Разрешить на WAN tcp port 80 (или 443 если HTTPS).

@deutsche:

Не катит, если ип-шка динамична или за нат'ом. Можно конечно разрешить на всю "домашнюю" подсеть, но не факт, что в ней не окажется кулхацкера.
А если нужно зайти не из дома?

для этого давно придуман ноуайпи или динамик днс…
то через дом есть тунель

А у меня одним ваучером прекрасно пользуются несколько человек, но меня как раз не устраивает такой подход, мне нужна привязка ваучера к конкретному MAC, чтобы при первой активации ваучера он привязывался только к этой машине, реализацию этого так и не нашел, или все еще "сыро" не работоспособно?

@j2b:

Да, принцип тот-же. Только выходящий трафик быдет ходит по реальным ИП адресам, а не через ВИП. Возможно это (выходящий через ВИП) можно настроить с роутингом, но не пробовал.

Выходить будет, как сконфигурируешь.
CARP-схема работает с любым количеством OPT-интерфейсов и любым количеством виртуальных IP на них.
Очень рекомендую следовать вот этой ссылке:http://www.pfsense.org/mirror.php?section=tutorials/carp/carp-cluster-new.htm при конфигурировании. Далее детально разобраться, как это работает, потом добавлять OPT-интерфейсы, как душа пожелает.

@Fisco:

Требуется установить и настроить необходимые пакеты PF для работы в качестве шлюза, маршрутизатора, DHCP-сервера, прокси-сервера с антивирусом, VPN-сервера с резервным переключением каналов .
Требования:

Профессионально

Разумно

Оперативно

Оплата по договоренности после согласования ТЗ.
За ТЗ обращаться в личку.

Я могу помочь. Присылай ТЗ.

Все.. не заметил в мануале, что для ESXi нужно:

http://doc.pfsense.org/index.php/Configuring_pfSense_Hardware_Redundancy_(CARP)
VMware ESX Users
Enable promiscuous mode on the vSwitch
Enable "MAC Address changes"
Enable "Forged transmits"

@tva:

Доброго всем времени суток.

Поставил я pfSense 1.2.3-RELEASE  сижу настраиваю и сразу есть вопросы:
1. как сделать чтобы пинговались внешние адреса ? правило ICMP  LAN net  *  *  *  *  несработало, ICMP type eho и eho reply тоже не спасло
2. а алиасах я указал набор стандартных портов по которым работает обычный офис - 53,80,443,25,110 и тд. как использовать этот алиас при конфигурировании правил фаервола, дабы не указывать каждый сервис? А если нельзя, то где и как эти алиасы используются ?

при конфигуриваронии файрволла вписывает вместо портов название алиаса и все.

по пингам разобрался, а вот по второму вопросу поточнее можно. ну указал я в полe Destination port, тип other а дальше что, порты алиаса называются Of_service их я ни где не вижу.

когда впишиите на правиле видно будет какие порты разрешены..

Дубль

Оба варианта помогло…., спасиб...

Спасибо огромное

@bortmex:

как уже говорилось, эти опции не запрещают выставление адреса вручную. Да и как вообще вы себе представляете такой запрет? И маки подменить - дело двух секунд, толку по макам фильтровать?

Думал pfsense получает mac компа и смотрит его в своем списке mac-адресов. Если такой мак есть,и текущий ip компа соотвествует ip из таблицы, то комп имеет доступ к сети.

New in pfSense 2.0 is the L2TP (Layer 2 Tunneling Protocol) VPN type, which will allow L2TP VPN clients to connect remotely. It can be found under VPN > L2TP. Так понял надо обновиться до версии 2.0

@Focusnik:

PING 10.1.121.1 (10.1.121.1) from 10.1.121.138: 56 data bytes
36 bytes from 10.1.121.1: Communication prohibited by filter
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
4  5  00 5400 1257   0 0000  3f  01 62c5 10.1.121.138  10.1.121.1

Это откуда пинг запускается?

Evgeny, это понятно, что можно использовать

Но все же хотелось, что бы уже вбитые в гуи маршруты были задействованы, может есть такой набор команд?

http://house.hcn-strela.ru/BSDCert/BSDA-course/apcs02.html#pf-pf.conf-tables+pfctl

Нужно создать файл /etc/rc.conf.local где и прописать эти переменные. При перезагрузке отработает скрипт /etc/rc.d/syscons и все настройки будут учтены.

@deutsche:

есть кстати такой финт (для многоих очевидный, но все же).
Ставим консольный браузер и меняем настройки.
pkg_add -r lynx
lynx lan ip
нужно интернет подключение конечно

Инет к сожелению через ВПН

1 sec ~ 18.2 tick

думаю тему можно закрывать.

Проблема оказалась в сдохшей материнке роутера, виновато железо все же. Буду менять.