@mihail_204
Крутить пф на Нyper-V - фу.

Напр., попробуйте "на лету" сменить\добавить VLAN TAG в настройках сетевой гипера. Получится? С KVM + openvswitch - да. У вас - нет.

@pigbrother
Я еще тот "гуру" )

UPS + пакет NUT уменьшают кол-во седых волос.

@CrazyMax
Я бы еще один такие же винт и модуль ОЗУ докинул, поднял бы Proxmox на ZFS RAID1 и развернул бы пф как ВМ в нём. Автобэкапы, ZFS и поле для (любых) экспериментов (а не только для пф это железо пользовать). Ляпота ))

@nikhop said in НЕ работает автоматическое восстановление бэкапа:

А прямо из админки можно? )

Из админки можно только восстановить имеющийся из 30 автобэкапов. Из веб-GUI можно сделать ручной бэкап, об этом вы, думаю, знаете. Автоматическая выгрузка через FTP\SSH\SMB\FILES штатно не предусмотрена, хотя и возможна кастомными скриптами.
Имеется только, как уже писал, облачный автобэкап.

Аналогично, есть решения для бэкапа со стороны клиента, гуглите.
Готовое решение под Windows:
https://github.com/KoenZomers/pfSenseBackup

@nikhop said in НЕ работает автоматическое восстановление бэкапа:

То есть по идее мне нужно вторую флешку вставлять?

Не знаю. Попробуйте с одной. Не выйдет - придется иметь вторую.

@m010103 Здр
а что понимается под "фильтрацией HTTPS" ?
Можно привести пример ?
Я просто недавно решал подобную задачу , которая состояла в том , чтобы распределить трафик от стримингового устройства по нескольким шлюзам, в зависимости от того какая программа на нем запущена.
Проблема состояла в том , что список ip-адресов серверов , к которым может обращаться программа, постоянно меняется, и время жизни DNS ответа достаточно короткое
решение ,по-моему, получилось достаточно гибким и быстрым , потому что работает на уровне ядра PFSense.

pf25.png
pf26.png
pf27.png

@dragoangel я где-то писал обратное? поясните вашу глубокую мысль пожалуйста

@HelpUser said in TCP Retransmission нет доступа к серверу:

Идеи кончились и оно заработало. вернул все обратно, и по новой галочку Отключить аппаратный расчет контрольной суммы. и заработало.

https://docs.netgate.com/pfsense/en/latest/virtualization/index.html
Это да. Это ж оф. доки читать надо.
Предположу, что еще и OVS на PVE не пользуете (

Зы. forum.netgate.com/topic/120102/proxmox-ceph-zfs-pfsense-и-все-все-все/

@CrazyMax

Вот только дошли руки написать. Ношусь по заводу как сайгак, меняю адреса у юзеров....

DHCP же
Кому надо "статик" - тамже в настройках DHCP настраиваем связку постоянную "ip + mac" (мало ? arp static )

Добрый.

@dimon128 said in Разделение сетевых интерфейсов.:

Как запретить WIFI доступ локальную сеть, оставить возможность смотреть тольно в интернет.

В dest - LAN net . У вас Lan address

Стоило только написать, как сам решил.
Pfsense сам для себя не является шлюзом по умолчанию и как я понимаю, поэтому необходимо было настроить ручками исходящий нат для сети LAN.

В общем не знаю что я сделал, правильно или нет, но в настройках OpenWRT создал маршрут:
Снимок экрана 2019-09-17 в 21.46.38.png

После этого я получил доступ к HP iLO по IP 10.0.1.2 , который назначен роутеру:
Снимок экрана 2019-09-17 в 21.49.11.png
Снимок экрана 2019-09-17 в 21.51.07.png

@Александр-Ш
Убирайте. На LAN не должно быть никаких gateway. Независимо от того, что вы пытались этим достичь, это делает ваш сетап "мутным", и аплоад - только начало проблем. В чем цель этого?

@Agageldi-Hudayberenov
В Нидерландах представлены провайдеры VPS с предустановленным pfsense (например, vultr). Стоит это $3.5 в месяц. Не помню что там с ограничениями по трафику, но для серфинга там хватит.
Настройка openvpn: https://1cloud.ru/help/network/nastrojka-point-to-site-vpn-s-pomoshchyu-openvpn-remote-access-server-na-pfsense (не забыть включить Redirect gateway)

В общем, все оказалось проще чем есть. in_bytes и out_bytes определяются направлением соединения определяемое слева направо и по своей сути всегда пишется out_bytes
В моем случае я собираю весь исходящий трафик.
netflow.conf

output { if [netflow][src_locality] == "private" and [netflow][dst_locality] == "public" { stdout { } udp { host => "splunk.example.com" port => 2055 } } }

На данном этапе пытаюсь совместно с @Konstanti фильтровать поток уже на сенсоре а не на коллекторе используя ng_netflow

@dragoangel

Здравствуйте Всем

Вот одного не пойму ,почему в штыки взяли это правило ?
Я попробовал и понял что более простого правила для борьбы с торентами и онлайн играми нет
Добавляйте Алиасы Кому Куда и Зачем и всё будет ОК

А объснять каждому что работает на портах >1024 вы меня извините для этого и есть интернет
Тем более на этом форуме не просто Юзеры а спецы

Это правило использует принцип

1 запрещаем почти (1024-62534) все
2 и разрешаем то и кому и что нужно

Что и я вляется самым правильным что бы тут не писали☺

Небольшой апдейт (вдруг кому будет полезно)
Не занимался мониторингом портов и тп.
После покупки нового медиаплеера все работает четко как часы :) скорость на плеере в районе 900 мб/с.
п.с. возможно кто то сталкивался с bufferbloat(QoS) и решением проблемы. Вопрос в том какой ресурс железа нужен чтобы рулить трафиком в 1 гб/с. ?

@rubezhanin Задай статику тачке в vlan1 и в vlan2 и пробуй пинговать

Я в этой организации полгода. Тут все эконом вариант. Я уже перепроектировал им сеть в эконом режиме, как говориться из того что было но вышло не плохо. Тут организация маленькая и не особо хотят траться на сетевую инфраструктуру. Тут 1с сервер крутился на виртуалке так что...... да да на виртуалке от оракл))) Теперь порядок ссд+wd gold и все белит на небольшой nas от lenovo, добью капсмана на хаплайтах и займусь этим сервером)