Не забудь о анти-локаут правиле.

С лимитером влядли получится динамически делить канал.

Читай доки про планировщику HFSC у него есть возможность давать не ниже гарантированной полосы а если есть свободные очереди то брать скорость у них.

@yragan:

как это дело отключить?

отключи https  в админке.

@dvserg:

Потому, что при старте исполняются только скрипты с расширением .sh

да действительно заработало спасибо :))

C pfSense разрешены все исходящие. Инициатором GRE у Вас является именно pfSense.

@derwin:

а float применяется ДО или после правил по интерфейсам?

Применяется ДО, и по умолчанию на нем правила идут без опции Quick. В этом случае просматриваются все правила подряд, а затем переходит на список правил соотв. интерфейса. При наличии опции Quick правило флоат применяется немедленно, как и правило на интерфейсе.

@werter:

2 sweep4

Что в логах ? Копаем оттуда.

Дело давнее, сейчас как-то получше стало, редко такое происходит, но все же бывает. В логах - только счетчик попыток дозвона увеличивался, циферка за циферкой. А иногда даже не увеличивался, насколько я помню - остановился на какой-то и стоял. Вручную поднимаю - поднялся интерфейс.

Попробую timeout поиграть, как тут выше присоветовали.

@nomeron:

Поэтому хотелось бы понять на что влияет - галочка Disable NAT Reflection for port forwards

http://www.thin.kiev.ua/index.php?option=com_content&view=article&id=574:nat&catid=50:pfsense&Itemid=81

@dr.gopher:

@marakshin:

Captive Portal не подойдет. Потому что чаще всего пользователи находятся в другой подсети, нежели LAN-интерфейс pfsense.

Я не пробовал, но может поможет - Как в pfsense 2.0 сделать Captive portal доступным из разных сетей
http://thin.kiev.ua/index.php?option=com_content&view=article&id=404:captive-portal-&catid=50:pfsense&Itemid=81

Чтобы заработали подсети через маршрутизатор мне хватило поставить галочку Disable MAC filtering (понял по ошибке в логе).
Функцию поменял. Попробую галочку Disable MAC filtering отключить и посмотреть изменится ли картина.

Думаю перечитывает при каждом изменении правил.

@stranger61:

А тогда может кто подскажет где сервак хранит XML-конфу???

Или может проще сделать выгрузку, откорректировать сам xml (если получится разобраться) и загрузить его назад??????? ???

/cf/config.xml

что вы скажите про стабильность и предсказуемость pf 1.2.3

стабильность и предсказуемость версий 1.2.2 и 1.2.3 высокая (сам использую 1.2.2 embedded на adsl линке с PPPoE много лет). Так-же m0n0 очень неплох.

нужно для удаленных офисов. нажна стабильная работа, и возможность починки не выезжая на место.

в таком случае неплохо бы резервный канал, хоть через 3G модем.

схему нарисуйте,что с какой адресацией

Нашел причину- скорость резал ESET Smart Security.

Не хочется заменять везде, банеры бывают разные и свой просто может не вписаться. Хочется иметь просто в шапке каждой открытой странички небольшой рекламный блок.

Всем спасибо! Проблема решена! Установилась с другого CD-ROMа.

@Aidaho:

Загуглился уже ) То что ядро BSD можно пересобрать это я нагуглил, а вот с пф молчок.

Да и у меня коллизий тоже дофига. :(

Эт получается сидеть и ждать? И пусть работает, так как работает?

Это получается - сменить сам гипервизор. Больше никак. Пишите в ТП.

P.s. Если ваш cpu и чипсет МП поддерживает vt-d или iommu можно попробовать прокинуть физ. сетевые в ВМ с pf-ом по примеру с USB отсюда - http://habrahabr.ru/post/137327/ :

Проброс USB сделал грубо и цинично:
xe vm-param-set other-config:pci=0/0000:02:00.0,0/0000:02:00.1,0/0000:00:1a.0,0/0000:00:1d.0 uuid=d103a91d-5c38-844f-14d5-64b3c495eb08
То есть пожертвовал виртуалке USB контроллеры. С другой стороны, Xen пока без них обойдется.

Добавочка :

Попробовать сменить тип сетевой , использующийся по-дефолту в ксене :

1. ВЫКЛЮЧИТЬ ВСЕ(!) ВМ на гипере.
2. Сделать бэкап всех ВАЖНЫХ для Вас ВМ.
3. Воспользоваться статьей - http://www.netservers.co.uk/articles/open-source-howtos/citrix_e1000_gigabit
3.1. Важно, что при накатывания очередного апдейта (переход на новую версию гипера) необходимо выполнить chattr -i /usr/lib/xen/bin/qemu-dm :

Warning

The "chattr" line above makes the replacement file "immutable". This means that the file cannot be overwritten, prevents the loss of this modification in the event of a system update.

However, this may cause updates provided by Citrix to fail at the point of installation. An alternative approach would be leave the file unprotected, and re-applying this modification after Citrix-supplied updates have been applied.

The remove the protection from the file, do the following:

chattr -i /usr/lib/xen/bin/qemu-dm

4. Запустить pf (поставить по-новой?) и проверить , что тип сетевых сменился с реалтек на интел.
5. В самом pf глянуть, нет ли коллизий.

P.s. После апдейта ксена от цитрикса на 6-ую версию., резко упала скорость по сетке ( до 10 мбит\с).
Решил так :

1. Остановил все ВМ (можно и не стопить).
2. Зашел на хост по SSH и выполнил скрипт отсюда (важно выполнять скрипт после апдейтов самого гипера и после добавления новой ВМ ) - http://www.xenappblog.com/2010/citrix-xenserver-slow-network-performance/
3. На машинах с Win в рееестре создал и вкл. параметр DisableTaskOffload - http://support.microsoft.com/kb/904946/

Вот что показывает Лимитер:

Вроде как все правильно попадает но скорость не режется. Может подскажет кто куда копать?

Сделал. Но теперь уж вообще тупой вопрос: а как понять что утилита проверила диск? Пф должен перестать виснуть?

Этот блок будет проверять и исправлять ошибки (принудительно -f(orce)y(es)) на ФС когда она будет неправильно размонтирована.
Можно оставить только fsck -fy /dev/ad0s1a тогда ФС будет проверятся после каждого перезапуска.
Да и ессно /dev/ad0s1a тут должна быть Ваша ФС (смотрите /etc/fstab с точкой монтирования /).