Добрый @X3PPY Нет на пф аналога f2b для впн. Для вебки только.

в Client Specific Overrides сертификат указан mikrotik в самом микротике сертификат стоит mikrotik-cert. и подсеть удаленную за микротиком лучше прописывать в IPv4 Remote Network/s

@n1kasus Посмотрите вот тут https://www.thin.kiev.ua/router-os/50-pfsense/680-pptp-clien-wan-pfsense-20.html Пост старый , но идея ясна Тоже самое предложил Dимыч

@randreevich Запустите в консоли такую команду , отлавливаются ли пакеты от роутеров ? tcpdump -netti название_интерфейса ip and src net адрес_сети/маска_подсети and '(ip[8] != 0x40 and ip[8] != 0x80)'

Добрый. @X3PPY said in pfSense как шлюз для нескольких компаний: У меня в сети есть AD и DNS. В настройках pfSense эти днс указаны. Не указывать ip этих ДНС явно в настройках днс пф-а. Указать их в форвадинге в настройках unbound, т.е. "объяснить" пф, что вот эти домены обслуживают вот эти DNS. Делается прямо в вебке пф. Клиентам же по dhcp выдавать 1-м днс - адрес пф, 2-м и последующими - адреса внутренних dns. Но так же у pfSense есть днс от провайдеров, а у меня их 5. Не использую днс провайдеров без особой надобности (напр., для разрешения имен внутренних ресурсов провайдеров, но и это решаемо). Использую я-днс\г-днс etc. Тот же днс от adguard еще и рекламу резать будет. Получать резолв от моих внутренних днс Описал в п.1 И самое главное - не забыть принудительно завернуть все днс-запросы клиентов на ip пф. Делается одним правилом port forward на LAN https://docs.netgate.com/pfsense/en/latest/dns/redirecting-all-dns-requests-to-pfsense.html Тогда схема сквида с директивой 'dns_nameservers 127.0.0.1' должна заработать. Я бы попробовал реализовать, сделав перед этим обязательный бэкап настроек пф.

@werter said in Проброс порта: Оч. плохая идея открывать LDAP во вне Согласен. Однако если это @Sventer said in Проброс порта: с определённых IP То более или менее. @werter said in Проброс порта: Правильнее настроить туннель и работать через него. Это, бесуловно, наилучший вариант.

Да, парни, спасибо за советы. У меня в настройках ПФа ДНСы прописаны были не в том порядке. Прописал как надо - заработало. ЗБС.

@se1eznev said in Pfsense private WAN ip: С пфсенсе уходят нормально и трассировка и пинги Т.е. сам PF имена разрешает правильно? @se1eznev said in Pfsense private WAN ip: Столкнулся с приватным айпи на Ван интерфейсе . Wan 10.0.5.2/24 "Серый" IP на WAN теперь скорее правило, чем исключение. Однако на работу DNS это не влияет. А получают ли клиенты DNS вообще? И если да, то какой? Что показывает ipconfig /all на клиенте?

Да, так заработало. Не очень конечно удобно, что на каждый порт нужно писать правило nat, но их не много. Спасибо еще раз

@dr0ng0 Отлично! Будут ещё вопросы - обращайтесь.

@pigbrother Ещё можно тут посмотреть: https://wiki.freebsd.org/DeviceDrivers Но в целом да, поддержка WiFi в *BSD далека от идеала и лучше зацепить тот же Mikrotik

Добрый. @viktor_g so that, it may not work without HTTPS Interception Так сквид же умеет mitm. Или это только в транспаренте?

Спасибо, вроде получилось!

Убедитесь что включена парольная аутентификация на System / Advanced / Admin Access: [image: 1594446257897-screenshot-from-2020-07-11-08-43-45.png] Получается зайти по паролю пользователь@серверfsense ?

@Konstanti Почитал тред, попробовал сделать файлик /boot/loader.conf.local Прописал в нём autoboot_delay="10" - не работает, таймер не тикает, всё также ждёт пользовательского ввода. Немного подумал и прописал autoboot_delay="-1" - а это сработало, как ни странно, система загружается без ожидания таймера. Загадка какая-то, не понимаю, почему так. Не работает таймер по неведомой причине. Спс за идею, работает, половинчатое решение, без таймера, но хоть работает.

а клиента за пфсенсем имя другой dns получит второй ip Не вернет. У тебя все днс-запросы во вне принудительно завернуты на пф. Адрес будет одинаков. Мы ж это вместе настраивали. В случае, к-ый я порекомендовал, пф тупо завернет запрос к внешнему адресу на локальный IP. Зы. Если схема существующая устраивает - ок.

@viktor_g И вам )

@Konstanti спасибо за участие. Победил. Добавил на wan правило для igmp траффика с 10.2.148.5 и остальные каналы заработали. При этом про данный ip даже сам пров мне ничего не говорил.