@werter said in youtube:

@andrey_
Я бы проверил, а не вкл. ли у пол-лей моб. инет при этом.

Не включен .
Проверял и на своих девайсах

@humaxoid said in L2TP/IPSEC и Dashboard:

@viktor_g said in L2TP/IPSEC и Dashboard:

Данный виджет отображает только пользователей аутентифицированных самим strongswan,
т.е. вывод swanctl --list-pools --leases

А где этот виджет хранит конфиги? Очень любопытно, есть ли возможность натравить к примеру на другой демон? Чтобы он подтягивал информацию о подключенных юзерах из freeradius например.

Там не всё так просто,
Для FreeRADIUS'а надо парсить логи,
а для L2TP есть такой feature request: https://redmine.pfsense.org/issues/9633

исходники pfSense: https://github.com/pfsense/pfsense/

@rubic спасибо, мил человек. именно то что надо. забыл как делал ранее.

@Gektor я примерно с версии 2.1 его и не настраивал, но таково желание заказчика. Спасибо за ответы.

@werter said in Производительность IPSec AES-GCM vs OpenVPN AES-GCM на 2.4.5 (2.5.0):

Я выбирал прямо в настройках ВПН.

Спасибо.

Кстати, в 2.5 появилась возможность продления сертификатов. Актуально для меня - через 3-4 года мои начнут истекать.

Туннель поднимается? Что в логах OVPN на обеих сторонах?
Ключ, как вам уже ответили, не имеет срока действия.

@pix_l said in Перестал работать openVPN:

Подскажите, откуда взять этот ключ?

Если очень хочется - удалить сервер и создать его его опять.

Но сначала - смотреть логи.

https://forum.netgate.com/topic/152473/openvpn-log

@humaxoid
При таких настройках фазы 2 весь трафик клиента пойдет через туннель. Никакие маршруты "ручками " прописывать не надо .

@werter благодарю, но блин там совсем не про моё.. (((
Я находил туториал по установке фрибэсэдэ и настройке сквида в режим прозрачности на одном порту и режиму авторизации по АД на другом порту. Пробовал делать по аналогии - сенс с ума сошёл так, что даже восстановление файликов сквида с последующими рестартами сервисов и просто рестартами машины не приводили к откату на момент "как было"! Пришлось восстанавливать систему из бэкапа.
Неужто в сенсе настолько железно забито "или то, или то, третьего нет" 😲
Ладно ушёл дальше гуглить.

@pirantel
Пож-та )

С вас инс-ция по настройке выдачи сертификатов с пом. обратного прокси. Реально может пригодиться.
Заранее благодарен.

@deusbase
С нек-рых пор RDP пользует и UDP.

@werter said in OpenVPN PSK: Site-to-Site инструкция для обсуждения:

Это "неочевидное" правило и сейчас более чем очевидно в случае, если на сервере неск-ко ВАНов и нужно дать доступ и в сети впн-клиентов и выпустить через Failover_GW_Group в Инет.

Да. Недавно пришлось вспомнить. Стоит задействовать группу шлюзов для выхода в интернет и без этого правила сеть за клиентом Open VPN становится недоступна.

@werter said in Блокируется ПК после смены шлюза:

@randreevich
https://docs.netgate.com/pfsense/en/latest/virtualization/virtualizing-pfsense-with-proxmox.html
У вас одной "галки" не хватает.

Спасибо, Вам, дорогой товарищ! Выручили.

@viktor_g said in исключить сайт HTTPS/SSL фильтрации:

@randreevich какие настройки на squidGuard?
Spliceall режим не подменяет сертификаты, потому не должно быть таких ошибок.
Если выбран режим "Splice whitelist, Bump others", то сайты банков необходимо добавить в whitelist ACL

И обязательно обновите squid до последней версии

удалил ранее установленный сертификат = заработало.
Всем спасибо!

@lucas1
Здр

Соединение есть - звука нет , проблема НАТ sip сервера (он ничего не знает про внешний ip адрес)
При установлении соединения в SIP инвайт пакетах указываются неверные ip адреса конечных точек соединения.
Решается указанием , например , данных STUN сервера в настройках SIP сервера
или неверно настроен проброс UDP пакетов к SIP серверу (RDP трафик)

Добрый.
@Nabi92
Попробуйте Grafana + ELK . Касаемо впн не уверен, но попробовать стоит. Однако, прийдется поднимать отдельную вирт. машину для этого дела.

devopstales.github.io/tags/pfsense/
github.com/solvaholic/solvaholic.github.io/wiki/Netflow-with-pfSense-and-ELK
forum.netgate.com/topic/96832/pfsense-elk-stack-elasticsearch-logstash-kibana

или в гугле по фразе "pfsense+elk+grafana+prometheus".

@blackWolf
Прочитал. Внимательно.
Только как это поможет разделить Sourse IP для запросов к DNS Fesolver от DNS сервера в локальной сети?
server:
access-control-view: 192.168.10.0/24 bypass
access-control-view: 192.168.20.0/24 dnsbl

В этом примере показано разделение по Source IP по сетям.
В нашей локальной сети и так все завернуто на PfSense по DNS и без этого правила NAT.

"Теперь любой DNS-запрос к любому внешнему IP-адресу приведет к тому, что брандмауэр ответит на запрос" - зачем это?

Да, действительно, завернул трафик в впн и все ок. Спасибо за совет :)