-R - это рекурсивный поиск учетной записи по AD ? Если это так, то можно попробовать без -R обойтись, добавив в фильтр поиск по группе, в к-ой находится ваш пол-ль. Попробуйте так : /usr/local/libexec/squid/squid_ldap_auth -v 3 -R -b "dc=mydomen,dc=local,cn=Users" -D adadmin@mydomen.local -w Passw0rd -f "sAMAccountName=%s" -u cn -P 192.168.100.201:389 <логин> <пароль> или так : /usr/local/libexec/squid/squid_ldap_auth -v 3 -R -b "dc=mydomen,dc=local,ou=Users" -D adadmin@mydomen.local -w Passw0rd -f "sAMAccountName=%s" -u cn -P 192.168.100.201:389 <логин> <пароль> Проверьте только правильность написания и путь к группе с вашим пол-ем!

@fil23: на с чет отключения прямого прохождения трафика , это значит в FireWall - rules , на wan интерфейсе правило дефолтное надо убить? Да, Firewall. Только на WAN ничего трогать не нужно. Все настраиваете на LAN.

да, статистику проверяю в lightsquid - как только я в браузере указываю адрес прокси и порт , то статистика начинает капать. Сквид пробовал ставить в разных режимах и в прозрачном и не в прозрачном, трафик через него не проходил

Поправочка. Пытался скомпилировать драйвера на отдельной freebsd 10 stable, таже самая ошибка но, удалось установить ndisulator https://github.com/NDISulator/ndisulator/tree/master и с помощью команды ndisload -p -s /root/rt2860.sys -n test_dev -v 0x1814 -d 0x5592 появился дейвайс, сейчас пробую тоже самое проделать в pfsense Пытаюсь установить: ndisload.c:26:23: fatal error: sys/cdefs.h: No such file or directory #include <sys cdefs.h="">^ compilation terminated. *** Error code 1 Stop. make[1]: stopped in /root/ndisulator-master/src/usr.sbin/ndisload *** Error code 1</sys> Беда Подставил include [2.2-ALPHA][root@pfse.localdomain]/root(1): cd /root/ndisulator-master [2.2-ALPHA][root@pfse.localdomain]/root/ndisulator-master(2): make cd src/usr.sbin/ndisload && make Warning: Object directory not changed from original /root/ndisulator-master/src/usr.sbin/ndisload gcc49 -O2 -pipe  -I. -I/root/ndisulator-master/src/usr.sbin/ndisload -I/root/ndisulator-master/src/usr.sbin/ndisload/../../sys/compat/ndis -std=gnu99  -fstack-protector  -c ndisload.c gcc49 -O2 -pipe  -I. -I/root/ndisulator-master/src/usr.sbin/ndisload -I/root/ndisulator-master/src/usr.sbin/ndisload/../../sys/compat/ndis -std=gnu99  -fstack-protector  -c /root/ndisulator-master/src/usr.sbin/ndisload/../../sys/compat/ndis/subr_pe.c gcc49 -O2 -pipe  -I. -I/root/ndisulator-master/src/usr.sbin/ndisload -I/root/ndisulator-master/src/usr.sbin/ndisload/../../sys/compat/ndis -std=gnu99  -fstack-protector  -o ndisload ndisload.o subr_pe.o -ll /usr/local/bin/ld: cannot find -ll collect2: error: ld returned 1 exit status *** Error code 1 Stop. make[1]: stopped in /root/ndisulator-master/src/usr.sbin/ndisload *** Error code 1 Stop. make: stopped in /root/ndisulator-master Теперь застрял на этом

как-то не айс получается. Вроде и чудес не надо, а просто сделать не выходит.

Много ли ваших настроек в самом сквиде (acl, правила etc.) ? Как вариант - установить 2.1.4 i386 и посмотрев в любом текстовом редакторе файл конфига с 1.2.3 руками добавить эти правила.  Это не быстро , но уж оч. у вас древняя версия pfsense.

Попробуйте руками от сюда https://files.pfsense.org/packages/8/All/ поставить по-старее версию.

@olegsenin: Ок. А какими тогда правилами фаервола можно тупо завернуть трафик на проксю? (хочу сделать список правил для определенных юзеров) Сделайте прозрачный прокси и посмотрите какие правила в PF. По аналогии сделайте свои.

@lex: Имею Pfsense 2.1 +LDAP(AD авторизация) +squid3+LightSquid, периодически появляется ошибка squid в браузере, при посещении любых веб страниц…(22) Invalid argument. На скрине vk.com, думаю проблема то в итоге только с ним. Сегодня сам столкнулся с подобным, проблема в том что у vk в днс запросах отдаются ipv6 адреса, а squid шибко умный и пытается ломится туда. Вариантов лечения в отсутствие настроенного ipv6 два, можно и оба сразу, хуже не будет, в окне custom настроек: # Lookup first ipv4 dns servers dns_v4_first on # default outgoing if for all tcp_outgoing_address 127.0.0.1

@dvserg: @Vinsente: большинство ссылок вело на http://pootle.pfsense.org.br/ru/ сей сервер уже длительное время в лежачем положении. может остались зеркала с локалями? Ух ты-ж.. Ну вечером поищу в архивах свой последний перевод. Прошу, дайте перевод пожалуйста и инструкцию как его применить, если там что-то изменилось

вот пара скринов https://www.dropbox.com/s/j6oi40667sj7xo8/%D0%A1%D0%BA%D1%80%D0%B8%D0%BD%D1%88%D0%BE%D1%82%202014-08-18%2015.42.49.png https://www.dropbox.com/s/w4e8mu9u7nmogra/%D0%A1%D0%BA%D1%80%D0%B8%D0%BD%D1%88%D0%BE%D1%82%202014-08-18%2015.43.49.png

А как коррелирует подключение к прову и какой-то радиомост? Вы хотите сказать, что если косячит РРРоЕ сервер на сенсе, то косячность нападает и на РРРоЕ клиента? С бздёй всё так чудесато…

Вообще люблю отвечать сам себе на поставленые вопросы. … поковыряв конфиги и почитав маны отвечаю: все тупо просто. На счет аутентификации по LDAP через SQUID в Proxy server: Authentication- LDAP base domain  в поле нужно включать в ковычках .... т.е. так "dc=terra,dc=local"  , но можно и невключать второй мемент ... при запросе на аутентификацию .. в поле логин нужно вводить просто логин ... а не логин@домен или домен\логин  - в этом кстати и был косяк на который я потратил 5 часов )))))

@pigbrother: Source port должен быть any=не задан, а не 80. в комментарии к Source port range написано: Specify the source port or port range for this rule. This is usually random and almost never equal to the destination port range (and should usually be "any"). Спасибо заработало.

@kraskoshnyy: Всё равно правила не работают. Банально выбираю запретить всем хожить наружу по wan - не работает так тыж запрещаешь только TCP. пинги по imcp пролетают. запрещай сразу все, чего мелочится?

@Onigma: Доброго времени суток. Интересует возможность установки более старой версии пакета IMSpector из Package Manager. PFSense 2.0.1 Старой в каком плане? Поставьте то что есть, затем сделайте руками в консоли pkg_delete текущую / pkg_add - нужную версию. При этом GUI останется нетронутым. Правда вопрос с путями логов и конфигурационных файлов в старой и новых версиях остается открытым.

@xoma922: Было бы ещё неплохо узнать что именно я сделал, указав state: none. То же самое, о чем я говорил в начале. Нет state - нет проблемм с асимметричной маршрутизацией. Пожалуйста. Добро пожаловать в клуп извращенцев))

@NetWiz: а как это сделать из пфсенса непосредственно? кстати, у буржуев интересное кино. у чела на работе и дома один провайдер. с работы идет, с дома нет…. hideme.ru дает бесплатный тестовый доступ на сутки. Есть настройки под OVPN. PPTP под pf лучше не использовать. Eсли поговорить с поддержкой - могут дать тестовый доступ и на дольше. Будет нужна помощь в настройке - помогу.

@rubic: squid идет через шлюз по умолчанию (wan2), поэтому cmyip.com показывает ip wan2 <direction>in</direction> <quick>yes</quick> <floating>yes</floating> на squid никак не влияет. Ему помогло бы <direction>out</direction>, но только в версях pfSense до 2.1. В 2.1.x не лечится никак Этот ответ считаю как резолюция. получается при 2 и более wan подключений, весь трафик ни как не получится направить к определенному абоненту\alias. Тема закрыта.