@Profik:

интерфейсе PF надо вписать логин и пароль провайдера (vpn) , сервак без инета стоит, только DHCP присвоен провайдером.

Ну почему всегда нужно догадываться о сути вопроса? :)

2 Silencerun

1. Правила, разрешающего ICMP между впн-клиентами у ТС нет.
2.

правило на разрешение хождения трафика С ван порта в лан порт - необходимо, подключение впн идет на ван порт, а дальше у него нет правила на проброс в лан.

А причем тут трафик между впн-клиентами и то что Вы предлагаете ? И что именно Вы предлагаете? Какой еще проброс в ЛАН ?! Бред какой-то. Поднимите у себя ВПН-сервер на pf (это не долго)и проверьте предлагаемое мною решение. Удивитесь, что оно работает.

@rubic:

@VOLKOV:

трабла в том что на pfSense нет жесткой настройки хранения пользовательских конфигов.
В настройках сервера там где Advanced configuration: первой строкой прописываем следующее:
"client-config-dir /home/openvpn/ccd" - где "/home/openvpn/ccd" путь на каталог с пользовательскими конфигами.

Все это делается через GUI в Client Specific Overrides, не надо никаких файлов создавать, pfSense их сам создаст в /var/etc/openvpn-csc
И в Advanced configuration тоже ничего этого писать не надо.

а в каком поле указывать там static ip и username? username в common name? а ip в tunel network так же с маской 192ю168ю0ю3/24 ??

@oss:

можно поподробнее, зашел firewall->VirtualIps пропписал ИП переделал проброс портов и ничего не сдвинулось

у тебя несколько wan ip? если да, то создаешь VIP - Type IP Alias дальше сам Ip и описание.

Дальше вместо WAN в Фаервол нат выбираешь  дистанэйшн свой Ip алиас

Приведенное USB-устройство заработает "из коробки"?

А на это вы обратили внимание?

EU.MARK USB 10/100M RJ45 Ethernet Network Adapter Dongle (MosChip MCS7830)

Поддержка этого чипа заявлена во фряхе. Хотите работу "искаропки" ставьте роутер на линуксе.

Спасибо за категоричный ответ.

За совет роутера на Линуксе - отдельное спасибо.

Я ставил себе ProFTPd - работает как глухонемой. Сохранил себе на всякий случай ресурсы которыми пользовался при установке:
http://www.opennet.ru/base/net/proftpd_setup.txt.html
http://forum.pfsense.org/index.php/topic,14532.0.html
http://www.proftpd.org/docs/

Ставил себе эту версию:
pkg_add -r http://ftp2.freebsd.org/pub/FreeBSD/ports/amd64/packages-8.2-release/All/proftpd-1.3.3d.tbz

Конечно пришлось немного помучиться с конфигом, но зато когда всё настроилось, я вообще про него забыл - всё просто работает и больше вообще ничего от меня не хочет.

ЗЫ: Поставил ещё и Самбу - для локального пользования она конечно удобней.

Большое спасибо всем за ответы. Отпишусь, как закончу настройку.

Появилась новая идея.
Есть для kerio скрипт прозрачной аутентификации. http://sysadmins.ru/topic371781.html
имеем:
Шлюз, можно даже без прокси
распространенный скрипт в домене по средством ГПО.
Пользователь входит в домен и одновременно идентифицируется по средством скрипта на шлюзе. Шлюз сопоставляет имя и ip адрес пользователя и дальше уже работает с ip адресом пользователя. А в отчете будет отражаться имя пользователя.

Вообще можно даже сделать так аутентификация на самом шлюзе, шлюз записывает имя=IP и открывает доступ в интернет безо всяких прокси. а ipcad мог бы считать трафик ну и т.д.

@NegoroX:

Помогло то помогло, токо теперь новый вопрос а как в оверрайдах прописать домен на русском языке?
У меня pfsense как то с русскими буквами совсем не дружит
конвертер punycode тебе поможет :  http://2ip.ru/punycode/?PHPSESSID=9rc816fem67lhsqcr89c198mv7

Ок. спс

Ага, оказалось, что у меня таки кривые руки :(
Соответственно - следующие советы новичкам при настройке дубля pfSense в случае, когда вы не можете просто отключить старый и не спеша работать под его адресом:
1. Выясните подробности подключения вашего действующего устройства. У нового устройства на момент настройки в параллель к действующему должны быть ВСЕ параметры WAN аналогичны старому (gateway, broadcast, mask), кроме ip  (другой, но незанятый из диапазона предоставленного провайдером  вашей организации). По прежнему не работает? Свяжитесь с инженером поддержки провайдера. Очень может быть, что провайдер пускает в сеть только заранее известные ему МАС адреса и вам надо сообщить ему этот адрес.
Все эти подробности выясняются через веб-морду старого и нового устройства командой
Diagnostic: Execute command
в поле command набиваете ifconfig -a и видите описание всех ваших интерфейсов, включая, к примеру:
fxp0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
options=209b <rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum,wol_magic>ether 00:02:b3:8a:8d:ef
inet 22.122.228.22 netmask 0xfffffff8 broadcast 22.122.228.29
Здесь маска соответствует указанию во время настройки интерфейса через консоль 29 бита маски… Учтите это, хотя многие привыкли по настройкам внутренней сети к маскам строго кратных 256...
Также крайне полезна команда
Diagnostic: DNS Lookup
запрашиваете в нем заранее известное имя типа www.yandex.ru и смотрите на время отклика ваших указанных в настройках System: General setup набору адресов DNS серверов и использованныъх при этом gateway... Возможно этот список нуждается в изменении...
Ну и Diagnostic: Ping вам тоже в помощь...
После того, как откликнутся DNS сервера и будет правильно разрешено имя www.yandex.ru - то у вас должен появиться список доступных пакетов в System: Packages -> Available packages. Подключаете использованные в старом устройстве и можно будет накатить поправленную вручную старую конфигурацию - в ней заменяете имена сетевых интерфейсов и адреса под новое устройство. После этого, если потребуется, можно будет устроить upgrade версии pfSense и спокойно оттестировать новое устройство... У вас есть резерв... Сменить адрес WAN на значение старого, если вы решите вывести его из работы будет делом нескольких минут...</rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum,wol_magic></up,broadcast,running,simplex,multicast>

Попробуйте ntop.

@Bansardo:

Есть предложения почему не дает зайти на веб интерфейс телефона?
Главное на 1.10 заходит, на веб интерфейс самого сенса, а на 1.151 не хочет…

Нашел решение проблемы записав подсеть 192.168.1.0/24 в разделе прокси Bypass proxy for these destination IPs. Правильно это или нет?

Dist - это назначение, из любой подсети в 192.168.1.0/24 можно все. А не прощще обьявить впн подсети и сделать рульку на порт веб морды пфсенса из первой подсети? Хотя кому-как удобно :)

Нужно смотреть Status: Gateways в момент когда все это происходит. Возможно OPT1GW остается в Online. Это, кстати, довольно вероятный сценарий, если в Monitor IP на OPT1GW пусто. От головного офиса до провайдера все работает, а от провайдера до филиала - лежит, но вы этого не видите.

@impulse:

В принципе freebsd поддерживает i386 c более чем 4 Гб ОЗУ с помощью включения опции ядра PAE. Но при этом не будут работать драйвера устройств которые не поддерживают PAE.

9.6.1. Конфигурации с большим количеством оперативной памяти (PAE)

спасибо за хороший ман! пока что будем тестировать амд64… если будут проблемы - будем пробывать пересобирать.

Сегодня заглянул на работу, вин 2003 сервер пястрил неведомой мне ошибкой что то типа "недопустимая ошибка процессора STOP" и "виртуальная машина прекрати свою работу…" ввобщем виртуалка таки не прекратила свой "процесс" и нормально работала, но чудеса меня ждали, запустил на виртуалке браузер и он мигом вылез в инет, что же было так и не понял, перезапускал виртуалку, всё нормально, почему не пускал в инет так и не понял

Только не забывайте о :

Warning

The "chattr" line above makes the replacement file "immutable". This means that the file cannot be overwritten, prevents the loss of this modification in the event of a system update.

However, this may cause updates provided by Citrix to fail at the point of installation. An alternative approach would be leave the file unprotected, and re-applying this modification after Citrix-supplied updates have been applied.

The remove the protection from the file, do the following:

# chattr -i /usr/lib/xen/bin/qemu-dm

Т.е. ОБЯЗАТЕЛЬНО (!) перед обновлением гипервизора снять защиту с файла, к-ый Вы перед этим модифицировали. Не забудьте об этом.

@werter:

Пардон за мой французский, но на кой ляд Вам 8 гб ОЗУ для пф ?! Вы что пф собираетесь использовать для n-тысяч пол-ей в кач-ве провайдерского узла (или NAS + биллинг отдельно)?
У меня на 1 Гб ОЗУ более 100 клиентов и по нагрузке в статистике никогда даже 50 % загрузки по памяти не видел.

у меня 300 клиентов + на нем планируется Asterisk + FTP.

Ну и впринципе - было выделено 30.000 рублей на сервер под PFsense, вот и собрали с запасом. У нас гос учереждение и с финансированием нет проблем.
сервак asus 1u 4 интеловские гиговые сетевушки + ipkvm + 4 WD enterprise в раиде 10м 8 гб 1666 памяти, вообщем самое оно для шлюза :)

что бы понятнее было, у нас стойка сановских хранилок даже есть :)

======================================================

p.S Проблему решил закинув ключи с созданого СА сертефиката.

Все понятно…  :-\  Всем спасибо.