@fedor-88: Торенты лучше блочить по layer7 там же есть кучу инструментов… Либо сессии резать по количеству и скорости... А зачем??? Не надо так делать. Лимитера по портам вполне хватает. Можно исп-ть QOS.

Пардон, начудил =)

UPD. проблему решил, снес 2.2.2, поставил 2.1 там postfix заработал моментально. видимо для 2.2.2 пакет еще жутко сырой

Никто походу не в курсе? Да еще bug нашел… После настройки pppoe сервера, при перезагрузке не поднимаются последняя конфигурация, а предлагает заново сконфигурировать интерфейсы!!! Без pppoe сервера загружается нормально нормально.

Первый раз такое слышу про сквид в пф. У Вас часом антивирус не прикручен ? Переходите на 3-ий сквид. http://www.cyberciti.biz/tips/howto-limit-squid-proxy-number-web-connections.html https://forum.pfsense.org/index.php?topic=60901.0

https://forum.pfsense.org/index.php?topic=79798.0 https://www.howtoforge.com/how-to-use-pfsense-to-load-balance-your-web-servers http://conheotiensinh.blogspot.ru/2009/09/load-balance-and-cluster-failover.html http://pfsensesetup.com/tag/load-balancing/

Добрый день! Хочу подключить к pfsense 2.1.5 amd64 данный модем. Прошил в HiLink (прошивка E3372Update_22.286.53.01.161_S_D_ADB_TLN_02). dmesg показывает: ugen0.4: <huaweimobile>at usbus0 umass0: <mass storage="">on usbus0 umass0:  SCSI over Bulk-Only; quirks = 0x0000 umass0:0:0 Attached to scbus0 (probe0:umass-sim0:0:0:0): TEST UNIT READY. CDB: 0 0 0 0 0 0 (probe0:umass-sim0:0:0:0): CAM status: SCSI Status Error (probe0:umass-sim0:0:0:0): SCSI status: Check Condition (probe0:umass-sim0:0:0:0): SCSI sense: UNIT ATTENTION asc:29,0 (Power on, reset, or bus device reset occurred) (probe0:umass-sim0:0:0:0): TEST UNIT READY. CDB: 0 0 0 0 0 0 (probe0:umass-sim0:0:0:0): CAM status: SCSI Status Error (probe0:umass-sim0:0:0:0): SCSI status: Check Condition (probe0:umass-sim0:0:0:0): SCSI sense: NOT READY asc:3a,0 (Medium not present) usbconfig -d ugen0.4 dump_device_desc ugen0.4: <huaweimobile huaweimobile="">at usbus0, cfg=0 md=HOST spd=HIGH (480Mbps) pwr=ON bLength = 0x0012   bDescriptorType = 0x0001   bcdUSB = 0x0210   bDeviceClass = 0x0000   bDeviceSubClass = 0x0000   bDeviceProtocol = 0x00ff   bMaxPacketSize0 = 0x0040   idVendor = 0x12d1 idProduct = 0x1566   bcdDevice = 0x0102   iManufacturer = 0x0001  <huawei_mobile>iProduct = 0x0002  <huawei_mobile>iSerialNumber = 0x0000  <no string="">bNumConfigurations = 0x0001 Получается у меня ID = 0x1566 (я правильно понимаю?). Меняю в usb_modeswitch -v 12d1 -p 1f01 -V 012d1 -P 014dс -M "55534243123456780000000000000a11062000000000000100000000000000" -W на 1566. Все остальное по инструкции, но ue0 не появляется после перезагрузки. $ netstat -rn Routing tables Internet: Destination        Gateway            Flags    Refs      Use  Netif Expire default            192.168.1.1        UGS        0    1396    re0 127.0.0.1          link#6            UH          0      16    lo0 192.168.0.0/24    link#2            U          0    1834    re1 192.168.0.1        link#2            UHS        0        0    lo0 192.168.1.0/24    link#1            U          0        0    re0 192.168.1.1        fc:aa:14:93:c4:03  UHS        0      852    re0 192.168.1.3        link#1            UHS        0        0    lo0 Скажите, какой вы прошивкой прошили свой модем? Правильно ли я меняю ID модема?</no></huawei_mobile></huawei_mobile></huaweimobile></mass></huaweimobile>

32 автоматом днслукап проставил, на данный момент вк и остальное блокируется хорошо, кроме фейсбук и твиттера… анонимайзеры и порно и оч многое закрыто блеклистом в фильтре, + в фильтре от меня дописаны сайты , блеклист www.shallalist.de

@rubic: https://forum.pfsense.org/index.php?topic=94929.msg527954#msg527954 Спасибо, заработало!  :D Оказывается у кого стоит версия i386, при обращении к pfsense через ipsec-тунель, чтобы не крашилась система, нужно добавить настройку: System->Advanced->System Tunables, жмем "+" Tunable - net.inet.ipsec.directdispatch Value - 0

google -> squid conf pfsense https://forum.pfsense.org/index.php?topic=5093.0

у меня с линуксами та же история с Hyper-V - всегда куда то убегает время. Решил скриптом ручной синхронизации ntp в кроне.

http://blog.martinshouse.com/2014/06/pfsense-auto-reboot-if-internet.html

@Bansardo: То есть существует правило в фаерволе самое первое, которое на 80 и 443 порты, типа антилок, в нем указываю гейт другого Wan подключения и все чтоли? Как быть если есть внутренние адреса сервера , которые подключаются тоже через 80 порт в браузере, НО в общем инете не доступны, а доступны только через подключение внутренней сети. При такой настройке 80 порт поедет через гейт инета, в итоге еррор. Например www.primer1.ru доступен только внутри сети через WAN1, а там где интернет, тоесть WAN2, доступа не будет. Какие порты использует комп при хождении в нете кроме 80 и 443? Про отказоустойчивость есть вопрос: существует модем 3G через который подключаются в случае выключения интернета у меня на фирме. Соответственно возможно ли сделать так, чтобы при отключении интернета, сенс подключал 3G интернет на определенные компы в сети автоматически? Да. Возможно галку надо будет поставить gateway switching. Не знаю как быть, схема внутренних адресов мне не понятна. Разве для доступа к внутренним сайтам задейстовано прохождение через шлюз? Для пример1.ру можно и отдельное правило сделать, у меня при моей схеме на один сайт тендера одно правило - ходить только через кабель (в route жёстко прописал). icmp, 53, 21, 22, 80, 443 (может забыл что) Возможно подключать модем, если для определённых компов написать соответствующее правило поведения шлюзов - cable_3Gmodem и указать их вес, тогда при отключении/включении провайдера PFsense сам будет регулировать кому через что ходить. И если память не изменяет, мне советовали (werter?) данные правила во floatings размещать.

Все победил, всем спасибо!

@dirar: @zhhh: @dirar: Все равно тоже самое. Пинги тоже то ходят, то нет. от удаленного клиента до сервера PPTP пинг стабильно идет? попробуйте еще пинг с сервера до локального узла да, стабильно ходит. Адресация в сетях - разная ? Попробуйте выдавать адреса и серверу и pptp-клиентам  из локальной сети за сервером.

@saTSGM: нужно, чтобы Ваш сертификат был подписан аттестованным CA : Хорошо. Возможно наша организация готова купить сертификат. Только вот я не понял. Из ссылок приведенными Вами, едет речь по приобретению сертификата для доменного имени. Что наводит на мысль, это для собственного сайта, то есть типа другие смогут открывать наш сайт по https и при этом им браузер будет сообщать "тут безопасно )". А мне надо, чтобы наоборот, мы могли открывать "чужие" сайты по https, и при этом браузер не ругался или не предупреждал, как я описывал ситуацию выше с "красным крестиком". Может подскажете какой тут надо сертификат? Подменяя сертификат для расшифровки https Вы осуществляете MITM-атаку . Вот для того , чтобы браузеры не ругались, Вам и необходим правильно подписанный сертификат. Как вы его подпишите - это уже Ваша забота.

Плюс, дайте угадаю, в Вашем конкретном случае речь идёт про диск Seagate, выложите пожалуйста, показания SMART - велика вероятность, что диску каюк.

@Alex-pmx: Подскажите, что я упустил из виду? Галку на Allow default gateway switching поставили ? Кстати, можно было группы для failover и не содавать. Должно работать и без явного создания. https://forum.pfsense.org/index.php?topic=74756.msg408585#msg408585

первый скрин 1 строка - разрешен доступ SIP-сервера (192.168.1.150) к телефонам из других подсетей по 5060 порту, это только разрешит регистрироваться телефонам… серверу лучше разрешить все UDP, а не один порт. 2 строка - чей IP не ясно... для чего нужен один порт RTP тоже не понятно второй скрин тут все норм - разрешаем ходить трафику в IPSec-тунеле... на втором шлюзе я так понял аналогично прописано? скрин правил LAN и IPSec со второго шлюза покажите... и зачем вам proxd?