@fedor-88:

Торенты лучше блочить по layer7 там же есть кучу инструментов… Либо сессии резать по количеству и скорости... А зачем???

Не надо так делать. Лимитера по портам вполне хватает. Можно исп-ть QOS.

Пардон, начудил =)

UPD. проблему решил, снес 2.2.2, поставил 2.1
там postfix заработал моментально.
видимо для 2.2.2 пакет еще жутко сырой

Никто походу не в курсе? Да еще bug нашел… После настройки pppoe сервера, при перезагрузке не поднимаются последняя конфигурация, а предлагает заново сконфигурировать интерфейсы!!!
Без pppoe сервера загружается нормально нормально.

Первый раз такое слышу про сквид в пф. У Вас часом антивирус не прикручен ? Переходите на 3-ий сквид.

http://www.cyberciti.biz/tips/howto-limit-squid-proxy-number-web-connections.html
https://forum.pfsense.org/index.php?topic=60901.0

https://forum.pfsense.org/index.php?topic=79798.0

https://www.howtoforge.com/how-to-use-pfsense-to-load-balance-your-web-servers
http://conheotiensinh.blogspot.ru/2009/09/load-balance-and-cluster-failover.html
http://pfsensesetup.com/tag/load-balancing/

Добрый день!
Хочу подключить к pfsense 2.1.5 amd64 данный модем. Прошил в HiLink (прошивка E3372Update_22.286.53.01.161_S_D_ADB_TLN_02).

dmesg показывает:
ugen0.4: <huaweimobile>at usbus0
umass0: <mass storage="">on usbus0
umass0:  SCSI over Bulk-Only; quirks = 0x0000
umass0:0:0👎 Attached to scbus0
(probe0:umass-sim0:0:0:0): TEST UNIT READY. CDB: 0 0 0 0 0 0
(probe0:umass-sim0:0:0:0): CAM status: SCSI Status Error
(probe0:umass-sim0:0:0:0): SCSI status: Check Condition
(probe0:umass-sim0:0:0:0): SCSI sense: UNIT ATTENTION asc:29,0 (Power on, reset, or bus device reset occurred)
(probe0:umass-sim0:0:0:0): TEST UNIT READY. CDB: 0 0 0 0 0 0
(probe0:umass-sim0:0:0:0): CAM status: SCSI Status Error
(probe0:umass-sim0:0:0:0): SCSI status: Check Condition
(probe0:umass-sim0:0:0:0): SCSI sense: NOT READY asc:3a,0 (Medium not present)

usbconfig -d ugen0.4 dump_device_desc
ugen0.4: <huaweimobile huaweimobile="">at usbus0, cfg=0 md=HOST spd=HIGH (480Mbps) pwr=ON

bLength = 0x0012
  bDescriptorType = 0x0001
  bcdUSB = 0x0210
  bDeviceClass = 0x0000
  bDeviceSubClass = 0x0000
  bDeviceProtocol = 0x00ff
  bMaxPacketSize0 = 0x0040
  idVendor = 0x12d1
idProduct = 0x1566
  bcdDevice = 0x0102
  iManufacturer = 0x0001  <huawei_mobile>iProduct = 0x0002  <huawei_mobile>iSerialNumber = 0x0000  <no string="">bNumConfigurations = 0x0001

Получается у меня ID = 0x1566 (я правильно понимаю?). Меняю в
usb_modeswitch -v 12d1 -p 1f01 -V 012d1 -P 014dс -M "55534243123456780000000000000a11062000000000000100000000000000" -W
на 1566.
Все остальное по инструкции, но ue0 не появляется после перезагрузки.

$ netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            192.168.1.1        UGS        0    1396    re0
127.0.0.1          link#6            UH          0      16    lo0
192.168.0.0/24    link#2            U          0    1834    re1
192.168.0.1        link#2            UHS        0        0    lo0
192.168.1.0/24    link#1            U          0        0    re0
192.168.1.1        fc:aa:14:93:c4:03  UHS        0      852    re0
192.168.1.3        link#1            UHS        0        0    lo0

Скажите, какой вы прошивкой прошили свой модем? Правильно ли я меняю ID модема?</no></huawei_mobile></huawei_mobile></huaweimobile></mass></huaweimobile>

32 автоматом днслукап проставил, на данный момент вк и остальное блокируется хорошо, кроме фейсбук и твиттера…
анонимайзеры и порно и оч многое закрыто блеклистом в фильтре, + в фильтре от меня дописаны сайты , блеклист www.shallalist.de

@rubic:

https://forum.pfsense.org/index.php?topic=94929.msg527954#msg527954

Спасибо, заработало!  :D
Оказывается у кого стоит версия i386, при обращении к pfsense через ipsec-тунель, чтобы не крашилась система, нужно добавить настройку:
System->Advanced->System Tunables, жмем "+"
Tunable - net.inet.ipsec.directdispatch
Value - 0

google -> squid conf pfsense

https://forum.pfsense.org/index.php?topic=5093.0

у меня с линуксами та же история с Hyper-V - всегда куда то убегает время. Решил скриптом ручной синхронизации ntp в кроне.

http://blog.martinshouse.com/2014/06/pfsense-auto-reboot-if-internet.html

@Bansardo:

То есть существует правило в фаерволе самое первое, которое на 80 и 443 порты, типа антилок, в нем указываю гейт другого Wan подключения и все чтоли?

Как быть если есть внутренние адреса сервера , которые подключаются тоже через 80 порт в браузере, НО в общем инете не доступны, а доступны только через подключение внутренней сети. При такой настройке 80 порт поедет через гейт инета, в итоге еррор.
Например www.primer1.ru доступен только внутри сети через WAN1, а там где интернет, тоесть WAN2, доступа не будет.

Какие порты использует комп при хождении в нете кроме 80 и 443?

Про отказоустойчивость есть вопрос: существует модем 3G через который подключаются в случае выключения интернета у меня на фирме. Соответственно возможно ли сделать так, чтобы при отключении интернета, сенс подключал 3G интернет на определенные компы в сети автоматически?

Да. Возможно галку надо будет поставить gateway switching.

Не знаю как быть, схема внутренних адресов мне не понятна. Разве для доступа к внутренним сайтам задейстовано прохождение через шлюз?
Для пример1.ру можно и отдельное правило сделать, у меня при моей схеме на один сайт тендера одно правило - ходить только через кабель (в route жёстко прописал).

icmp, 53, 21, 22, 80, 443 (может забыл что)

Возможно подключать модем, если для определённых компов написать соответствующее правило поведения шлюзов - cable_3Gmodem и указать их вес, тогда при отключении/включении провайдера PFsense сам будет регулировать кому через что ходить.

И если память не изменяет, мне советовали (werter?) данные правила во floatings размещать.

Все победил, всем спасибо!

@dirar:

@zhhh:

@dirar:

Все равно тоже самое. Пинги тоже то ходят, то нет.

от удаленного клиента до сервера PPTP пинг стабильно идет? попробуйте еще пинг с сервера до локального узла

да, стабильно ходит.

Адресация в сетях - разная ?
Попробуйте выдавать адреса и серверу и pptp-клиентам  из локальной сети за сервером.

@saTSGM:

нужно, чтобы Ваш сертификат был подписан аттестованным CA :

Хорошо. Возможно наша организация готова купить сертификат.
Только вот я не понял. Из ссылок приведенными Вами, едет речь по приобретению сертификата для доменного имени. Что наводит на мысль, это для собственного сайта, то есть типа другие смогут открывать наш сайт по https и при этом им браузер будет сообщать "тут безопасно )". А мне надо, чтобы наоборот, мы могли открывать "чужие" сайты по https, и при этом браузер не ругался или не предупреждал, как я описывал ситуацию выше с "красным крестиком". Может подскажете какой тут надо сертификат?

Подменяя сертификат для расшифровки https Вы осуществляете MITM-атаку . Вот для того , чтобы браузеры не ругались, Вам и необходим правильно подписанный сертификат. Как вы его подпишите - это уже Ваша забота.

Плюс, дайте угадаю, в Вашем конкретном случае речь идёт про диск Seagate, выложите пожалуйста, показания SMART - велика вероятность, что диску каюк.

@Alex-pmx:

Подскажите, что я упустил из виду?

Галку на Allow default gateway switching поставили ? Кстати, можно было группы для failover и не содавать. Должно работать и без явного создания.

https://forum.pfsense.org/index.php?topic=74756.msg408585#msg408585

первый скрин
1 строка - разрешен доступ SIP-сервера (192.168.1.150) к телефонам из других подсетей по 5060 порту, это только разрешит регистрироваться телефонам…
серверу лучше разрешить все UDP, а не один порт.
2 строка - чей IP не ясно... для чего нужен один порт RTP тоже не понятно

второй скрин
тут все норм - разрешаем ходить трафику в IPSec-тунеле... на втором шлюзе я так понял аналогично прописано?

скрин правил LAN и IPSec со второго шлюза покажите... и зачем вам proxd?