@zar0ku1:

@chastuhin:

Волшебные слова. Попросил. Не дал. Но все заработало. Предполагаю, что нашел ошибку сам.  :)

гыгы, как это часто бывает :)
закрывайте тему

Блин какие-то ХХХ отношения  ;D Пока вазелин не применишь, ничего не заработает.

Òîëüêî ÷òî óñòàíîâèë DD-WRT x86 âåðñèþ íà ýòî æå æåëåçî, âñ¸ ðàáîòàåò, êàê íè ñòðàííî.
Çíà÷èò äåëî â pfsense…....
Ïåðåóñòàíîâëþ, îòïèøóñü.

@b4ha:

squid + ipcad

Ну тут явно все это дело не через Web конфигуратор, да?

тема поднималась, ищи по форуму.

А ларчик просто открывался ))

в Diagnostics: System logs: Firewall увидел лог по которому он блокирует RDP .. клацнул по нему и он создал САМ мне нужное правило )

Обращение идет из WAN по IP адресу без использования DNS. Используется специфическое приложение по порту 2000. Переформулирую задачу - в зависимости от номера порта при обращении из WAN соединение перенаправляется на внутренний (находящийся в LAN) или внешний (находящийся в интернете -WAN) сервер.

Для большей ясности - фаерволл гораздо выше по приоритету чем squid и является стандартным компонентом любой системы.

@kryos:

В установил я первичные днс всем адрес АД контроллера . на самом контроллере настроил Днсфарвординг на пфсенс. Только беда в том что статистика в squidGuard исчезла .. как это можно поправить ? access.log сквида не обновляется ..

Прошу прощения за лишний вопрос .. Дело было в сквиде .. почемуто он не писал логи .. Перезапуск сквида не помог только переустановка

@mole:

все, я все понял на сколько я был слеп - все отлично работает и никакой проблемы нет

я рад, закрывай тему =)

@garald50:

@DasTieRR:

@garald50:

Как сделать чтобы из внешней локалки по RDP к хосту во внутренней локалке подключались только с конкретного IP?

в правилах, в разделе источник - конкретный хост, в поле забиваешь нужный IP.

т.е. чтобы по rdp к хосту во внутренней подсети подсоединялись с адреса локалки провайдера 172.20.3.9 нужно прописать правило
WAN:

и NAT:Port Forward

или Порт Форвард необязателен?

По картинке, вроде бы всё верно, должно работать и без порт форварда. Для теста можно будет отключить правило в форварде и проверить.

Нет, информация о пакейджах качается из инета.

captive portal это и есть авторизация в прозрачным прокси, ставится отдельным пакетом.
Aлзо, с прозрачным прокси, работает аутентификация пользоватлей на порту 3128 (или какой укажешь). Таким образом можно через squidguard ограничить доступ для не авторизованных пользователей, а авторизованным на 3128 порту выдать другие права. это если не использовать сaptive portal.

существует ли модифицированный pf?

UPZ

@fox:

мда не вижу смысла ставить squid на win тачку ))))

не видишь - не ставь, всего и делов.

dhcp сервера можно перенести на pfsense. На вашем pfsense должно быть 4 интерфейса. 2 внешних и 2 внутренних. на 2 внутренних настраиваете dhcp сервера, в dns forwarding прописываете локальные dns сервера. таким образом dhcp на pfsense, а локальные dns запросы перенаправляются на контроллеры домена. на каждом внутреннем интерфейсе свой комплект правил со своим шлюзом. dhcp сервера на контроллерах домена конечно придется погасить. вот как-то так.

По первому вопросу, адаптеров сетевых на pfsense у вас сколько? По одному на каждую внутреннюю сеть + WAN? Там все тривиально, каждая следующая сеть настраивается как и предыдущая, только адреса меняются. Между сетями pfsense трафик маршрутизирует легко, если только файрволом разрешено. У меня например, ключ 1с-ки в другой подсети. Просто в файрволе на LAN ставлю:
Pass TCP/UDP  LAN net(192.168.0.0/24)  *  NETHASP_IP(192.168.4.212)  NETHASP_PORT(475)  *
и все.
По второму вопросу, боюсь, придется вам схему сети рисовать со всеми IP (чего вы там за ХХХ прячете? серые подсети?). Ничего не понятно.

Спасибо всем большое за проявленный интерес и помощь. Придется делать все "по-нормальному"!

купи себе железяку, которая умеет PPPoE и поставь перед OPT1 pfSensa
всяко в плюсе будешь - один системник pfSense долой