@Palamar Вам нужно настроить PBR (policy based routing) В двух словах надо добавить правила файрвола с указанием шлюза, Типа: [image: 1593528349284-screenshot-from-2020-06-30-17-45-32.png] См. https://docs.netgate.com/pfsense/en/latest/routing/directing-traffic-with-policy-routing.html https://docs.netgate.com/pfsense/en/latest/book/multiwan/policy-routing-configuration.html И даже видео: https://www.youtube.com/watch?v=vnh9CU3Pyr0

@xpycmuk said in PfSense при исходящем трафике в 200Мб Умирает канал: Спасибо, помогло изменение параметра kern.ipc.nmbclusters да, его я и менял. @xpycmuk said in PfSense при исходящем трафике в 200Мб Умирает канал: 55% под нагрузкой И какова стала загрузка CPU? У меня каналы поуже, 100+20, оба - PPPOE, плюс 3 сервера OpenVPN. С этим легко справляется 10-ваттный Celeron(R) CPU N3150 Неужели для 400 Mbit необходимо столь производительное железо? Может стоит на нем же pfSense виртуализировать? i5-3470 CPU все необходимые для этого технологии поддерживает.

Ну Вы, отцы, совсем уж сурово! Та ведь можно вообще начать книжки читать!

@werter said in Pfsense и камеры: @ler0i Попробуйте добавить адрес удаленного ресурса в исключения сквида в Dst. После перезапустить сквид. Зы. Вряд ли видеопоток идет по TCP. А подскажите где исключения для сквида прописываются?

@pigbrother там 3 режима, автоматический, ручной+автомат, и ручной. по приоритету вроде выходит в гибридном режиме что правила созданные руками выше чем те что создались автоматом, в остальном ничем не отличается.

@raevsk Какая версия pfSense? Что за LDAP сервера?

@Павел said in IPSec + GRE + frr OSPF не понимаю, как настроить сетевой экран.: Всё бесполезно. Прочитал, правила создал, толку нету, всё равно. Трафик ходит и трассировка по GRE, они пингуются, всё нормально. OSPF маршруты создаёт, их видно, что они есть. Но по прежнему трафик в серой сети начинает ходить только тогда, когда отключить сетевой фильтр. Я в полной растерянности, ничего не получается. Там где баг описывается я вообще не понял, какое правило надо создать и что сделать. Подымайте OSPF на IPsec VTI интерфейсах, работает у всех См. https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/ipsec-routed.html

@werter Только увидел вопрос про днс, адрес шлюза у клиентов сейчас. Ставил 8.8.8.8, тоже самое.

т.е полное доменное имя host.company.lоcaldomain? Совершенно верно. спасибо за все!

@dirar Посмотри rmonitoring.ru. Вроде это то, что тебе нужно. Вместо логов - уведомления на e-mail

@KARLAGIN said in PfSense OpenVPN резервное копирование и восстановление: @pigbrother Не буду создавать новую тему спрошу здесь. Как можно оптом перенести все сертификаты клиентские, серверные, центры сертификации? При использовании Backup/restore раздел OPENVPN выгружаются только настройки клиентов/серверов но не сертификатов. Либо единственный вариант это делать полный бэкап и вручную править xml? Всё верно, сертификаты можно восстановить только через полный бэкап Пока на функцию восстановления ТОЛЬКО сертификатов есть feature request: https://redmine.pfsense.org/issues/3697 Пользуйтесь AutoConfigBackup - это автоматическое создание зашифрованных резервных копий в облаке при каждом изменении кофигурации, очень удобно: https://docs.netgate.com/pfsense/en/latest/backup/autoconfigbackup.html И советую обновить на последнюю стабильную версию,- недавно вышла 2.4.5-p1: https://www.netgate.com/blog/pfsense-2-4-5-release-p1-now-available.html

@violinorg А самба вам зачем? Могу ошибаться, но SSO на основе Kerberos и без нее можно. Поищите статьи по настройке. P.s. Таки ошибаюсь www.openjdtec.com.br/pfsense/2.4.4/samba/pf2ad.sh Там действительно самба. Все же поищите статьи по настройке kerberos + сквид. Вроде и в нашей ветке были.

Добрый @GL_ Уж и не вспомню, что и как ( Попробуйте поискать по фразе beeline + l2tp. Или узнать у них, есть ли возможность сменить тип подключения.

@deusbase Тогда предлагаю попробовать детальнее остановиться на втором моем вопросе Зачем нужен такой алиас , который содержит ip адреса WAN интерфейса ? Мб проще найти решение в этом направлении

С дефотлтовым шлюзом все норм. IPSEC-виджета нет.

После "исследования" проблемы, какого-то стандартного инструмента (какого-нибудь суперната который бы натировал все и всех) не обнаружили, но в итоге квази-соломоново решение нашлось. Определились 2-е группы подключаемых : те кто будут подключаться к виртуальному рабочему месту. те кто вынужден забрать комп с предприятия домой (в виду того, что другие члены их семей уже давно на удаленке и свободных мест дома не оказалось). для первых - на виртуальных рабочих местах создаются виртуальные ip доступные для vpn сети; для вторых (с рабочим комп-ом) - после установки vpn соединения им пробрасываются маршруты до нужных сетей предприятия (аналог виндовой команды выглядит так: route add 192.168.0.0 mask 255.255.255.0 10.0.0.1). для первых (с виртуальным рабочим местом) все работает прекрасно. для вторых (с комп-ом дома) пропадают домашние сервисы вроде хранилища с музыкой, фильмами (такие вообще интересно еще сохранились ?), но на работу сотрудника это не повлияет. )) А увольнять кого-то, несмотря на настойчивые предложения некоторых уважаемых форумчан Все верно. За такой "подход" к работе - "даувай, до свидания". я бы не стал. Я за работу над ошибками, профессиональный рост и как следствие рост личностный )))))). Всем большое спасибо, считаю тему закрытой.

@lan-13 Привязка по МАК-у у провайдера есть? Уточните этот момент.