@svjat-orb said in Шлюз закрыл доступ к 443 порту извне: доступа нет Здравствуйте попробуйте поменять порт веб интерфейса PF с 443 на что-нибудь другое После этого настройте проброс портов заново

@rline said in Клиенты VPN peer-to-peer не видят сеть за сервером.: FreeBSD rout add command failed: Думаю , что тут есть ответы на Ваши вопросы про ошибку OpenVpn при добавлении нового маршрута в таблицу маршрутизации https://forum.netgate.com/topic/71110/freebsd-route-add-command-failed-external-program-exited-with-error-status-1/2 а так , судя по всему , у Вас сервер ничего не знает про клиентскую сеть 172.16.113.0/24 , поэтому рекомендую проверить таблицы маршрутизации с обеих сторон туннеля

@Ilyuha Подключитесь к PF через последовательный порт , тогда сможете увидеть , что происходит в момент сбоя и скопировать для анализа , очень интересен стек вызовов , когда система "падает"

@werter В догонку еще можно добавить , что GPON предполагает появление еще одного устройства на пути пакета . Получится ли это устройство перевести в режим моста , вопрос остается открытым . Если сейчас у ТС подключение через Ethernet кабель , я бы лично не стал бы отказываться от него .... Если есть тут возможность увеличить скорость канала ( даже не так значительно в цифрах) , я бы рассмотрел бы этот вариант в первую очередь торрентами можно забить любой канал , да и серверу с PF ,возможно , что придется несладко при увеличении нагрузки ....

Подниму тему, хотя наверное немного и то. Надеюсь поправят. Итак, ситуация на вложенном изображении Spoiler [image: 1729149262373-pfsense-sip-error-multiwan.jpg] В 1-ом случае "внешний" SIP-телефон почему-то проброшен на IAX порт, хотя он работает по портам SIP. Такое видел один раз, но не факт, что не проскакивает в принципе. Ниже указанные правила в экране. Как видим Asterix (это уже не старая коробка, как раньше, а последняя версия на FreePBX на новом Ubuntu) с IP ....0.151 мы отправляем на WAN1 в MiltiWAN, поскольку перепрыгивания между WAN оператором телефонии расцениваются как DDOS-атака и нас банили. Аналогично IAX туннель в других офисах настроен на наш WAN1. Во 2-ом и 3-ем случае мы видим задвоение. В результате IAX туннель висит наглухо и пока не убьёшь одно из соединений - не восстанавливается. Вот так всё работает стабильно. Ничего ручками не маршрутизируем или перебрасываем. Spoiler [image: 1729175453286-pfsense-sip-multiwan.jpg] Такая ситуация тянется не первый год на PfSense. Раньше мы не понимали, почему только в нашем офисе такие затупы канала и грешили на АТС. В результате чего просто перегружали её. После замены АТС, стало понятно, что дело именно в PfSense! Соответственно вопрос - почему так происходит с пробросом портов? Что-то не так зеркалится? Как можно поправить? UPD Ситуация получило развитие. В разделе "Состояния" порты 4569 на наши транки ВООБЩЕ перестали показываться с определённого времени. Вот буквально на той недели было, а со вчера нет. За то мы видим странную запись 192.XXX.XXX.1:4569 -> 192.XXX.XXX.61:80 со статусом FIN_WAIT_2:FIN_WAIT_2 Этот тем страннее, что по данному IP стоит вообще другой сервер и он ТОЧНО на 4569 НЕ ХОДИТ!!! Но ходит по портам 45690 и 45692 и т.д.

@Spics Добрый. Попробуйте обратиться в ТП прова по выбору железки и на форумах типа nag.ru поспрашивать.

@nzlv Как я Вам говорил , используйте Apple Configurator для таких настроек . Все четко и наглядно (у Вас несовпадение комбинации настроек фазы 1 ) Для примера фаза 1 PF / Apple Configurator [image: 1726689665330-6a6ae4a9-1ddb-41dc-9e0d-f56e855490b6-image-resized.png] [image: 1726689713783-68bf900b-c05c-48e6-847a-7d4592a5933a-image.png] все совпадает , фаза-2 аналогично и соединение успешно устанавливается Вы используете стандартного клиента Apple , который использует свои собственные настройки фазы-1 / фазы-2 , и эти настройки просто не совпадают с Вашими

Всем доброго времени суток, не могли бы вы мне подсказать как мне настроить мой существующий впн, с радиусом в ад, настроить на маке.) Сертификат поставил, настройки прописал, но не подключается. Вот лог на пфсенсе. @Konstanti отзовитесь пожалуйста если видите это) Spoiler Sep 18 12:35:09 charon 54184 11[NET] <3481> received packet: from 178.176.76.143[29056] to 81.5.119.144[500] (604 bytes) Sep 18 12:35:09 charon 54184 11[ENC] <3481> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ] Sep 18 12:35:09 charon 54184 11[CFG] <3481> looking for an IKEv2 config for 81.5.119.144...178.176.76.143 Sep 18 12:35:09 charon 54184 11[CFG] <3481> candidate: 81.5.119.144...0.0.0.0/0, ::/0, prio 1052 Sep 18 12:35:09 charon 54184 11[CFG] <3481> found matching ike config: 81.5.119.144...0.0.0.0/0, ::/0 with prio 1052 Sep 18 12:35:09 charon 54184 11[IKE] <3481> local endpoint changed from 0.0.0.0[500] to 81.5.119.144[500] Sep 18 12:35:09 charon 54184 11[IKE] <3481> remote endpoint changed from 0.0.0.0 to 178.176.76.143[29056] Sep 18 12:35:09 charon 54184 11[IKE] <3481> 178.176.76.143 is initiating an IKE_SA Sep 18 12:35:09 charon 54184 11[IKE] <3481> IKE_SA (unnamed)[3481] state change: CREATED => CONNECTING Sep 18 12:35:09 charon 54184 11[CFG] <3481> selecting proposal: Sep 18 12:35:09 charon 54184 11[CFG] <3481> no acceptable ENCRYPTION_ALGORITHM found Sep 18 12:35:09 charon 54184 11[CFG] <3481> selecting proposal: Sep 18 12:35:09 charon 54184 11[CFG] <3481> no acceptable ENCRYPTION_ALGORITHM found Sep 18 12:35:09 charon 54184 11[CFG] <3481> selecting proposal: Sep 18 12:35:09 charon 54184 11[CFG] <3481> no acceptable ENCRYPTION_ALGORITHM found Sep 18 12:35:09 charon 54184 11[CFG] <3481> selecting proposal: Sep 18 12:35:09 charon 54184 11[CFG] <3481> no acceptable INTEGRITY_ALGORITHM found Sep 18 12:35:09 charon 54184 11[CFG] <3481> selecting proposal: Sep 18 12:35:09 charon 54184 11[CFG] <3481> no acceptable ENCRYPTION_ALGORITHM found Sep 18 12:35:09 charon 54184 11[CFG] <3481> received proposals: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1536, IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 Sep 18 12:35:09 charon 54184 11[CFG] <3481> configured proposals: IKE:AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024 Sep 18 12:35:09 charon 54184 11[CFG] <3481> looking for IKEv2 configs for 81.5.119.144...178.176.76.143 Sep 18 12:35:09 charon 54184 11[CFG] <3481> candidate: 81.5.119.144...0.0.0.0/0, ::/0, prio 1052 Sep 18 12:35:09 charon 54184 11[IKE] <3481> remote host is behind NAT Sep 18 12:35:09 charon 54184 11[IKE] <3481> received proposals unacceptable Sep 18 12:35:09 charon 54184 11[ENC] <3481> generating IKE_SA_INIT response 0 [ N(NO_PROP) ] Sep 18 12:35:09 charon 54184 11[NET] <3481> sending packet: from 81.5.119.144[500] to 178.176.76.143[29056] (36 bytes) Sep 18 12:35:09 charon 54184 11[IKE] <3481> IKE_SA (unnamed)[3481] state change: CONNECTING => DESTROYING Sep 18 12:35:09 charon 54184 11[NET] <3482> received packet: from 178.176.76.143[29056] to 81.5.119.144[500] (604 bytes) Sep 18 12:35:09 charon 54184 11[ENC] <3482> parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ] Sep 18 12:35:09 charon 54184 11[CFG] <3482> looking for an IKEv2 config for 81.5.119.144...178.176.76.143 Sep 18 12:35:09 charon 54184 11[CFG] <3482> candidate: 81.5.119.144...0.0.0.0/0, ::/0, prio 1052 Sep 18 12:35:09 charon 54184 11[CFG] <3482> found matching ike config: 81.5.119.144...0.0.0.0/0, ::/0 with prio 1052 Sep 18 12:35:09 charon 54184 11[IKE] <3482> local endpoint changed from 0.0.0.0[500] to 81.5.119.144[500] Sep 18 12:35:09 charon 54184 11[IKE] <3482> remote endpoint changed from 0.0.0.0 to 178.176.76.143[29056] Sep 18 12:35:09 charon 54184 11[IKE] <3482> 178.176.76.143 is initiating an IKE_SA Sep 18 12:35:09 charon 54184 11[IKE] <3482> IKE_SA (unnamed)[3482] state change: CREATED => CONNECTING Sep 18 12:35:09 charon 54184 11[CFG] <3482> selecting proposal: Sep 18 12:35:09 charon 54184 11[CFG] <3482> no acceptable ENCRYPTION_ALGORITHM found Sep 18 12:35:09 charon 54184 11[CFG] <3482> selecting proposal: Sep 18 12:35:09 charon 54184 11[CFG] <3482> no acceptable ENCRYPTION_ALGORITHM found Sep 18 12:35:09 charon 54184 11[CFG] <3482> selecting proposal: Sep 18 12:35:09 charon 54184 11[CFG] <3482> no acceptable ENCRYPTION_ALGORITHM found Sep 18 12:35:09 charon 54184 11[CFG] <3482> selecting proposal: Sep 18 12:35:09 charon 54184 11[CFG] <3482> no acceptable INTEGRITY_ALGORITHM found Sep 18 12:35:09 charon 54184 11[CFG] <3482> selecting proposal: Sep 18 12:35:09 charon 54184 11[CFG] <3482> no acceptable ENCRYPTION_ALGORITHM found Sep 18 12:35:09 charon 54184 11[CFG] <3482> received proposals: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1536, IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024 Sep 18 12:35:09 charon 54184 11[CFG] <3482> configured proposals: IKE:AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024 Sep 18 12:35:09 charon 54184 11[CFG] <3482> looking for IKEv2 configs for 81.5.119.144...178.176.76.143 Sep 18 12:35:09 charon 54184 11[CFG] <3482> candidate: 81.5.119.144...0.0.0.0/0, ::/0, prio 1052 Sep 18 12:35:09 charon 54184 11[IKE] <3482> remote host is behind NAT Sep 18 12:35:09 charon 54184 11[IKE] <3482> received proposals unacceptable Sep 18 12:35:09 charon 54184 11[ENC] <3482> generating IKE_SA_INIT response 0 [ N(NO_PROP) ] Sep 18 12:35:09 charon 54184 11[NET] <3482> sending packet: from 81.5.119.144[500] to 178.176.76.143[29056] (36 bytes) Sep 18 12:35:09 charon 54184 11[IKE] <3482> IKE_SA (unnamed)[3482] state change: CONNECTING => DESTROYING Есть идеи?)

@dimskraft Это ОЧ частая "проблема". Ее решение прекрасно описано в офиц. доке.

@werter said in Параметры pfSense OBPN для клиента Keenetic Ultra: Добрый @CapitanBlack Обратитесь к своему провайдеру с этим вопросом. Заодно и хабр почитайте про ситуацию с ovpn в РФ. Много "нового" для себя узнаете. Да, я наслышан о ситуации. Как оказалось, на некоторых российских провайдерах, этот же OpenVPN сервер работает прекрасно. Решил проблему настройкой WireGuard между Кинетиком и pfSense. Работает отлично.

Добрый @bigggie Загулить по splitdns + pfsense

Понимал что ответ лежит на поверхности. В конечном итоге малость пересмотрел схему. Сделал GRE тунель до VPS. И навесил правило маскарадинга для интерфейса oVPN сервера. Все работает исправно. [image: 1724648981017-a7e5b4a2-6ee2-4b43-a081-2bf13e0f431a-%D0%B8%D0%B7%D0%BE%D0%B1%D1%80%D0%B0%D0%B6%D0%B5%D0%BD%D0%B8%D0%B5.png]

@komok Здравствуйте не рекомендовал бы открывать доступ к сервисам через WAN . Если у Вас есть OpenVpn сервер на PF , то через него и подключайтесь к PF

@Konstanti Победил, не хватало iptables -A FORWARD -j ACCEPT))

V 2.7.2 Настроил все по документации, но vpn соединение не устанавливается Вроде все верно, но не работает на ровном месте. Паролики ключи проверил неоднократно. Кто подскажет куда копать? [image: 1720516116716-2024-07-09_12-06-56.jpg]

забыл сказать перед этим я обновил сертификат Web конфигуратора