2 vitektm Смотрите логи pfsense

@VLK: Возможно ли поднять pfSense на Микротике (в данном случае RB1100AHx2)? Интересуют все варианты - как с использованием виртуализации (MetaROUTER), так и полноценная замена RouterOS. pFsense расчитан на работу на процессоре  x86 архитектуры. чтобы он заработал на других процессорах нужно всего лишь соответствующее ядро собрать. в принципе это вполне доступно.  но не понятна цель. проще dd-wrt купить и поставить. есть сборки на платформу микротик.  тестовый период сутки, потом лицензию покупать надо.

@SergeyRDW: @SergeyRDW: @werter: Покажите скрины настроек - fw (LAN\WAN\IPSEC), gateway groups, etc в данный момент нет возможности, но скажу сразу на обоих PfSense в Firewall для LAN, WAN*, IPSec разрешено все ото всюду во все стороны. кому интересно, с версией pfsense 2.1.5 разобрался - при переключении c WAN1 <-> WAN3 на WAN2 <-> WAN3 на машине с WAN3 не удалялась старая настройка SPD (см. Status: IPsec: SPD) и не появлялась новая, вылечилось методом установки "Policy Generation" = "on" в секции "VPN: IPsec: Edit Phase 1", по умолчанию "Policy Generation" = "default". Но в pfsense версии 2.2 этой опции ненашел, и проблема опять с SPD. Кто знает как релизовать мой вопрос в версии 2.2 ? Всем , привет! В продолжении темы. Теперь следующий вопрос: При обрыве основного канала WAN1 <-> WAN3 происходит переключение на резервный WAN2 <-> WAN3, и все нормально работает, а далее при переключении с резервного WAN2 <-> WAN3 на основной WAN1 <-> WAN3 соединение сначала устанавливается (секунд на 10-15), а потом "падает", хотя в логах видно что есть стабильное подключение по основному каналу, WAN1 и WAN2 объединены в группу, и в настройках указанно использовать именно эту группу. НО при переносе конфига на другой pfsense все начинает нормально работать (переключение между обоими каналами), с единственным отличием, что на другом pfsense "убивается" не существующий интерфейс (на одну сетку мешьше), и "убиваются" "Virtual IP" созданные в "Firewall: Virtual IP Address" - "IP Alias". подскажите что не так? :'(

Пусть себе Клиент и хочет белый ip-шник  :) Кто же против то?!  ;) Я и написал, что лично мне не понятна цель (хостинг, свои нужны), - есть варианты решения? - есть. @Scodezan: @dima_k: Если от провайдера приходит всего один кабель - так заведите его сразу на коммутатор с поддержкой VLAN'ов, и уже там направляйте на сколько хотите хостов в рамках выделенного адресного пространства. Для мониторинга-управления этого коммутатора тогда либо VLAN из локалки, либо присвоить один из "белых" адресов. Какую тут схему выбрать решайте из своих требований к безопасности. Стоило б спросить может ли его концентратор с поддержкой VLAN, запретить серверам, допустим, подключаться к портам 25,110. Есть задача - подбирается решение, исходя из ресурсов (людские/материальные) и сроков @Scodezan: @dima_k: К тому же, можно использовать виртуальные адреса на одном физическом интерфейсе pfSense, можно использовать VLAN'ы на самом pfSense. Да, подробнее, пожалуйста, как? Опять же - цели. Если есть желание и возможность фильтровать трафик на одном pf все-таки без проброса белых ip - то почему бы и нет - родительский интерфейс для vlan'ов, к нему назначаем дочерние. Если же задача в том, что именно фильтровать трафик при коммутации пакетов - тут другое решение, и pfSense тут не поможет (на сколько я знаю). @Scodezan: @dima_k: Также не совсем понял как в итоге должно выглядеть. Представьте, Вы предоставляете в аренду виртуальный хостинг. Клиент хочет белый IP, Вы ж это дело проворачиваете нелегально и желаете хоть как-то себя обезопасить. С этой целью и рассматриваете какой-то фильтр по скорости и тп Желание обезопасить себя должно быть закреплено в договоре оказания хостинг-услуг (и это уже и будет тогда вполне легально, если Вы зарегистрированы в качестве поставщика этой услуги и платите налоги), если к Вам приходит 100Мбит, а Вы выдаете клиентам по 2 Мбита по договору, то "какой-то фильтр по скорости и тп" приходится использовать. Тот же виртуальный хостинг, допустим, с использованием гипервизоров и виртуальных машин - все это делается элементарно средствами самого гипервизора: и ограничение по скорости, и фильтрация, и предоставление хоть серого, хоть белого ip. Все сводится к схеме: цели-средства-результат. Мне непонятны мотивы, о средствах ни слова, но нужен результат. Какой вопрос - такой ответ.

Все проверено, адресация не совпадает - уже почти 10 лет работает  :) (на pf не все эти годы, но все же) Если в remote network стоит 0.0.0.0, то весь трафик будет заворачиваться в туннель. Верно. Это нужно, это работает. Проблема в том, что в туннель попадает трафик, который относится к lan адресу pfsense. Что я имею в виду: с pfsense пингуется localhost; с pfsense lan адрес и любой адрес из его же локальной сети не пингуется, собственно потому и отвались некоторые сервисы, которые находятся в локальной сети: это доменный контроллер и прокси zabbix'а (повторюсь, при отключенном ipsec это все работает и работало на прежних версиях с включенном ipsec). Прохождение пакета в pf? Ответ, например, тут https://forum.pfsense.org/index.php?topic=73670.0 По моим результатам получается, что я спрашиваю: "кто такой localhost?" - ответ pf: "Я!" Вопрос:"кто такой по lan ip (настроен как статика на порту em0)" - ответ pf: "Не Я!", и отправляет его в ipsec-тоннель, т.к. его ip попадает в пространство 0.0.0.0/0. Да и собственно, да и если даже теоретически представить, что такой же ip есть в удаленной сети, то это не должно влиять, т.к. pf обязан понять что это адрес принадлежит также и ему. По ссылке выше есть схема, где есть блок условия "to me?", и он выше таблицы маршрутизации, и я совершенно согласен. что это правильно. Я это все к чему - я не понимаю в чем может быть причина, когда я задал локальному интерфейсу ip, допустим, 10.0.0.1, а pf мой запрос по этому адресу (даже не только с компа локальной сети, но и через web (Diagnostics-Ping или Diagnostics-Command Promt), и из терминала) уходит в тоннель. Уважаемый werter, я настроен позитивно - ни капли негатива если что  :) попытался объяснить, что все по максимуму постарался проверить, а ехать переустанавливать неблизко, резервного канала и второго белого ip нет. Хочется выслушать идеи, если есть. Что в таком случае можно проверить? Как я понимаю нужно смотреть на уровне ядра т.к. не проходит проверка принадлежности ip адреса к списку адресов, которые присвоены интерфейсам на pfsense.

@dvserg: Поднять туннель VPN между офисами. @zga029: Здравствуйте, подскажите пожалуйста, как настроить-объединить два офиса? Офис №1 pfsense 2.2 pppoe wan 111.111.111.111 OPT1 10.0.5.1/24 (выдал провайдер для объединения двух сетей) lan 192.168.20.0/24 Офис №2 pfsense 2.2 pppoe wan 222.222.222.222 OPT1 10.0.5.2/24 (выдал провайдер для объединения двух сетей) lan 192.168.2.0/24 провайдер один и тот же OPT интерфейсы с двух сторон пингуются. провадейр сказал укажи что за 10.0.5.1/24 есть сеть 192.168.20.0/24 и наоборот, тогда скорость будет до 100 мб/с Как правильно реализовать? IPsec туннель или есть какой нибудь другой вариант? Да, поднять любой VPN. Причем проверить, что будет лучше\стабильнее\быстрее - туннель между OPT или между WAN. Как вариант, провайдер уже настроил маршрутизацию для сети 192.168.20.0/24 за 10.0.5.1/24. Что, кстати,то про сеть за 10.0.5.2/24? Узнайте детали у него, возможно будет обойтись сменой адресации для локальных сетей, заданной провайдером и добавлением на pfSense маршрутов без поднятия VPN.

Спасибо друзья. Извиняюсь за глупый вопрос. выставил правило ICMP  и Оп-п-па!…

Подскажите следующее если тема жива, пробую настроить по данному скрипту но ничего не получается, проблема в том что у меня DNCP и DNS сервера на контролере домена отдельно на машине и в /etc/hosts у меня только локальные имена pfsense.

https://forum.pfsense.org/index.php?topic=86635

@gudy: Спасибо всем за помощь, все задачу решил, все работает. Моя была ошибка в том, что я заморочился на маршрутизации и совсем забыл про правила фаервола, думал, что если все разрешу будет работать. В общем всем спасибо, пока разобрался, все работает как надо. В правилах разрешил только то что можно, остальное все закрыл. Следующей задачей, хочу завести еще одного провайдера и настроить балансировку с приоритетом трафика, но это тема следующего топика. Можно было просто не разрешать. Явно запрещать при просто схеме не нужно.

Вам надо, чтобы Вин7 выходила через пф в интернет ? Или чтобы ваша реальная машина выходила через пф в интернет ? Если первое, то пробуйте: pfsense : 1. WAN пф - это NAT на вашу реальную сетевую 2. LAN пф -  Виртуальный адаптер хоста (Host-only) В fw на LAN pfsense - разрешено всё всем и по всем протоколам. Скрин этого правила покажите здесь И отключите блокирование "серых" сетей на WAN в pf. Вин7: LAN - внутренняя сеть, т.е. доступная др. вирт. машинам и хосту. В кач-ве шлюза - ip-адрес LAN pfsense. В кач-ве DNS - ip-адрес LAN pfsense\ google DNS. LAN pf и LAN Вин7 находятся, ес-но,  в одном адресном пространстве.

@ABBaz: @werter: OpenVPN "Не хочу использовать сторонний софт… нужно чтобы работало из коробки в окнах" "Еще раз. Не ищите себе приключений и лишних забот. Я уверен, что у ваших пол-лей намного больше ненужного стороннего ПО, чем OpenVPN." Но все- таки из коробки проще. До этого я пользовался SHREW SOFT VPN CLIENT но с 2.2 это не удается Считайте, что OpenVPN - это "из-коробки" ::)

Господа… отбой. для мульти WAN только dynamic dns., FQDN в общем DNS не работает. Как я понял: клиент по FQDN получает несколько IP,  и видать каждый раз разные (DNS имеет свойство обновляться). dynamic dns возвращает только 1 IP, но при падении канала обновляет на необходимый (на данный момент активный), потом racoon рестартится и получает нужный. на данный момент канал поднят уже как мин 20-30 )

Проблема решилась определением жесткого диска на "Контроллер 1 IDE" после дисковода, а вот на нулевом почему то не хочет… вот такой вот баг.

@venom177: Задал интерфейсам OPT и WAN адреса гейтов для этих сетей(62.140.253.126/30 и 213.79.116.147/29) Странно почему, OPT и WAN, а не LAN и OPT, впрочем ладно. Таблицу маршрутизации смотрим Diagnostics\Routing. Что до отключения fw, не знаю как в pf, но zentyal после этого перестаёт выполнять выполнять функции роутера. А вообще, по мне фигнёй маетесь, если Вам надо локально потестить возможности железок, Вы можете WAN портам дать адреса из одной подсети, соединив через хаб. Остальное можно порешать после…

@Vlad71: Еще момент такой, сеть на wan-порту (частная не интернет) 20.xxx.xxx.xxx а LAN 192.168.1.1 Тогда отключать надо вlock bogon networks. Есть ещё маршрутизаторы/провайдеры на пути(схема подключения состоит из одной прямой линии)? Возможно ли изменение схемы, адресации?

@werter: Я что-то пропустил или у ТС есть гипервизор ? Будет. :-)

Еще в этой же конфигурации (через прокси) обратил внимание на то, что после обрыва соединения туннель не восстанавливается, приходится перезапускать службу. После RTFM добавил в файл конфига``` keepalive 10 180 Может, кому-то из начинающих (как я) эта инфа пригодится.

Действительно, забыл dns, вот, что значит свежий взгляд! Спасибо.