@sir_analgin:

Взаимосвязь тут прямая, поскольку по-идее, фриоснованные системы позволяют разбирать по частям что называется пересылаемые ими пакеты. Так и тут как мне кажется должно быть  это доступно. Вопрос остается за малым, где…

забьем что прошел год, pfsense - построен на PF собственно из чего следует название
ну а теперь задаем свой вопрос правильно ;)

Vlan через модем адсл прокидывается в режиме моста, вам нужно поставить между сервером и модемом свич аля des 2108, а на pfsense без всяких vlan на порту WAN прописать данные на подключение к провайдеру. либо создаете отдельный opt с vlan который вам прокидывает провайдер и так же прописываете данные для подключения. работать будет и в том и другом случае. насчет сетевок, для PFsensa они все пропускают и распознают vlan. протестил на куче сетевок.

1. Выключи  DNS forwarder.
2.поставь галочку  в General Setup  - Do not use the DNS Forwarder as a DNS server for the firewall
3.создай правило на ване, что бы рубило все на 53 порт.

у меня подобное было, запросы валили  с 6-7 ip, только так вылечил, правда еще сутки после долбили. но трафик уменьшился на ети запросы. как и загрузка проца.

@smils:

этого хватило. перегрузить нужно было.

/etc/sysctl.conf: append:      kern.timecounter.hardware=TSC

[РЕШЕНО] в теме поставьте , пож-та.

Совет нормальный, но возможности такой нет.

@werter:

Может что-то из этого поможет ?
http://forum.pfsense.org/index.php?action=printpage;topic=25615.0
http://forum.pfsense.org/index.php?action=printpage;topic=8239.0
http://forum.pfsense.org/index.php?action=printpage;topic=39811.0

Спасибо за ссылки, но немного не то.

Кому может будет интересно, проблема следующим образом решена. Через костыль правда.. Пока все работает, буду следить.

kill_voip.sh

#!/bin/sh local_voip_ip='' provider_voip_ip='' # Write phone states to file /sbin/pfctl -s state | grep $local_voip_ip > /tmp/statetmp.status # Kill VOIP phone states if in wrong state awkrepley3=`awk '/'$local_voip_ip'/ && /'$provider_voip_ip'/ && /SINGLE/ {print "down"}' /tmp/statetmp.status`   if [ "${awkrepley3}" = "down" ] ; then     /sbin/pfctl -k $local_voip_ip -k $provider_voip_ip     echo "states frozen kill them" | logger    fi

В крон каждые 5 минут.

Почему то не отваливаются самостоятельно "NO_TRAFFIC:SINGLE" соединения. Хотя в опциях галочка стоит. Может в следующих ветках пофиксят.

@dr.gopher:

@dvserg:

При большом желании - есть скрипт, который не сложно добавить в Cron.

Я готов потестить.

Он уже есть - формируется в '/temp' после ручной загрузки. Можно скопировать куда-нить и запускать. В англоязычной ветке была тема.

В автосогласование карточки поставьте, не надо выдумывать там, где уже подумали за вас.

оставил мониторить все те же гугловые сервера, но как и советовали поменял местами правила и все сразу заработало.

ВСЕМ спасибо, вопрос решен )

@o00oalex:

Провайдер дает 2 внешних IP по одному кабелю (маска, шлюз и днс у них одинаковые). Где и как в pfSense можно прописать диапазон IP из двух штук на одном порту WAN.

Прописать можно в Firewall: Virtual IP Address

Вопрос - как вы будете использовать второй WAN?

Может вам подойдет один из вариантов.
http://thin.kiev.ua/router-os/50-pfsense/515-c-qq-pfsense.html
http://thin.kiev.ua/router-os/50-pfsense/608-portforward-nat.html

Упс.. Пока писал, вы сами все нашли. :-)

У меня в сети и так куча VLAN с одним - двумя хостами (для изоляции от любопытных, т.с.), а поскольку от получившейся схемы мне уже отходить не хочется, пусть будет всё как есть.
PPtP сервер я поднимал, и сам на него коннектился со своей линуксовой машины, Что творит у себя Би - не знаю, там иногда такие "знатоки" попадаются, что хоть стой хоть падай. Если правильно сконфигурять сервер, он будет спокойно передавать сам всё, что нужно подключившемуся клиенту, причем и PPP и OpenVPN сервера это делают одинаково. И "стандарта" на это нет :)
Я например своим юзверям отдаю маршрут только в 21й VLAN, где живут сервера. Моя машина существует во всех VLAN'ах предприятия, для простоты. А сейчас на домашнем компе я могу прописать маршрут в любую VLAN вручную и попасть туда куда нужно без лишних маршрутов в таблицах хостов. Это и есть побочные эффекты решения.

А есть возможность добавить пакеты куда нить на диск, чтобы не перекачивать каждый раз?

Всем спасибо все работает. Как описано в FAQе.
Проблемы были на маршрутизаторе провайдера-как только видел пакет о нат трансляции обрывал сессию…
так что Pfsense по прежнему лучший))

@dvserg:

А можно схему предполагаемой инфраструктуры посмотреть?

50|50            30|30
–----/pfsens/======
                    20|20

Уже реализовано на cisco, но вопрос актуален.

Скриншоты правил fw (LAN, PPTP) , NAT и настроек PPTP-сервера более чем приветствуются. Телепаты в отпуске.

долбанная моя невнимательность, не тот файл загружал на сервак !!! Все работает огромнейшее спасибо !!!!

Спасибо большое :).

@lothan:

Про разделения с маками видел что-то в пакете ipguard-dev.

Да, есть такой пакет:

Ipguard слушает в сети пакеты ARP. Все разрешенные MAC-IP пары, перечисленных в конфигурационные файлы.
Если получена одина из пар MAC-IP, которая не указана в файле конфигурации, он будет посылать ARP ответ с настроенным фальшивым адресом.
Это не допускается хост для правильной работы в сегменте локальной сети Ethernet.

На сколько я понял из http://local.com.ua/forum/topic/19432-ipguard/ :
для Вашего случая достаточно добавить пару MAC/IP -  00:00:00:00:00:00 / 0.0.0.0 для разрешения всея и всего, а так-же пары MAC/фейк_IP для бана. Фейк_IP - это один и тот-же заранее выбранный IP адрес (к примеру 192.168.1.13 - "не повезло"), для которого в файрволе создано запрещающее правило.