@kaleruka:

10.10.10.2 - rl0 virtual IP - default gateway wan1
10.10.10.1 - rl0 IP - default gateway wan0
как то так

Уважаемый коллега, может быть все-таки проявите уважение к желающим Бесплатно ВАМ помочь и постараетесь для собственной выгоды?
https://forum.pfsense.org/index.php?topic=29387.msg499710#msg499710

Если Вы не хотите потратить свое драгоценное время на объяснение, почему кто-то должен тратить его вместо Вас?

На LAN и WAN должна быть РАЗНАЯ адресация. Это понятно ? На WAN на трогайте свое DHCP, если вы уверены, что у вас там "белая" динамика. Создавайте на WAN Virtual IP с адресом из подсети Ubi. Затем в правилах Outbond NAT  - правило NATа с этим созданным virtual ip, где в destination будет подесть ubi. Это правило должно быть выше всех в Outbond NAT.

И выкладывайте здесь скрины настроек virtual ip, outbond nat

P.s. Ищите цикл статей "Сети для самых маленьких"

P.p.s. Покажите скрин дефолтной страницы, к-ая сразу при входе в pfsense.

Проблема оказалась в 10Gb интерфейсах VirtIO, то ли проксмокс то ли пф косячит с дровами.
Поменял на "обычные" сетевушки, два интела и реатек и все залетало

1.jpg
1.jpg_thumb

хм, немного не понял логику работы, но проблема решилась таких образом:
Добавлю к исходным данным.
интерфейсы: 2 физических 3 логических
1. LAN (eth0) - это внутренняя сеть DMZ
2. WAN (xl0) - это провайдер с PPPOE (1.2.3.4)
3. ATLPULL (xl0) - это статика провайдера (1.2.3.5)
но поскольку провайдер выдал 8 IP остальные повесил на VirtualIPs (1.2.3.6,7,8,9…) и привязал их к интерфейсу ATLPULL

В NAT указывал инт. ATLPULL как входящий и дальше выбирал IP из VirtualIPs как Destination и далее редирект -> внутренний сервер:порт
Все работало для 80,443,3389(для теста :) )!!!
Делаю копию правила для 53 порта - затуп :(
Два дня бился, звонил провайдеру - ничего не блокируют (!67,68,1137-139,445 :) )

От безысходности решил сменить привязку VirtuslIPs, привязать их к WAN. Ну и соответственно в правиле NAT сменил интерфейс ATLPULL -> WAN
OOOPS!!!  :o - ответило.

По итогу оказалось, что надо было сразу привязку правила NAT делать к WAN (VirtuslIPs можно оставить на ATLPULL - как то логичнее)


сделай сам ручками.
самый простой способ. в General настройках Proxy server'а есть строчка - Bypass proxy for these source IPs. вот туда и записывай ip тех кому можно ходить в обход прокси через точку с запятой без пробелов.
это костыль конешно, но зато временное решение, пока будешь познавать дзен с настройками групп пользователей. и таки да без скринов конфигов тут тебе никто не поможет. телепатов тут нет.

я могу сделать случайный 1/1?

Смотрите время на pfsense - http://www.cyberciti.biz/faq/display-date-and-time/

Если вы из РФ, то не забывайте что теперь есть RTZ

Настоятельно нерекомендую HAVP -  толку - почти 0

Ага, понял, спасибо.

Просто откройте доступ всем на порт 443\TCP во вне в fw на LAN.

Так и сделал страницы теперь все открываются. Разбираюсь дальше.

@werter:

В смысле в кач-ве Gateway указываем группу LoadBalancing ? Я правильно понял?

Да

Далее  - "вес" WAN-интерфейсов у вас одинаков?

нет, т.к. один интерфейс используется в другом мультиване, а второй нигде кроме этого. вес 1/4

И поставьте галки на Allow default gateway switching и Stickly connections. После этого сделайте Reset states

Спасибо за подсказку, но это я делал еще когда аггрегировал каналы.
во флоатингах у меня ничего кроме блока портов с 1025 по 65535 ибо торренты это зло.

в guestlan правилах 2 правила - отдельно для tcp и udp с указанием только дефолт гетевея = моего мультивана(аггрегированного интерфейса) и выставленными лимитерами in/out. смысла делать из этого скрины совершенно никакого. это гостевая сетка, для клиентов, задача стояла только ограничить по траффику.

Жаль что установленного пфсенса под рукой сейчас нет. Но как я помню правила фаервола позволяют блокировать пакеты поступающие на интерфейс

@Konstantinus:

Что-то решилось? У меня та же проблема. pfsense а за ним веб сервер. Порт не пробрасывает, так как 80-й занят самим роутером для веб-интерфейса.

Смените порт pfsense.

https://208.123.73.68/index.php?topic=87441.0

Попытайтесь последовать советам. Однако велика вероятность, что это действительно баг с этим пакетом.

на WANе голый эзернет.
Максимальный размер пакета я уже нашёл, и указал его в первом посту. И проблема исключительно внутри OpenVPN туннеля, всё остальное работает отлично.

А зачем вы вместо block исп. reject в правилах fw (пиктограмма "желтый х") ?

Там стоит блокировка соцсетей. Если ставить block, то некоторые сайты очень тупят, т.к на них есть ссылки на  соцсети.
Я на всех pfsense, которые ставлю, всегда выставляю гугловские dns.
И кстати, форвардер использую тоже для того, что-бы не держать отдельный dns, хотя парк машин растет и начинаю задумываться, что-бы поставить на отдельный сервак dns.

Последнюю неделю проблема не наблюдается. Похоже странности именно в резолвере, который ставится в 2.2
Сегодня на одной инсталляции пока не переключил с резолвера на форвардер (который был в старых версиях), интернет у клиентов не заработал, хотя vpn до головного сервера работали.

@Scodezan:

Эм… а есть сервер статистики, где отмечается переход в ограниченый клас?

В принципе да, я не настолько скрит-мастер что бы парсер написать(

Спасибо за ответ.

@gost370:

Все оказалось проще, там уже все скомпилировано было. Мало ли кому пригодиться. Переделал Makefile в скрипт:

install -m 755 ./bin/nrservice /usr/local/bin
install -m 755 ./bin/nrclientcmd /usr/local/bin
install -m 755 ./bin/nrclient.jar /usr/local/bin
install -m 755 ./bin/nrclient.sh /usr/local/bin
install -m 755 ./bin/rmnrclient.sh /usr/local/bin
install -m 755 ./etc/rc.d/nrservice.sh /usr/local/etc/rc.d/
if [ ! -d /usr/local/ZebraNetworkSystems/NeoRouter ]; then mkdir -p /usr/local/ZebraNetworkSystems/NeoRouter; fi
install -m 644 ./ZebraNetworkSystems/NeoRouter/nrclient.README /usr/local/ZebraNetworkSystems/NeoRouter

В config.xml добавил <shellcmd>/usr/local/etc/rc.d/nrservice.sh onestart</shellcmd> в раздел систем <system>Еще надо добавить строчки в nrservice.sh (что бы после запуска службы перечитывались правила фаервола, 20 от балды с запасом)

nrservice_start()
{
echo -n "Starting ${name} services: "
/usr/sbin/daemon -f -p $pidfile $DAEMON >/dev/null &
if [ $? -eq 0 ]
then
sleep 20
/etc/rc.filter_configure
    echo "SUCCESS"
else
    echo "FAILED"
fi
}

Покритикуйте костыль, пожалуйста.
Надо что то придумать с мониторингом службы на предмет перезапуска после зависаний. но из опыта NR зависает редко (по крайней мере win и linux клиенты)</system>

Добавлю для будущего себя))
Пара новых костылей)))))
В версии 2.2 скрипт из /usr/local/etc/rc.d/ перестал запускаться. Пришлось перенести его в /usr/local/etc/rc.d/
И config.xml изменить строчку на <shellcmd>service nrservice onestart</shellcmd> в раздел систем <system>И чтобы это все не ругалось на билиотеку выполнить "pkg install gcc"</system>

Спасибо, буду иметь ввиду :)

@grommir:

Вопрос именно в плане апгрейда, а не установке с нуля. У меня 2.1.5 - при обновлении до 2.2 слетал сквидгвард и отчеты.

https://blog.pfsense.org/?p=1661

@juceser:

Не подскажите куда копать чтобы увидеть внутреннюю сетку, а затем и инет?

Из вашего поста непонятно как вы все настроили.
В статье, которую вы привели, второй интерфейс (LAN) работает в режиме "виртуальный адаптер хоста" - если я правильно прочел мануал, то в этом режиме гостевые ОС могут общаться только с хостом и с другими гостевыми ОС на этом хосте, но выхода во внешнюю сеть у них не должно быть. Исходя из этого я сделал вывод, что человек поставил к себе на машину pfsense как "личный" фаервол.
На картинке я схематично изобразил свое видение вашей ситуации. Если возникнут вопросы по настройке - пишите в тему, обсудим.
И если вас не затруднит, удалите пжта свой 2-й пост, он огромен и бесполезен.

??????.JPG
??????.JPG_thumb