pfSense 2.2.1 На 2.2 было то же самое. ВебИнтерфейс остается доступен и из оставшейся включенной LAN и со стороны обоих WAN. Так что какая-то мистика. Может что-то с данным железом не то, потому что pfSense на него не ставился до тех пор, пока не были подняты линки на всех сетевухах. Тупо зависал на 33%.

@kaleruka: 10.10.10.2 - rl0 virtual IP - default gateway wan1 10.10.10.1 - rl0 IP - default gateway wan0 как то так Уважаемый коллега, может быть все-таки проявите уважение к желающим Бесплатно ВАМ помочь и постараетесь для собственной выгоды? https://forum.pfsense.org/index.php?topic=29387.msg499710#msg499710 Если Вы не хотите потратить свое драгоценное время на объяснение, почему кто-то должен тратить его вместо Вас?

На LAN и WAN должна быть РАЗНАЯ адресация. Это понятно ? На WAN на трогайте свое DHCP, если вы уверены, что у вас там "белая" динамика. Создавайте на WAN Virtual IP с адресом из подсети Ubi. Затем в правилах Outbond NAT  - правило NATа с этим созданным virtual ip, где в destination будет подесть ubi. Это правило должно быть выше всех в Outbond NAT. И выкладывайте здесь скрины настроек virtual ip, outbond nat P.s. Ищите цикл статей "Сети для самых маленьких" P.p.s. Покажите скрин дефолтной страницы, к-ая сразу при входе в pfsense.

Проблема оказалась в 10Gb интерфейсах VirtIO, то ли проксмокс то ли пф косячит с дровами. Поменял на "обычные" сетевушки, два интела и реатек и все залетало [image: 1.jpg] [image: 1.jpg_thumb]

хм, немного не понял логику работы, но проблема решилась таких образом: Добавлю к исходным данным. интерфейсы: 2 физических 3 логических 1. LAN (eth0) - это внутренняя сеть DMZ 2. WAN (xl0) - это провайдер с PPPOE (1.2.3.4) 3. ATLPULL (xl0) - это статика провайдера (1.2.3.5) но поскольку провайдер выдал 8 IP остальные повесил на VirtualIPs (1.2.3.6,7,8,9…) и привязал их к интерфейсу ATLPULL В NAT указывал инт. ATLPULL как входящий и дальше выбирал IP из VirtualIPs как Destination и далее редирект -> внутренний сервер:порт Все работало для 80,443,3389(для теста :) )!!! Делаю копию правила для 53 порта - затуп :( Два дня бился, звонил провайдеру - ничего не блокируют (!67,68,1137-139,445 :) ) От безысходности решил сменить привязку VirtuslIPs, привязать их к WAN. Ну и соответственно в правиле NAT сменил интерфейс ATLPULL -> WAN OOOPS!!!  :o - ответило. По итогу оказалось, что надо было сразу привязку правила NAT делать к WAN (VirtuslIPs можно оставить на ATLPULL - как то логичнее)  

сделай сам ручками. самый простой способ. в General настройках Proxy server'а есть строчка - Bypass proxy for these source IPs. вот туда и записывай ip тех кому можно ходить в обход прокси через точку с запятой без пробелов. это костыль конешно, но зато временное решение, пока будешь познавать дзен с настройками групп пользователей. и таки да без скринов конфигов тут тебе никто не поможет. телепатов тут нет.

я могу сделать случайный 1/1?

Смотрите время на pfsense - http://www.cyberciti.biz/faq/display-date-and-time/ Если вы из РФ, то не забывайте что теперь есть RTZ

Настоятельно нерекомендую HAVP -  толку - почти 0 Ага, понял, спасибо. Просто откройте доступ всем на порт 443\TCP во вне в fw на LAN. Так и сделал страницы теперь все открываются. Разбираюсь дальше.

@werter: В смысле в кач-ве Gateway указываем группу LoadBalancing ? Я правильно понял? Да Далее  - "вес" WAN-интерфейсов у вас одинаков? нет, т.к. один интерфейс используется в другом мультиване, а второй нигде кроме этого. вес 1/4 И поставьте галки на Allow default gateway switching и Stickly connections. После этого сделайте Reset states Спасибо за подсказку, но это я делал еще когда аггрегировал каналы. во флоатингах у меня ничего кроме блока портов с 1025 по 65535 ибо торренты это зло. в guestlan правилах 2 правила - отдельно для tcp и udp с указанием только дефолт гетевея = моего мультивана(аггрегированного интерфейса) и выставленными лимитерами in/out. смысла делать из этого скрины совершенно никакого. это гостевая сетка, для клиентов, задача стояла только ограничить по траффику.

Жаль что установленного пфсенса под рукой сейчас нет. Но как я помню правила фаервола позволяют блокировать пакеты поступающие на интерфейс

@Konstantinus: Что-то решилось? У меня та же проблема. pfsense а за ним веб сервер. Порт не пробрасывает, так как 80-й занят самим роутером для веб-интерфейса. Смените порт pfsense.

https://208.123.73.68/index.php?topic=87441.0 Попытайтесь последовать советам. Однако велика вероятность, что это действительно баг с этим пакетом.

на WANе голый эзернет. Максимальный размер пакета я уже нашёл, и указал его в первом посту. И проблема исключительно внутри OpenVPN туннеля, всё остальное работает отлично.

А зачем вы вместо block исп. reject в правилах fw (пиктограмма "желтый х") ? Там стоит блокировка соцсетей. Если ставить block, то некоторые сайты очень тупят, т.к на них есть ссылки на  соцсети. Я на всех pfsense, которые ставлю, всегда выставляю гугловские dns. И кстати, форвардер использую тоже для того, что-бы не держать отдельный dns, хотя парк машин растет и начинаю задумываться, что-бы поставить на отдельный сервак dns. Последнюю неделю проблема не наблюдается. Похоже странности именно в резолвере, который ставится в 2.2 Сегодня на одной инсталляции пока не переключил с резолвера на форвардер (который был в старых версиях), интернет у клиентов не заработал, хотя vpn до головного сервера работали.

@Scodezan: Эм… а есть сервер статистики, где отмечается переход в ограниченый клас? В принципе да, я не настолько скрит-мастер что бы парсер написать(

Спасибо за ответ.

@gost370: Все оказалось проще, там уже все скомпилировано было. Мало ли кому пригодиться. Переделал Makefile в скрипт: install -m 755 ./bin/nrservice /usr/local/bin install -m 755 ./bin/nrclientcmd /usr/local/bin install -m 755 ./bin/nrclient.jar /usr/local/bin install -m 755 ./bin/nrclient.sh /usr/local/bin install -m 755 ./bin/rmnrclient.sh /usr/local/bin install -m 755 ./etc/rc.d/nrservice.sh /usr/local/etc/rc.d/ if [ ! -d /usr/local/ZebraNetworkSystems/NeoRouter ]; then mkdir -p /usr/local/ZebraNetworkSystems/NeoRouter; fi install -m 644 ./ZebraNetworkSystems/NeoRouter/nrclient.README /usr/local/ZebraNetworkSystems/NeoRouter В config.xml добавил <shellcmd>/usr/local/etc/rc.d/nrservice.sh onestart</shellcmd> в раздел систем <system>Еще надо добавить строчки в nrservice.sh (что бы после запуска службы перечитывались правила фаервола, 20 от балды с запасом) nrservice_start() { echo -n "Starting ${name} services: " /usr/sbin/daemon -f -p $pidfile $DAEMON >/dev/null & if [ $? -eq 0 ] then sleep 20 /etc/rc.filter_configure     echo "SUCCESS" else     echo "FAILED" fi } Покритикуйте костыль, пожалуйста. Надо что то придумать с мониторингом службы на предмет перезапуска после зависаний. но из опыта NR зависает редко (по крайней мере win и linux клиенты)</system> Добавлю для будущего себя)) Пара новых костылей))))) В версии 2.2 скрипт из /usr/local/etc/rc.d/ перестал запускаться. Пришлось перенести его в /usr/local/etc/rc.d/ И config.xml изменить строчку на <shellcmd>service nrservice onestart</shellcmd> в раздел систем <system>И чтобы это все не ругалось на билиотеку выполнить "pkg install gcc"</system>

Спасибо, буду иметь ввиду :)

@grommir: Вопрос именно в плане апгрейда, а не установке с нуля. У меня 2.1.5 - при обновлении до 2.2 слетал сквидгвард и отчеты. https://blog.pfsense.org/?p=1661