@malorik: Уважаемые друзья, Чтобы не плодить топ и вдруг не запостить офф-топ, я задам вопрос тут. У меня вопрос похожий но только у меня одна под-сеть, мне надо чтобы интернет раздавался и пользователи в этой сети не видели друг друга! Каким образом законфигурить FW? Спасибо! Настраивайте VLAN или VPN для пользователей в локалке. Никто никого видеть не будет при подключении.

Судя по логам - именно так  :) Подумаю об этом, но задача стоит немного другая в данный момент

Скрин правил fw на WAN покажите.

Все верно. Нельзя более одного исходящего pptp-подключения (пока что). Если у вас удаленный pptp-сервер один, то пускай pfsense поднимает к нему туннель - клиенты будут использовать его.

если не хотите OpenVPN - можете использовать L2TP. В настройках у клиента в выпадающем списке выбирается другой пункт, на сервере что делать - нагуглите.

скажу по опыту, настраивайте ваши тачки непосредственно на виндовый DNS. Машины в АД периодически регистрируются в DNS, если у них указан pfsense - регистрации на виндовом DNS не будет.

@aleksvolgin: При этом отправляя трафик на WAN-1 А как керио узнавал, какой траффик отправлять в WAN1? Вы ему это объяснили? правилами траффик заворачивается на нужный канал. –- А по теме: в 3Proxy, думаю это решаемо. спасибо, пробежался по мануалу 3Proxy, он действительно умеет делать цепочки родительских прокси, буду пробовать… интересно было узнать у опытных, есть ли схожий функционал именно в pfsense?

@aktec: @ZLoBNbIY: У меня была такая же задача-ограничение доступа к соц сетям и прочей лабуде, тоже долго тыркался с блэклистами-ничего не работало. Всю проблему решил по другому(обошелся без блек листов) С помощью TergetCategory -там просто прописал домены куда доступ запрещен и маски запрещенных файлов. Если надо могу поделиться скринами настроек. На данный момент все работает как надо! пробовал, правило созданное в TargetCategories тоже игнорируется Включите логи и смотрите что в них.

@6en9er: После обновы не заработала вся сетка :o путем тыканий нашел проблему в шейпере. Из за него и не работал проблемный ip. Так у Вас еще и шейпер ((  / facepalm /

можно смотреть расход траффика через встроенный пакет bandwidthd там всё весьма понятненько. Ставится в пару кликов.

Проблема в том, что у вас в обеих сетях одинаковая адресация. Плюс, пресловутое ограничение на pptp в самом pfsense - возможность поднять только одну pptp-сессию.

Решить проблему с подключение IPSec так и не смог. Пошёл иным путём: Создал GRE туннели на обоих шлюзах и прописал для них маршрутизацию. Вопрос закрыт.

ппц, все заработало ))) пятница была тяжелой. у меня тогда инет еще в 2х местах отвалился  ;D

@pigbrother: @dvserg: @alexandrnew: насколько я помню - если восстанавливаешь полный конфиг с настройками пакетов, а последние не установлены - то они автоматом ставятся. Хм.. подтвердить не могу, т.к. не сталкивался. Знаю только про автоматическую переустановку только после апдейта обновления системы. Подсовывал сохраненные конфиги от 2.0.х в 2.1.х Пакеты скачиваются и пытаются подхватить существующие в сохраненном конфиге настройки. Иногда требуется перезагрузка и\или повторное подсовывание конфига.. Во время переустановки желательно никаких настроек на pfSense не делать. Насколько удачно восстановятся "сложные" пакеты типа указанных ТС- не знаю, не пробовал, диагностические "переезжают" адекватно. Клонирование использовал для изготовления резервной pfSense, чтобы в случае необходимости можно было  просто переткнуть шлейф и питание в заранее вставленный в коробку с pfSense 2-й HDD. Этим издалека управлять проще, чем циклом установка-настройка-загрузка конфига. Спасибо, теперь буду знать.

@pigbrother: Diagnostics-> Backup/restore->Package Functions->Reinstall Packages. Пробовали? Можно, в принципе, откатиться до 2.1.3… Хотя если все работает, а до шлюза 5000 км - оставьте, как есть. Не, не успел попробовать, людям работать нуна… :) Сделал проще, сам pfSense на флешке, под моим чутким руководством, юзер развернул "стартовую" копию на флешку и всё... :) Юзеру, который на расстоянии в 5000 км., проще флешку поменять... :) Там, правда, ядро 2.1.3 но, это не страшно... Обновлю ядро... А вот с пакетами... Ну, старые ну и фиг с ними... Второй раз, на те же грабли.... Не охота чего-то... :)

@dvserg: При перезагрузке стираются данные о сессиях, поэтому требуется повторная авторизация. Почему это должно считаться багом? Это нормальное поведение любой системы. Разрядность i386 (32-bit) Вот нашол руководство по настройке pfSense 2.0 RC1 и там всё чётко Переводитса вроди как Save Interval — список активных и используемых ваучеров сохраняется в конфигурации каждые Х минут на случай перебоя в подачи электроэнергии. При отсутствии новых активаций сохранения не происходят. Вы можете ввести 0, чтобы никогда не создавать XML-конфиг. Из етого я так понимаю в ранних версиях ето было а теперь убрали но как ето повторить на новых версиях ? Убрали к стати вроди как баг изза которого чото там сканировали (или перхвачивали) и воровали ваучеры хакеры ето я так понял из статьи какойто о пф но не уверен так как было по англ написано ! Я не говорил што ето баг просто хочю включить ету функцыю которая ранее была, думаю может ковырнуть фаил портала но што и где там изменить хз ((( [image: f67f314eb630.jpg] up

http://pfsensesolution.blogspot.com/2012/12/pfsense-packages-list.html Apache with mod_security-dev     ModSecurity is a web application firewall that can work either embedded or as a reverse proxy. It provides protection from a range of attacks against web applications and allows for HTTP traffic monitoring, logging and real-time analysis. In addition this package allows URL forwarding which can be convenient for hosting multiple websites behind pfSense using 1 IP address. http://pfsensesetup.com/tag/apache-web-server/

Выгрузите настройки без пакетов . Там есть такая возможность. После восстановления из этого бэкапа ставьте необходимые вам пакеты.

@ pigbrother Нет. Он не дотягивает по нужным мне пунктам до pfsense. Хотя для простого софт-роутера - вполне неплох и All-in-one опять же.