-R - это рекурсивный поиск учетной записи по AD ? Если это так, то можно попробовать без -R обойтись, добавив в фильтр поиск по группе, в к-ой находится ваш пол-ль.

Попробуйте так :

/usr/local/libexec/squid/squid_ldap_auth -v 3 -R -b "dc=mydomen,dc=local,cn=Users" -D adadmin@mydomen.local -w Passw0rd -f "sAMAccountName=%s" -u cn -P 192.168.100.201:389
<логин> <пароль>

или так :

/usr/local/libexec/squid/squid_ldap_auth -v 3 -R -b "dc=mydomen,dc=local,ou=Users" -D adadmin@mydomen.local -w Passw0rd -f "sAMAccountName=%s" -u cn -P 192.168.100.201:389
<логин> <пароль>

Проверьте только правильность написания и путь к группе с вашим пол-ем!

@fil23:

на с чет отключения прямого прохождения трафика , это значит в FireWall - rules , на wan интерфейсе правило дефолтное надо убить?

Да, Firewall. Только на WAN ничего трогать не нужно. Все настраиваете на LAN.

да, статистику проверяю в lightsquid - как только я в браузере указываю адрес прокси и порт , то статистика начинает капать.

Сквид пробовал ставить в разных режимах и в прозрачном и не в прозрачном, трафик через него не проходил

Поправочка. Пытался скомпилировать драйвера на отдельной freebsd 10 stable, таже самая ошибка но, удалось установить ndisulator https://github.com/NDISulator/ndisulator/tree/master и с помощью команды ndisload -p -s /root/rt2860.sys -n test_dev -v 0x1814 -d 0x5592 появился дейвайс, сейчас пробую тоже самое проделать в pfsense

Пытаюсь установить:

ndisload.c:26:23: fatal error: sys/cdefs.h: No such file or directory #include <sys cdefs.h="">^ compilation terminated. *** Error code 1 Stop. make[1]: stopped in /root/ndisulator-master/src/usr.sbin/ndisload *** Error code 1</sys>

Беда

Подставил include

[2.2-ALPHA][root@pfse.localdomain]/root(1): cd /root/ndisulator-master [2.2-ALPHA][root@pfse.localdomain]/root/ndisulator-master(2): make cd src/usr.sbin/ndisload && make Warning: Object directory not changed from original /root/ndisulator-master/src/usr.sbin/ndisload gcc49 -O2 -pipe  -I. -I/root/ndisulator-master/src/usr.sbin/ndisload -I/root/ndisulator-master/src/usr.sbin/ndisload/../../sys/compat/ndis -std=gnu99  -fstack-protector  -c ndisload.c gcc49 -O2 -pipe  -I. -I/root/ndisulator-master/src/usr.sbin/ndisload -I/root/ndisulator-master/src/usr.sbin/ndisload/../../sys/compat/ndis -std=gnu99  -fstack-protector  -c /root/ndisulator-master/src/usr.sbin/ndisload/../../sys/compat/ndis/subr_pe.c gcc49 -O2 -pipe  -I. -I/root/ndisulator-master/src/usr.sbin/ndisload -I/root/ndisulator-master/src/usr.sbin/ndisload/../../sys/compat/ndis -std=gnu99  -fstack-protector  -o ndisload ndisload.o subr_pe.o -ll /usr/local/bin/ld: cannot find -ll collect2: error: ld returned 1 exit status *** Error code 1 Stop. make[1]: stopped in /root/ndisulator-master/src/usr.sbin/ndisload *** Error code 1 Stop. make: stopped in /root/ndisulator-master

Теперь застрял на этом

как-то не айс получается. Вроде и чудес не надо, а просто сделать не выходит.

Много ли ваших настроек в самом сквиде (acl, правила etc.) ? Как вариант - установить 2.1.4 i386 и посмотрев в любом текстовом редакторе файл конфига с 1.2.3 руками добавить эти правила.  Это не быстро , но уж оч. у вас древняя версия pfsense.

Попробуйте руками от сюда https://files.pfsense.org/packages/8/All/ поставить по-старее версию.

@olegsenin:

Ок. А какими тогда правилами фаервола можно тупо завернуть трафик на проксю? (хочу сделать список правил для определенных юзеров)

Сделайте прозрачный прокси и посмотрите какие правила в PF. По аналогии сделайте свои.

@lex:

Имею Pfsense 2.1 +LDAP(AD авторизация) +squid3+LightSquid, периодически появляется ошибка squid в браузере, при посещении любых веб страниц…(22) Invalid argument.

На скрине vk.com, думаю проблема то в итоге только с ним. Сегодня сам столкнулся с подобным, проблема в том что у vk в днс запросах отдаются ipv6 адреса, а squid шибко умный и пытается ломится туда.

Вариантов лечения в отсутствие настроенного ipv6 два, можно и оба сразу, хуже не будет, в окне custom настроек:

# Lookup first ipv4 dns servers dns_v4_first on # default outgoing if for all tcp_outgoing_address 127.0.0.1

@dvserg:

@Vinsente:

большинство ссылок вело на http://pootle.pfsense.org.br/ru/
сей сервер уже длительное время в лежачем положении.
может остались зеркала с локалями?

Ух ты-ж..
Ну вечером поищу в архивах свой последний перевод.

Прошу, дайте перевод пожалуйста и инструкцию как его применить, если там что-то изменилось

вот пара скринов
https://www.dropbox.com/s/j6oi40667sj7xo8/%D0%A1%D0%BA%D1%80%D0%B8%D0%BD%D1%88%D0%BE%D1%82%202014-08-18%2015.42.49.png
https://www.dropbox.com/s/w4e8mu9u7nmogra/%D0%A1%D0%BA%D1%80%D0%B8%D0%BD%D1%88%D0%BE%D1%82%202014-08-18%2015.43.49.png

А как коррелирует подключение к прову и какой-то радиомост? Вы хотите сказать, что если косячит РРРоЕ сервер на сенсе, то косячность нападает и на РРРоЕ клиента? С бздёй всё так чудесато…

Вообще люблю отвечать сам себе на поставленые вопросы. … поковыряв конфиги и почитав маны отвечаю: все тупо просто.

На счет аутентификации по LDAP через SQUID
в Proxy server: Authentication- LDAP base domain  в поле нужно включать в ковычках .... т.е. так "dc=terra,dc=local"  , но можно и невключать
второй мемент ... при запросе на аутентификацию .. в поле логин нужно вводить просто логин ... а не логин@домен или домен\логин  - в этом кстати и был косяк на который я потратил 5 часов )))))

@pigbrother:

Source port должен быть any=не задан, а не 80.

в комментарии к Source port range написано:

Specify the source port or port range for this rule. This is usually random and almost never equal to the destination port range (and should usually be "any").

Спасибо заработало.

@kraskoshnyy:

Всё равно правила не работают. Банально выбираю запретить всем хожить наружу по wan - не работает

так тыж запрещаешь только TCP. пинги по imcp пролетают. запрещай сразу все, чего мелочится?

@Onigma:

Доброго времени суток. Интересует возможность установки более старой версии пакета IMSpector из Package Manager. PFSense 2.0.1

Старой в каком плане? Поставьте то что есть, затем сделайте руками в консоли pkg_delete текущую / pkg_add - нужную версию. При этом GUI останется нетронутым. Правда вопрос с путями логов и конфигурационных файлов в старой и новых версиях остается открытым.

@xoma922:

Было бы ещё неплохо узнать что именно я сделал, указав state: none.

То же самое, о чем я говорил в начале. Нет state - нет проблемм с асимметричной маршрутизацией.
Пожалуйста. Добро пожаловать в клуп извращенцев))

@NetWiz:

а как это сделать из пфсенса непосредственно?

кстати, у буржуев интересное кино. у чела на работе и дома один провайдер. с работы идет, с дома нет….

hideme.ru дает бесплатный тестовый доступ на сутки. Есть настройки под OVPN. PPTP под pf лучше не использовать. Eсли поговорить с поддержкой - могут дать тестовый доступ и на дольше.
Будет нужна помощь в настройке - помогу.

@rubic:

squid идет через шлюз по умолчанию (wan2), поэтому cmyip.com показывает ip wan2

<direction>in</direction>
<quick>yes</quick>
<floating>yes</floating>

на squid никак не влияет. Ему помогло бы <direction>out</direction>, но только в версях pfSense до 2.1. В 2.1.x не лечится никак

Этот ответ считаю как резолюция.
получается при 2 и более wan подключений, весь трафик ни как не получится направить к определенному абоненту\alias.
Тема закрыта.