@j2b:

1.VHID пароль нужен для общения между реалними адресами NIC-ов, чтобы тестировать - работает ли NIC (IP) на одном роутере, или нет. CARP работает как броадкаст, и в сети есть множество таких соединений. Так как твоему роутеру важно только свои IP, для этого ставитса пароль. Похоже как с NetBIOS.

2. синхронизируется таблица соединений, чтобы при failover продолжать обслуживать существующие конекции, так как Firewall делает Statefull Packet Inspection.

VIP обычно применяется с двумя роутерами для failover.

Ping должен работать, но в FW должен быть разрешенным ICMP протокол.

Да заработало, но хоть терь понятно, просто боялся без знаний чего нить творить..
Спасибо за информацию

Благодарю

Помогло, спасиба.

все оказалось намного проще. просто надо было создать маршрут  с сети ВПН на обычную сеть

sposibo!

Настроил шейпер на двух pfSense 1.2.3 (соединяют между собой два офиса через OpenVPN). В головном офисе роутер называется pfSense1, в удаленном - pfSense2. Визардом создал правила, по которому трафик SMB (порты 137-139, 445) ставится в очередь qOthersUpH/qOthersDownH (то есть с высоким приоритетом), эти правила я не менял. Сам создал правило, по которому весь остальной трафик ставится в очередь по умолчанию, т.е. qwandef/qlandef.

Начал качать с сетвой папки в удаленном офисе большой файл. В головном офисе, куда я качаю (pfSense1) трафик правильно попадает в очередь qOthersDownH. А в удаленном офисе (откуда качаю, pfSense2), трафик ставится в очередь qwandef, а очередь qOthersUpH не используется.

Как я уже сказал, шейперы настроены визардом, абсолютно одинаково. Я только сам добавил в конце правила ставить в очередь по умолчанию трафик для протокол=any, порт=any.

Где можно посмотреть, как шейпер определяет, в какую очередь поставить трафик?

00:13:72:77:ee:9a мас адресс видео сервера, второго маса нет ни в офисе, ни снаружи. Сегодня заменил ван свитч Intel на HP, пинговал и смотрел видео весь день. Значит проблемма была в свитче…

Сам решил вопрос , просто нужно было добавить в vmware ище 1 сетевую карту

@Arlekin_s:

ну… ненужен это я грубо выразился..

через фаервол ходят все порты кроме 80 и 443 которые забирает на себя сквид. так ?

а то что можно сквиду я регулирую в ACL фильтре.. так ?

и чтобы разграничить доступ в инет.. мне надо создавать правила в ACL так ?

да

ставил все по умолчанию, пока достаточно того что он сам все блокирует, что могу посоветовать так это сайт http://www.snortgroup.ru/

@pmrt:

Расскажите, зачем вам IPSec именно на WinXP? Если нужен шифрованный канал для клиента - воспользуйтесь PPTP или PPPoE. В версии 2.0 появился L2TP - тот же самый PPTP но с туннелем IPSec.

pptp не катит, использую openvpn

хотелось попытать счастье именно ipsec

@garald50:

да, кеш после удаления swap.state и ребута перестал разрастатться.
удалял с помощью winscp425.exe.
однако после перезагрузки pfsense, при попытке подсоединиться winscp425.exe. выдается ошибка

что случилось?

Если веб морда открывается, проверь или перезапусти sshd (в моей практике с pfsense сталкивался, что иногда эта служба становилась выключеной)

@deutsche:

Да этож ЕНОТ!

Привет, КО :D см картинки выше в посте :))))

А версия сенса какая? в пакаджах написано, что для версии 1.2.1, отправь этот лог в форум автора пакета.

@dvserg:

А в правилах случаем не стоит ограничения количества подключений и прочая?

данного правила не стоит. Дело в том что всю свою жизнь я админил шлюзы, сервера на FreeBSD, Linux и с принципами грамотного постороения правил фаерволов знаком не понаслышке. данного правила точно нету. Волей судьбы я решил использовать pfSense и вот такие проблемы. Сейчас вытащу логи и предоставлю на обозрение общественности.

@Iskupitel:

ошибка касается именно второго варианта. как я понимаю, PF может кочерыжить если в этот момент уже есть созданое соединение изнури офиса наружу, которое юзает GRE ???

Не важно изнутри или снаружи. Проблема возникает если:

На pfSense один и тот же IP используется для доступа в Интернет из локальной сети и для PPTP сервера Уже существует PPTP-тоннель pfSense <-> твой public IP.
Проверить: в момент своего неудачно подключения (когда у тебя комп задумается прежде чем выплюнуть ошибку) pfctl -ss | grep 1723 pfctl -ss | grep gre

покажет тебе уже существующие(активные) и пытающие установиться (1723)

OK galka davno postavlena:))) vecherom poprobuyu napishu rezultat :)

Какие пакеты установлены на pfSense?
tcpdump поможет

Я еще не готов к таким действиям :)