@Wh1te: Друзья, подскажите как настроить редирект внешнего траффика на внешний IP ? Т.е при подключении к серверу из интернета должна идти переадрисация на другой сервер в интернете Client - > PF Sense ext ip:port (eg 1.1.1.1:80 -> Internet ip:port ( eg 2.2.2.2:80) Пробовал через port forwarding, но переадресация там работает только на внутренние адреса. Для чего исп-ся такая схема ? Спасибо за ответ.

через pbi тоже не работает - структура каталогов слишком разная, плюс половина бинарников хэлперов в 3.3 отсутствует как класс. скрипты управляющие запуском/остановкой подозреваю содержат кривые пути, плюс куча костылей поналеплена (в виде линков) которые тоже разные в разных версиях, в общем задница полная. тогда такой вопрос - морда и скрипты генерятся из .xml файлов, так? если их тоже взять из старой версии и затереть ими текущие? по идее тогда и морда должна конфиг адекватный генерить начать, и пути в скриптах выправятся? ну может пару костылей ещё придётся забить, но адин хрен сенс это и так костыль на костыле, костылём погоняющий, судя по содержимому пакетов сквида например.

Пинги с роутера [image: 6.png] [image: 6.png_thumb] [image: 7.png] [image: 7.png_thumb] [image: 8.png] [image: 8.png_thumb] [image: 9.png] [image: 9.png_thumb]

В конфигурации bridge + proxy arp логика net.link.bridge.pfil_bridge и net.link.bridge.pfil_member не работает, т. к.: The packets destined to the bridging host will be seen by the filter on     the interface with the MAC address equal to the packet's destination MAC. http://www.freebsd.org/cgi/man.cgi?query=if_bridge&apropos=0&sektion=0&manpath=FreeBSD+8.1-RELEASE&format=html Т. е. трафик в вашем случае всегда фильтруется на интерфейсе моста, а чтобы дополнительно фильтровать его на интерфейсах-членах нужно установить net.link.bridge.pfil_local_phys=1 https://redmine.pfsense.org/issues/729

Решил обе задачи одним разом - в свойсвах сетевого адаптера в гостевой ОС установил tcp checksum offload (ip4) = disable все заработало и скорость до 100 Мб\сек

Мухи - отдельно, котлеты - отдельно. Используйте Urbackup, BareOS (форк Bacula, есть веб-фейс - http://www.bacula-web.org/gallery.html ) - отличные продукты. Под freenas есть urbackup (в виде jail-контейнера) - https://forums.freenas.org/index.php?threads/urbackup-and-freenas-8-3-backup-and-windows-baremetal-restore-fantastic-solution.9823/ Возьмите старенькую машинку, гигабитную сетевую, два или более винтов. Воспользуйтесь той же ubuntu 14.04 LTS, cобрав при установке softraid уровня 1 , 5, 6, 10 (в зависимости от ваших требований). После этого разверните на ней ту же BareOS, Urbackup. Или все тоже самое + флешка + freenas + urbackup (в виде jail-контейнера). И pfsense в кач-ве всего остального. Самое главное - это о п ы т.

возникла маленькое не удобство с режимом  "unfiltred", так то она работает все норм. как то программисты по 1С-ке попросили соединить через сеть клиентов через программу Ammyy Admin - решение для удаленного доступа к компьютеру через Интернет!. Я сам не сторонник таких программ для таких дел, но им нужно было сделать доступ, так было решено. Вот тут и возникли проблемы через "unfiltred" все клиенты которым доступ был (Все и Вся) не могли работать с этой программой.. решение было такое в группе ACLs во всех вкладышах с     Pics     Phrase Lists     Site Lists     URL Lists     Extension Lists     Content Lists     Header     Searche Engine создал правило и там указал Exception, а ужу в Groups выставил значение Filter Group Mode= Filtered.. после тем пользователям который был полный доступ так же могли гулять где хочу и работать с программкой Ammyy.. удачи Всем …

@dvserg: Установить stargazer на pfsense https://www.google.ru/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8#newwindow=1&q=%D1%83%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0+stargazer+%D0%BD%D0%B0+pfsense Вот спасибо!!!) Теперь есть куда копать. Это я, что то тупанул, искал pfsense+ubilling, а надо было pfsense+stargazer.  :D

Ага, только всетаки есть одно но, которое правда не мешает потом подключиться и его пофиксить, без него там в сети не работает инет, шлюз по умолчанию остается старый, потом можно подключиться и через веб интерфейс сменить умолчания на новый.

@werter: заставляет использовать в кач-ве шлюза интерфейс, а не next-hop. Типа как в *nix команда route add x.x.x.x dev eth1 Выбор шлюза в настройках интерфейса на системную таблицу маршрутов никак не влияет, но в некоторые pf правила добавляет опции route-to/reply-to. Т. е. получается policy routing на gateway средствами pf, который и мешает в данном случае, т. к. осуществляется в обход системной маршрутизации.

http://pfsensesetup.com/unbound-dns/ http://pfsensesetup.com/unbound-dns-additional-settings/

Web сервер идет сразу за интерфейсом или через провайдера? Приходилось решать вопросы о проблемах MTU с одним очень известным провайдером (всего у меня около 30 подключений у различных провайдеров, у того с кем были проблемы их 9). Доказывать что "Ты не осел" приходилось ооочень долго. Мне помогло то, что много разных подключений, и я графиками мониторинга (пинги, потери, загрузка канала), скринами результатов (tcpdump, tracert) смог доказать что косяк у них, не зависит от моих настроек и оборудования. Было "весело". Долгая была история. Можно посмотреть эту статью http://habrahabr.ru/post/136871/ - может натолкнет на мысль. А так вообще находил "черный дыру" MTU от 1400 до 1472, при меньшем пакет проходил, при большем говорил о необходимости дефрагментации, а при MTU в рамках этой "дыры" - "превышен интервал…." Нужно искать где может быть проблема, и если путь до web сервера немаленьких (и часть пути не Ваша) - то ответ может найтись далеко не сразу. Если путь весь Ваш, - рисуйте схему, обозначайте где стоят firewall'ы (именно на них часто эти проблемы), коммутаторы, - обозначьте какие mtu на каких интерфейсах и проверьте их тем же ping'ом. Если все прошло хорошо, тогда нужно проверить MSS (maximum segment size) - также рисуем какие где значения и проверяем их (может где-то искусственно занижено, или vpn-тоннель где-нибудь идет через интерфейс с заниженным mtu). Информации в сети об этом достаточно даже на русском. Нужно пробовать, искать - тогда все получится  :)

Сервера с публичными IP вынесите в отдельную DMZ сеть с отдельным Bridge интерфейсом без NAT.

нет, версия не 2.2 помогло вот что: Option 12 - playback removeshaper

@rogerx1911: В общем капец, я в шоке, заработало. Не торопитесь ничего отвечать. С моей проблемой столкнулись бы, жареный бы клюнул. Позже опишу подробно И когда же случится Ваше раскаяние? Ешё позже? PS Чтоб жаренный клюнул, особые наркотики нужны. Оно не каждому доступно.

сейчас пойду поставлю  в рабочую сеть, посмотрю еще раз

@Antonio_Grande: Друзья, если на 2.1.5 у кого без проблем будет  эта связка - отпишите, пожалуйста. В ноябре прошлого года поставил эту связку, после очередного обновления установленный squid сглючил. Переделывал все с нуля, поэтому решил сразу 3ий поставить + IPCAD, правда повозился пока разбирался, но вроде работает и после рестарта роутера тоже проблем не наблюдается: [image: test.JPG] [image: test.JPG_thumb]

http://community.spiceworks.com/topic/341371-pfsense-quagga-ospf https://www.dtbnet.com/category/pfsense/

Верно. А еще можно назначать "вес" шлюзу. Например, если один канал имеет меньшую скорость, чем другой или важность\приоритет. Так же не забудьте про Stickly connections и про Limiter. Иначе вам торрентами канал забьют. P.s. Я бы еще IDS Suricata прикрутил  на случай, если у пол-лей что-то заведется и начнет канал кушать - http://pfsensesetup.com/tag/suricata/

Спасибо, попробую создать группы на латинице и добавить туда пользователей.