Нет такого

тебе нужно скомпилировать ядро без модуля alc

Создайте свою тему. И зачем раскидывать свои сообщения по нескольким топикам?.

пока полет нормальный, смотрим дальше)
Для тех кому лень ставить vi в файле /cf/conf/config.xml
перед

<minute>*/55</minute> <hour>*/04</hour> <mday>*</mday> <month>*</month> <wday>*</wday> <who>root</who> <command></command>/usr/local/scripts/ipcad.sh <minute>*/05</minute> <hour>*/05</hour> <mday>*</mday> <month>*</month> <wday>*</wday> <who>root</who> <command></command>/usr/local/www/lightsquid/lightparser.pl <minute>*/15</minute> <hour>*/05</hour> <mday>*</mday> <month>*</month> <wday>*</wday> <who>root</who> <command></command>/usr/local/etc/squid/traf_limit/traf_limit.pl <minute>*/25</minute> <hour>*/05</hour> <mday>*</mday> <month>*</month> <wday>*</wday> <who>root</who> <command></command>/usr/local/sbin/squid -k rotate <minute>*/35</minute> <hour>*/05</hour> <mday>*</mday> <month>*</month> <wday>*</wday> <who>root</who> <command></command>/usr/local/scripts/rmsquidlogs.sh

@mikhe:

dvserg
Так я же написал, если в General setup localhost из списка DNS  убрать, то "знает"

Я не увидел это в вашем тексте.

Еще раз повторю - в System: General Setup DNS Server первым должен стоять ДНС провайдера, знающий о retracker.local.
Так же в Services: DNS forwarder добавьте Domain Overrides вместо Host Overrides.
Там нужно указать
Domain = retracker.local
IP address = / IP address of the authoritative DNS server for this domain / IP адрес ДНС провайдера, знающий о retracker.local.

вопрос: видит ли Traffic Shaper пакеты с проброшенных портов, и какова общая последовательность прохождения пакетов в связке Port Forwarding -> Traffic Shaper?

Да, видит. При этом необходимо учитывать, что он видит пакеты с уже измененными портами/адресами.
Это значит: если входящий пакет имел dst=wanIP:wanPort, то после портмапинга это будет dst=mapIP:mapPort. Именно последний вариант и увидит шейпер.

Вряд ли дело в железе. Сервер помирает от большого числа пакетов и просмотра файла с леасес.
Но вопрос сколько у вас компов. На 50 мб с десяток тысяч должно быть.
Если файл забивается так быстро, то скорее всего в сети много клиентов, которые не могут нормально получить адрес и шлют кучу пакетов (посмотрите блокировку широковещательных пакетов и udp протокола). Или значения Default lease time и Maximum lease time очень маленькие.
Под большую сеть в целом dhcp в пф слабоват. Если есть необходимость могу описать сложную конфигурацию dhcpd с option 60.

У нас в студенческой сети тоже долго использовали net speakerphone. Посмотрите в настройках, там есть опция определяющая маску рассылки (я уже не помню точно, вроде в ini файле эта опция была) и поставьте ее шире 192.168.255.255 Правда в итоге мы перешли на платную версию с отдельным сервером без широковешания.

@Bansardo:

Ок, дельный совет, только вот как ее найти.

Научитесь пользоваться поиском
http://forum.pfsense.org/index.php/topic,44515.0.html
Шаблоны html страничек лежат в папке сквида

@Bansardo:

Вроде везде стоит чтобы логи велись, в сквиде папка логов прописана…

А сарг знает где логи лежат?

MAnual NAT с прописывание NAT правил помогло.
Спасибо.
Но теперь возникла 2я проблема - в сайте А стоит почтовый сервер и на него проброшен 25 порт с внешнего IP. У всех мобильный сотрудников с локальной сети сайта A в качестве почтового сервера прописан внешний WAN - и благодоря NAT Reflection все работает - а вот через IPSEC в данной конфигурации NAT reflection не работает - можно как то это исправить?

Там стоит московский часовой пояс, так как свой не нашел, и соответственно рабочее время я там подкорректировал под московское.

CF флешка работала тоже в CSH режиме - выставил вручную режим LBA и ядро загрузилось.

Воот… А значит и с винта должно грузиться и работать.

@werter:

@DasTieRR:

lightsquid 1.8.0 pkg v.2.32
PF 2.0.1-RELEASE  (i386)

Выполнил в терминале cd /usr/local/www/lightsquid/ && ./lightparser.pl. написал command not found, проверил на диске файл есть, права на запуск стоят (r-xr-xr-x)

Squid
Log store directory /var/squid/logs

Что ещё проверить?

Проблемы с perl.
В консоле (через putty):

1. pkg_delete -f perl* - чистимся от остатков
2. pkg_add -r http://files.pfsense.org/packages/8/All/perl-5.12.3.tbz - устанавливаем пакет заново
3. perl -v - проверяем версию установленного вновь пакета.
4. Перегружаем pf для надежности.
5. cd /usr/local/www/lightsquid/ && ./lightparser.pl - выполняем команду в вашем предыдущем посте и смотрим что она будет писать.

P.s.  Информация к размышлению - http://forum.pfsense.org/index.php?topic=35994.0 , http://forum.pfsense.org/index.php?topic=33854.0 , http://forum.pfsense.org/index.php/topic,47001.0.html
P.s.s. Похоже проблема с perl не редкая, как бы рецепт по решению не пришлось в FAQ добавлять :(

Спасибо, как перед тем компом буду, попробую (удалённо не хочется, вдруг не загрузится потом :) )

"В машине две 4-х портовых карточки от Intel, на каждой все 4 порта сгрупированы в один интерфейс."

Попробайте схема на работа с 2х2 порта. Ето i386 или amd64,какая версия на пфс,как распределяете нагрузке на ядра/карточки ?
Как я понял вы выключили Firewall/NAT ?

Можно увидем:
netstat -i
netstat -hw 1 -I lagX
vmstat -z | egrep 'ITEM|mbuf'
netstat -s output | grep drop
sysctl -a | egrep -i 'hw.machine|hw.model|hw.ncpu'
pciconf -lvcb
ipfw show
ipfw pipe show
pfctl -sr
pfctl -sn

п.п
У меня для торентов global rules

add allow  tcp from "table(Х)" to any setup limit src-addr 200
add allow udp from "table(Х)" to any limit src-addr 200

Попробуйте на LAN в разрешающем правиле с указать gateway PPPOE. Если заработает - у Вас PPPoe не является шлюзом по умолчанию.

Блин, способ работает, но видать не на всех.
В другом филиале такая же версия и такие же правила, но если я создаю qLink с bandwidht > bandwidht qInternet, то выскакивает соответствующая ошибка:

There were error(s) loading the rules: bandwidth for qLink higher than interface/tmp/rules.debug:48: errors in queue definition pfctl: Syntax error in config file: pf rules not loaded - The line in question reads [48]: queue qLink on le0_vlan100 bandwidth 90Mb priority 6 qlimit 3000 cbq ( ecn ) ..

В этом плане сделал по другому: на интерфейс назначил скорость 100Мб\с (физическая скорость порта)
Создал трубку qLink - 98Mb\s
На трубку qInternet назаначил скорость в 14Мб\с

Будут ли какие-либо подводные камни при такой конфигурации?

Проблема была в записях файле /var/etc/filterdns.conf.

Смотрите
http://www.secure-computing.net/wiki/index.php/OpenVPN/Routing

Жаль :-( Просто не цепляется.

Галочка Enable Static ARP фактически работает, как правило фаервола на втором уровне  osi.
Конечно, это самый надежный вариант заблокировать доступ, но для большинства задач хватает правил третьего уровня (правила фаервола)