Да, именно эта ветка, спасибо.

Для сохранения бэкапа из Win

Использую эту утилитку запуском по шедулеру:
http://knowledge.zomers.eu/pfsense/Pages/How-to-automate-pfSense-backup.aspx

https://forum.pfsense.org/index.php?topic=44689.0

Perhaps someone can help.  I am able to authenticate to my AD server.  However, it says the user is not apart of any group.

I have a group in pfsense named RouterAdmins
I have a group in AD which is in the OU i specified
The user I'm authenticating with belongs to the aforementioned group

@werter:

Напрямую править conf-файлы нельзя. Вернее можно, но до первого ребута.

Да, это я уже понял ) Спасибо )

А по моей проблеме оказалось всё банально. Пытался настраивать в Вебе через браузер Firefox. Начал настраивать через Chrome - проблемы с кодировкой пропали ) Всё отлично отображает. Извините, так сказать, за беспокойство )

Если машин много - удобнее их собирать в алиасы (Firewall –> Aliases --> IP) и в правилах уже алиасам указывать кому через какой гейт наружу ходить.

И не забывать про порядок следования правил (читаются сверху вниз до первого совпадения). Правила, касаемые только маршрутизации (указания gateway), так же можно (?) располагать во floating rules. При этом обрабатываются они будут первее правил на конкретных инт-сах в fw.

@werter:

Squid3

Да, спасибо. Удалось добиться нормальной работы squid3 + squidguard для фильтрации https. Сходу не получилось - генерились сертификаты для ip адресов вместо доменных имен. В IE хоть как-то работало, в Chrome вообще никак, несмотря на добавленный в доверенный корневой сертификат.

Спасла строчка "ssl_bump server-first all" в секции Custom ACLS (After_Auth) настроек squid3.

Тестирую, пока проблем не всплыло.

Да, сеть была одна. Я уже начал разделение. Точнее уже вывел половину компьютеров и один шлюз в другую сеть. Шлюзы между собой еще не соединил. Оставлять одни шлюз на всех мне нельзя. Сеть до этого условно делилась на 2 этажа, и в нерабочие дни у сотрудников нет доступа к другому этажу: пойти включить шлюз, если пробки выбило. С электричеством все сложно  :(

@TimDU:

смогу ли я тогда работать, если закрою 80 порт с WebGui через локальное соединение?

Pfsense при установке создаёт antilockout rule и помещает его первым.
Можете и сами создать разрешающее правило для HTTP и LAN IP pfsense и поместить его над запрещающим остальной HTTP.
Можно также создать правило, используя директиву NOT.

@vicheslav_v:

1,3,4,5-хорошо
Но 2-вот тут не могу ведь на IPSec-сервере на WAN поднят PPPoE и шлюз 172.0.1.90 не пропишет, дословно
  The gateway address 172.0.1.90 does not lie within one of the chosen interface's subnets.

надо указать серверу где искать 10.10.0.0/24 подсеть… щас может гуру ПФ подключатся и подскажут пути решения

проверил Pfsense 2.2.4 по HTTP стал редиректить когда поставил знак вопроса ПЕРЕД
получилось типа ?HTTP://ya.ru
а без этого вопроса просто страница 404 и на Pfsense 2.2.3 тоже не редиректил.
(до https еще не добрался.

@Angel_19:

squidguard работает в паре с прокси, сам по себе отдельно, он ничего не блокирует.
Т.е. уберите из браузера настройки прокси, и squidguard уже будет не при чем. Если интернета все равно нет, то дело не в squidguard, а в чем-то другом.

Исходя из скриншотов правил, у вас сейчас всем разрешен выход в интернет: последние два правила, но если в браузерах прописан прокси, то браузер будет использовать прокси.

Проверьте в pfSense, Diagnostics: Ping , в поле Host укажите 8.8.8.8 , если результат будет отрицательный, то у вас просто интернета нет…

если я убираю из браузера настройки прокси, то инета нет совсем почему то не работает прозрачный прокси не на squid2 не на squid3

По дефолту в лог фаерволла пишутся только дропнутые пакеты. Те, что прошли, в лог не попадают.

Дополню.

Разрешенные пакеты port forward минуют firewall и, соответственно, в лог  firewall не попадают.

Тут указано почему:

Port Forward pass action

When creating a port forward, if the pass action was selected when designating an associated firewall rule, that will bypass firewall rules and pass the traffic directly through without filtering. Change the setting to create an associated rule and then arrange the block rule above the resulting pass rule.
https://doc.pfsense.org/index.php/Firewall_Rule_Troubleshooting#Port_Forward_pass_action

сегодня попытался еще раз запустить PF,  но уже со всеми ранее сказанными рекомендациями, а именно:
1 заменил сетевую карточку на broadcom
2 сменили порт на свитче
3 убрал шлюз с страничке WAN
4 обновился до 2.2.4

минут 40 работала и не отключалось. ;) до тестить времени не было, думаю на выходные продолжить, как будут результаты отпишусь.

еще раз всем благодарность за участие и поддержку..

с уважением shux!!!

да, спасибо, уже разобрался.
развернул виртуалку со старой версией, залил конфигурацию, обновил до актуальной версии и уже с нее залил конфигурацию - все починилось.

Да так работает.Спасибо

спасибо, что разъяснили. тему можно закрывать.

@pigbrother:

1.Создать в Firewall: Aliases алиас с нужными внутренними IP.
2. Создать в Firewall: Rules:LAN правило, где Source - созданный выше алиас. Опуститься в правиле ниже до Advanced features и сменить Gateway на шлюз ВегаТелеком (DLINK2). Поместить это правило выше, чем Default allow LAN to any rule.
Сбросить states или перезагрузить pfSense

Необязательно, но желательно:

Если Dlink2 - это DSL-модем с PPPOE - лучше перевести модем в бридж, а PPPOE поднимать самим  pfSense.

Спасибо. Обязательно попробую и о результатах отпишусь. Сейчас другая проблема нарисовалась, о ней и напишу.

Вам же пишет, что блокируется согласно правилу.
Посмотрите правила…
Может порядок правил нужно поправить.

или обновиться до 2.2.4

Обновление может и поможет:

https://blog.pfsense.org/?p=1833

Further fixes for file corruption in various cases during an unclean shut down (crash, power loss, etc.). #4523
….
    Fixed config.xml writing to use fsync properly to avoid cases when it could end up empty. #4803

Further fixes, правда, не сильно радуют, проблема явно существует и не решена. Вообще складывается впечатление, что ветка 2.2.х достаточно проблемная.

Был несколько невнимателен, дополню. Назначение шлюза - не условие выполнения правила, а именно его указание, если соблюдаются заданные в правиле условия.

Т.е. если пакет соответствует набору условий то ему назначается шлюз.