиг, то делать так не стОит.

Вообщем и проблема с логами решилась так: https://forum.pfsense.org/index.php?topic=69305.msg389469#msg389469

Нужно выставить

Dansguardian
General Tab
Misc settings
    highlight - forwardedfor(off)
    highlight - useforwardedfor(off)

Proxy server: General Settings
Custom options

follow_x_forwarded_for allow localhost

@awe007:

Помогите пожалуйста, горю.. срочно надо организовать VPN.
Поставил в сети pfsense 2.2.4. 2 сетевые карты, одна внутрь сети, другая к провайдеру.

по вот этой вот инструкции с этого форума https://forum.pfsense.org/index.php/topic,32662.msg168997.html#msg168997 настроил OpenVPN.
В принципе тут ошибиться негде. Создал сертификаты, пользователя.

Кхм. Странная инструкция.  Зачем тут пользователь? Пользователь тут не нужен.  Совсем не нужен. Тем более с админскими правами. В FAQ была же другая же инструкция…

ок.  ВПН что с чем объединять будет?

офис-офис,  или  офис - много мобильных пользователей.

трафик мобильных пользователей весь пропускать через vpn и офис, или только трафик для\в локальную сеть?

2 awe007
Мой Вам совет - не ищите себе "приключений".

Если есть возможность - делайте pfsense единственным шлюзом и поднимайте все необходимые Вам сервисы на нем.

P.s. Нужен будет ви-фи - исп. любой ви-фи маршрутизатор в кач-ве простой точки доступа (отключить dhcp, воткнуть кабель в LAN).
P.p.s. Провайдер Вам дает на внешний адрес "белую" статику\динамику ? Иначе ни о каких VPN и не мечтайте.

@werter:

Добрый.

Вопрос. Если все же LAN интерфейс будет иметь шлюз, все ли будет нормально с pfSense? не будет ли проблем?

В чем проблема проверить, добавив LAN-у pf адрес шлюза?
Как вариант, создать правила роутинга для нужных Вам сетей с явным указанием
интерфейса и шлюза.

он же вланы терминирует, dhcp релеит и прочими своими делами занимается.

Все же, если есть возможность, лучше сделать pf первым на пути к WAN. Он нормально работает с vlan и умеет быть dhcp-релеем (и не только это, конечно).
Можно же кабель от pf воткнуть в порт свитча, сделав этот порт транковым. После это создать в pf вланы и рулить ими ?

В данном случае траффик между вланами пойдет через pfSense. А на данный момент это стабильные 3-8 гигабит и в дальнейшем будет только больше. Не хотелось бы L3 коммутатор заменять pfSens'ом, ему и так есть чем заняться :) Проверю вариант с указанием маршрутов.