@AlexWhite said in pfSense в коммерческой среде: И что значит надпись при первом входе в вэб-интерфейс "non-commercial use only"? Насколько я помню - имеется в виду запрет на продажу как самого PF, так и устройств с предустановленным PF https://forum.netgate.com/topic/121499/using-pfsense-2-4-0-in-a-commercial-environment/3 https://www.reddit.com/r/PFSENSE/comments/7398pa/absolutely_no_commercial_distribution_is_allowed/

Ротация. Памяти много - мне не жалко. Кхм, спорное утверждение ) Я бы не "мудрил". Я уж точно не умнее разрабов )

@andrew82 1.1.1.1, 1.0.0.1, адреса Яндекс ДНС, opendns etc Также вопрос возможно-ли для каждого канала пинговать более одного хоста для большей достоверности результатов? Нет.

@pigbrother Воооот! Надо проверить. Скорее всего. Но в выходной выходить неохота, а на ходу не получилось.

@werter не, на свичах все норм. Я еще не перекидывал LAGG на static вместо lacp, просто неохота. Да и надобности уже особой нет.

Небольшой апдейт интересной темы. GUI для собственного контроллера - https://key-networks.com/ztncui/ ztncui - ZeroTier network controller user interface ZeroTier networks are set up and configured on a ZeroTier network controller. You can either use the network controllers hosted by ZeroTier or set up your own standalone network controller. Setting up a standalone network controller is quite simple - just install the ZeroTier One software and follow the installation instructions below to install ztncui on a Linux machine.

Оф. гайд PVE https://pve.proxmox.com/pve-docs/pve-admin-guide.html 3.3.5. Routed Configuration You can avoid the problem by “routing” all traffic via a single interface. This makes sure that all network packets use the same MAC address. На 146% ваш случай и решение дано. Переходите на темную сторону PVE. Не пожалеете. Но только на ZFS ) Зы. У них еще и классный почтовый шлюз есть - PMG.

@pigbrother ТС не в состоянии это (у)знать (

@werter благодарю-разобрался, обновился теперь пакеты устанавливаются. спасибо

@Konstanti Попробовал, интересный эффект, трафик на клиенте ловится с других устройств, а если с самого хоста пф клиента, то трафика нет ... веб-гуи сервера есть, а на другом порту трафика нет ... Аааа, епсель-мопсель, на клиенте же fw, ну усе заработало, Мэни сэнкс ...)

Теперь переходим в squidGuard. Создаем Группы в AD и в Groups ACL. Делаю запрет на все, а в инет доступ есть.. Куда теперь смотреть?

да, нашел еще одно решение, точнее сайт для PF2AD если кому то поможет, то: https://openjdtec.com.br/pf2ad/ это, то что стало платным - https://www.pf2ad.com/

В ПФсенс сквид более свежей версии, хоть и далеко не самой новой, но до конца не понятно каким образом фильтрует хттпс В смысле KAK? Это ж MiTM - сквид "вмешивается" в передаваемый трафик между клиентом и веб-сервером. https://wiki.squid-cache.org/Features/SslBump . Сейчас так - https://wiki.squid-cache.org/Features/SslPeekAndSplice

@pigbrother Телефоны, планшеты, ноуты, кофеварки уж лет 5 как умеют. На форуме опенврт и 4пда все есть.

@werter Ну , да ))) В процессе тестирования вылезла одна ошибка Я у себя ее поправил , теперь все работает нормально ,по-моему Было Jan 14 15:00:39 pfSense filterdns: Change detected on host: www.yandex.ru Jan 14 15:00:39 pfSense filterdns: Awaking from the sleep for type: pf table: test_alias hostname: www.yandex.ru Jan 14 15:00:39 pfSense filterdns: Added pf address, table: test_alias host: www.yandex.ru address: 77.88.55.70 Jan 14 15:00:39 pfSense filterdns: FAILED to remove pf address, table: test_alias host: www.yandex.ru address: 77.88.55.60 error: -1 Jan 14 15:00:39 pfSense filterdns: Updated pf table test_alias host: www.yandex.ru error: -1 Стало Jan 16 17:37:57 pfSense filterdns: Awaking from the sleep for hostname www.netflix.com (2) Jan 16 17:37:57 pfSense filterdns: adding address 54.84.155.179 for host www.netflix.com Jan 16 17:37:57 pfSense filterdns: removing address 52.20.168.249 from host www.netflix.com Jan 16 17:37:57 pfSense filterdns: Updated pf table test_alias host: www.netflix.com error: 0 Те программа отрабатывала нормально , но в логах писала об ошибке

@Artemon Из нативного попробуйте l2tp. Можно это дело автоматизировать, если много поль-лей: https://stackoverflow.com/questions/14614465/establish-a-vpn-connection-in-cmd Зы. По умолч. Вин заворачивает весь трафик в туннель. Должно помочь или руками галку снять в настройках впн-линка (support.zyxel.eu/hc/ru/articles/360001121480-L2TP-Over-IPSEC-VPN-Split-Tunneling) или маршрут удалить и добавить с netsh - https://businessforum.zyxel.com/discussion/3628/l2tp-over-ipsec

@pigbrother спс , расшарил где переменные добавлять , и логи где смотреть . буду тестить , тока завтра уже.

@sergiybt Если пинги идут , а tcp не работает и у Вас виртуальная ам - отключайте расчет контрольных сумм tcp пакетов адаптером (пусть этим ядро занимается ) то что Вы показали (вывод tcpdump ) говорит о том , что SYN пакеты идут , а ответа нет ( NAT Outbound работает ) - самая вероятная причина - это неверная контрольная сумма tcp пакета (опять же , при условии , что второй участник соединения открыл порт 10080 для соединения) покажите вывод команды ifconfig -m

@millenium https://forum.netgate.com/topic/148868/pfsense-squid-adgroups-https/2 уже написано и опубликовано)

@Balaganov Но пока также не знаком толком с DoH и не уверен, что он есть в Safari (desktop и mobile). https://gist.github.com/soderlind/6a440cd3c8e017444097cf2c89cc301d Надо собственный DoH ? https://pi-hole.net/ или https://github.com/AdguardTeam/AdGuardHome/wiki https://kb.adguard.com/ru/general/dns-providers Или через опции DHCP это тоже можно передать? Option 252. Вот только современ. браузеры на эту опцию реагируют от слова никак. IE когда-то внимал ей. Так у вас смузи-ОСь Mac - там и хромого с лисой нечасто встретишь, а не то что IE.