@AlexWhite said in pfSense в коммерческой среде:

И что значит надпись при первом входе в вэб-интерфейс "non-commercial use only"?

Насколько я помню - имеется в виду запрет на продажу как самого PF, так и устройств с предустановленным PF
https://forum.netgate.com/topic/121499/using-pfsense-2-4-0-in-a-commercial-environment/3
https://www.reddit.com/r/PFSENSE/comments/7398pa/absolutely_no_commercial_distribution_is_allowed/

Ротация.

Памяти много - мне не жалко.

Кхм, спорное утверждение )
Я бы не "мудрил". Я уж точно не умнее разрабов )

@andrew82
1.1.1.1, 1.0.0.1, адреса Яндекс ДНС, opendns etc

Также вопрос возможно-ли для каждого канала пинговать более одного хоста для большей достоверности результатов?

Нет.

@pigbrother Воооот! Надо проверить. Скорее всего. Но в выходной выходить неохота, а на ходу не получилось.

@werter не, на свичах все норм. Я еще не перекидывал LAGG на static вместо lacp, просто неохота. Да и надобности уже особой нет.

Небольшой апдейт интересной темы.

GUI для собственного контроллера - https://key-networks.com/ztncui/

ztncui - ZeroTier network controller user interface

ZeroTier networks are set up and configured on a ZeroTier network controller. You can either use the network controllers hosted by ZeroTier or set up your own standalone network controller. Setting up a standalone network controller is quite simple - just install the ZeroTier One software and follow the installation instructions below to install ztncui on a Linux machine.

Оф. гайд PVE https://pve.proxmox.com/pve-docs/pve-admin-guide.html

3.3.5. Routed Configuration
You can avoid the problem by “routing” all traffic via a single interface. This makes sure that all network packets use the same MAC address.

На 146% ваш случай и решение дано. Переходите на темную сторону PVE. Не пожалеете. Но только на ZFS )
Зы. У них еще и классный почтовый шлюз есть - PMG.

@pigbrother
ТС не в состоянии это (у)знать (

@werter благодарю-разобрался, обновился теперь пакеты устанавливаются. спасибо

@Konstanti
Попробовал, интересный эффект, трафик на клиенте ловится с других устройств, а если с самого хоста пф клиента, то трафика нет ... веб-гуи сервера есть, а на другом порту трафика нет ... Аааа, епсель-мопсель, на клиенте же fw, ну усе заработало,

Мэни сэнкс ...)

Теперь переходим в squidGuard.

Создаем Группы в AD и в Groups ACL.
Делаю запрет на все, а в инет доступ есть..
Куда теперь смотреть?

да, нашел еще одно решение, точнее сайт для PF2AD

если кому то поможет, то: https://openjdtec.com.br/pf2ad/

это, то что стало платным - https://www.pf2ad.com/

В ПФсенс сквид более свежей версии, хоть и далеко не самой новой, но до конца не понятно каким образом фильтрует хттпс

В смысле KAK? Это ж MiTM - сквид "вмешивается" в передаваемый трафик между клиентом и веб-сервером.
https://wiki.squid-cache.org/Features/SslBump . Сейчас так - https://wiki.squid-cache.org/Features/SslPeekAndSplice

@pigbrother
Телефоны, планшеты, ноуты, кофеварки уж лет 5 как умеют. На форуме опенврт и 4пда все есть.

@werter
Ну , да )))
В процессе тестирования вылезла одна ошибка
Я у себя ее поправил , теперь все работает нормально ,по-моему
Было

Jan 14 15:00:39 pfSense filterdns: Change detected on host: www.yandex.ru Jan 14 15:00:39 pfSense filterdns: Awaking from the sleep for type: pf table: test_alias hostname: www.yandex.ru Jan 14 15:00:39 pfSense filterdns: Added pf address, table: test_alias host: www.yandex.ru address: 77.88.55.70 Jan 14 15:00:39 pfSense filterdns: FAILED to remove pf address, table: test_alias host: www.yandex.ru address: 77.88.55.60 error: -1 Jan 14 15:00:39 pfSense filterdns: Updated pf table test_alias host: www.yandex.ru error: -1

Стало

Jan 16 17:37:57 pfSense filterdns: Awaking from the sleep for hostname www.netflix.com (2) Jan 16 17:37:57 pfSense filterdns: adding address 54.84.155.179 for host www.netflix.com Jan 16 17:37:57 pfSense filterdns: removing address 52.20.168.249 from host www.netflix.com Jan 16 17:37:57 pfSense filterdns: Updated pf table test_alias host: www.netflix.com error: 0

Те программа отрабатывала нормально , но в логах писала об ошибке

@Artemon

Из нативного попробуйте l2tp.
Можно это дело автоматизировать, если много поль-лей:
https://stackoverflow.com/questions/14614465/establish-a-vpn-connection-in-cmd
Зы. По умолч. Вин заворачивает весь трафик в туннель. Должно помочь или руками галку снять в настройках впн-линка (support.zyxel.eu/hc/ru/articles/360001121480-L2TP-Over-IPSEC-VPN-Split-Tunneling) или маршрут удалить и добавить с netsh - https://businessforum.zyxel.com/discussion/3628/l2tp-over-ipsec

@pigbrother
спс , расшарил где переменные добавлять , и логи где смотреть . буду тестить , тока завтра уже.

@sergiybt Если пинги идут , а tcp не работает
и у Вас виртуальная ам - отключайте расчет контрольных сумм tcp пакетов адаптером (пусть этим ядро занимается )
то что Вы показали (вывод tcpdump ) говорит о том , что SYN пакеты идут , а ответа нет ( NAT Outbound работает ) - самая вероятная причина - это неверная контрольная сумма tcp пакета (опять же , при условии , что второй участник соединения открыл порт 10080 для соединения)
покажите вывод команды
ifconfig -m

@millenium https://forum.netgate.com/topic/148868/pfsense-squid-adgroups-https/2 уже написано и опубликовано)

@Balaganov

Но пока также не знаком толком с DoH и не уверен, что он есть в Safari (desktop и mobile).

https://gist.github.com/soderlind/6a440cd3c8e017444097cf2c89cc301d
Надо собственный DoH ? https://pi-hole.net/ или https://github.com/AdguardTeam/AdGuardHome/wiki
https://kb.adguard.com/ru/general/dns-providers

Или через опции DHCP это тоже можно передать?

Option 252. Вот только современ. браузеры на эту опцию реагируют от слова никак. IE когда-то внимал ей.
Так у вас смузи-ОСь Mac - там и хромого с лисой нечасто встретишь, а не то что IE.