@werter said in youtube: @andrey_ Я бы проверил, а не вкл. ли у пол-лей моб. инет при этом. Не включен . Проверял и на своих девайсах

@humaxoid said in L2TP/IPSEC и Dashboard: @viktor_g said in L2TP/IPSEC и Dashboard: Данный виджет отображает только пользователей аутентифицированных самим strongswan, т.е. вывод swanctl --list-pools --leases А где этот виджет хранит конфиги? Очень любопытно, есть ли возможность натравить к примеру на другой демон? Чтобы он подтягивал информацию о подключенных юзерах из freeradius например. Там не всё так просто, Для FreeRADIUS'а надо парсить логи, а для L2TP есть такой feature request: https://redmine.pfsense.org/issues/9633 исходники pfSense: https://github.com/pfsense/pfsense/

@rubic спасибо, мил человек. именно то что надо. забыл как делал ранее.

@Gektor я примерно с версии 2.1 его и не настраивал, но таково желание заказчика. Спасибо за ответы.

@werter said in Производительность IPSec AES-GCM vs OpenVPN AES-GCM на 2.4.5 (2.5.0): Я выбирал прямо в настройках ВПН. Спасибо. Кстати, в 2.5 появилась возможность продления сертификатов. Актуально для меня - через 3-4 года мои начнут истекать.

Туннель поднимается? Что в логах OVPN на обеих сторонах? Ключ, как вам уже ответили, не имеет срока действия. @pix_l said in Перестал работать openVPN: Подскажите, откуда взять этот ключ? Если очень хочется - удалить сервер и создать его его опять. Но сначала - смотреть логи.

https://forum.netgate.com/topic/152473/openvpn-log

@humaxoid При таких настройках фазы 2 весь трафик клиента пойдет через туннель. Никакие маршруты "ручками " прописывать не надо .

@werter благодарю, но блин там совсем не про моё.. ((( Я находил туториал по установке фрибэсэдэ и настройке сквида в режим прозрачности на одном порту и режиму авторизации по АД на другом порту. Пробовал делать по аналогии - сенс с ума сошёл так, что даже восстановление файликов сквида с последующими рестартами сервисов и просто рестартами машины не приводили к откату на момент "как было"! Пришлось восстанавливать систему из бэкапа. Неужто в сенсе настолько железно забито "или то, или то, третьего нет" Ладно ушёл дальше гуглить.

@pirantel Пож-та ) С вас инс-ция по настройке выдачи сертификатов с пом. обратного прокси. Реально может пригодиться. Заранее благодарен.

@deusbase С нек-рых пор RDP пользует и UDP.

@werter said in OpenVPN PSK: Site-to-Site инструкция для обсуждения: Это "неочевидное" правило и сейчас более чем очевидно в случае, если на сервере неск-ко ВАНов и нужно дать доступ и в сети впн-клиентов и выпустить через Failover_GW_Group в Инет. Да. Недавно пришлось вспомнить. Стоит задействовать группу шлюзов для выхода в интернет и без этого правила сеть за клиентом Open VPN становится недоступна.

@werter said in Блокируется ПК после смены шлюза: @randreevich https://docs.netgate.com/pfsense/en/latest/virtualization/virtualizing-pfsense-with-proxmox.html У вас одной "галки" не хватает. Спасибо, Вам, дорогой товарищ! Выручили.

@viktor_g said in исключить сайт HTTPS/SSL фильтрации: @randreevich какие настройки на squidGuard? Spliceall режим не подменяет сертификаты, потому не должно быть таких ошибок. Если выбран режим "Splice whitelist, Bump others", то сайты банков необходимо добавить в whitelist ACL И обязательно обновите squid до последней версии удалил ранее установленный сертификат = заработало. Всем спасибо!

@lucas1 Здр Соединение есть - звука нет , проблема НАТ sip сервера (он ничего не знает про внешний ip адрес) При установлении соединения в SIP инвайт пакетах указываются неверные ip адреса конечных точек соединения. Решается указанием , например , данных STUN сервера в настройках SIP сервера или неверно настроен проброс UDP пакетов к SIP серверу (RDP трафик)

Добрый. @Nabi92 Попробуйте Grafana + ELK . Касаемо впн не уверен, но попробовать стоит. Однако, прийдется поднимать отдельную вирт. машину для этого дела. devopstales.github.io/tags/pfsense/ github.com/solvaholic/solvaholic.github.io/wiki/Netflow-with-pfSense-and-ELK forum.netgate.com/topic/96832/pfsense-elk-stack-elasticsearch-logstash-kibana или в гугле по фразе "pfsense+elk+grafana+prometheus".

@blackWolf Прочитал. Внимательно. Только как это поможет разделить Sourse IP для запросов к DNS Fesolver от DNS сервера в локальной сети? server: access-control-view: 192.168.10.0/24 bypass access-control-view: 192.168.20.0/24 dnsbl В этом примере показано разделение по Source IP по сетям. В нашей локальной сети и так все завернуто на PfSense по DNS и без этого правила NAT. "Теперь любой DNS-запрос к любому внешнему IP-адресу приведет к тому, что брандмауэр ответит на запрос" - зачем это?

Да, действительно, завернул трафик в впн и все ок. Спасибо за совет :)