Пробовал сделать через Load Balancer, так IP в пуле не пингуется.

@Buffoon: @dvserg: Посмотрите форум поиском. Проблемы были и из-за MTU и из-за производительности железа. созвонился с техподдержкой узнал mtu изменил на нужный, но результат остался прежним. При пробросе rdp удаленный рабочий стол открывается как слайд шоу. Куда еще можно капнуть? К_о_пайте в сторону "железа". Смените сетевую карту, как вариант.

@Tosh: @netormoz: Тогда уточняющий вопрос? Почему решение через pcap-АГЕНТ кажется костылем? В моем понимании RemoteAgent от Netams, встроенный в pfSense является "костылем" для pfSense. То есть - это решение вопроса через неродные средства путем ковыряния во "внутренностях", что может быть черевато проблемами в дальнейшем при том же обновлении. Да и такой демон достаточно сложно элементарно мониторить через стандартные средства pfSense (элементарно запущен/нет, списки доступа): одно дело объяснить пользователю как нажать несколько кнопок в GUI, и совсем другое - попросить набрать какую-то команду в консоли - ощущаете разницу? Разработчики Netams применили классическую клиент-серверную схему (Netams-агентpcap). Агент скомпилирован статически - это просто один файл со всеми нужными библиотеками. При обновлении он не затрется и работоспособность его не нарушится. Уважаемый Rubic привел скриптинг для запуска агента как демона. Для того, чтобы демон не падал, и за ним смогла следить любая девочка через морду, нужно поставить supervisord по статье http://onfail.ru/post?id=52 Он поставится в /usr/local и при обновлении также не пострадает.

@netormoz: ip у l2tp и pptp  серверов провайдера разные? Теоретически можно попробывать настроить failover по статье, потом попробывать галку on-demand сразу на двух интерфейсах, а потом  только на одном. файловеру все равно как долбиться до шлюзов - через поднятый или опущенный интерфейс. Другое дело, как заставить подняться l2tp, когда отвалится pptp? если фокус со штатным on-deman не поможет, можно каждую минуту через cron поднимать интерфейсы принудительно. Провайдер все равно не даст обоим подняться - значит подниматься будет более шустрый или только работающий. Если такой алгоритм заработает, то минуту можно заменить 10 секундами через самописный скрипт с помощью цикла с командой sleep 10. Спасибо

@Hoper: 2. на WAN непонятно только это: block           WAN    0.0.0.0:68    255.255.255.255:67 UDP - у меня в DMZ нет DHCP сервера да и клиентов тоже неоткуда взять (все статика) В DMZ какой ни будь комп опрашивает кто там рядом есть. Совсем не обязательно что он хочет получить IP адрес. Например он хочет узнать у DHCP как выйти в интернет.

Разобрался. Была включена опция "Enable Static ARP entries" в "DHCP server".

Вообще у меня сейчас следующая связка на пк стоит pfsense в нем работает прозрачный прокси, PPPoE сервер, для каждого клиента конкретный ip, вот и думаю попробовать на строить шейпер по айпи

Спасибо, попробую. Судя по всему, оно действительно то, что мне нужно. Требование отсутствие GW - не технического, а административного характера, связано со спецификой работы. Бывает…

Вот так. PPTP у меня автоматом к WAN карточек прилепилась. Сначала это видно было, а сейчас почему-то нет… [image: nass.png] [image: nass.png_thumb]

@dvserg: @alexandrnew: добавил и с 127.0.0.1 - не помогло… создается впечатление, что лимитер работает для "проходящего" трафика.... как в  iptables- forward.... Входящий в pfSense трафик уже прибыл и ничего там шейпить не получится. Шейпить можно только исходящие пакеты вот я об этом и говорю… и при этом шейпить с осквида - тоже не выходит... результат - имеем дыру .... а исходящий трафик - выходит небольшой, запрос от сквида ушел и все.... вариантов, кроме как шейпить на шлюзе для данной машины - получается нету?

@werter: Каг бы вот - http://pfsense.thepackethub.co.za/downloads/old/ З.ы. 15-20 сек в гугле. Народ совсем обленился :( З.ы.ы. А с чего Вы взяли , что старые версии взлетят ? Проверяйте свое железо на работоспособность\совместимость(?) с pf. Было такое, ставил 1,2,3 версию аее потом апгрейдил, вре работает до сих пор. сразу 2,0,1 ставится тогда не хотела, была проблема с видеодрайвером.

Была такая проблема и на релизах решалась подпоркой из-под рута crontab -e 0-59 * * * * /sbin/ifconfig em0 up

@ABBaz: "Что делать?" Отключить Касперского :(

Jails(клетки), скорее момент безопасности как chroot

Всегда перед манипуляциями с сетью отключаю все брендмауэры - от родного микрософтовского до любых сторонних. Всегда.

@sayrax: Как анонсировать адреса? Я не могу понять как это будет проходит через роутер(pfsense),с пабликами. Роутеру все равно паблик/не паблик, главное, чтобы провайдеры знали, что ваша AS находится за вашим pfSense. Так что узнавать у провайдеров примут ли они от вас BGP-анонс, ставить на pfSense пакет OpenBGPD и курить маны.

@rubic: Ээ.. в общем забудьте. Вспомнил, что pfSense не поддерживает несколько шлюзов на одном интерфейсе. В этом и вся проблема. Странно конечно, но это так. Непонятный косяк на L2. Вот Packet capture с WAN шлюза 2 (машина за шлюзом 2 пингует машину за шлюзом 1): Вывод: если вам так принципиален OSPF, делайте VLAN между шлюзами (не факт, что даже тупой свитч порежет метки), либо поднимайте между ними туннель. Обнадеживающе…ладно...буду экспериментировать с чистой FreeBSD...Спасибо за помощь...

Подскажите, господа, Нужны ли приоритезировать трафик на ЛАНе? За 1.5 года таких проблем не возникало, что могло случиться сейчас? Ниже отмечены места, во время которых возникает описанная проблема [image: skitch.png?resizeSmall&width=832]

@o00oalex: А то экспериментировать на работающем роутере как-то не с руки. А иначе никак! Только пробовать. Если посмотреть http://www.thin.kiev.ua/router-os/50-pfsense/464-vhost.html  - Виртуальные хосты настраиваются на внешний IP И прочитать самое начало -  "Виртуальные хосты настраиваются на внешний IP" Можно предположить (на тот момент, я не проверял внешние запросы), что внешние запросы будут перенаправлены на внутреннюю страничку. И никто не мешает вам на этих страницах изменить HTML код как вам нужно.  ;)