@mihail_204 Крутить пф на Нyper-V - фу. Напр., попробуйте "на лету" сменить\добавить VLAN TAG в настройках сетевой гипера. Получится? С KVM + openvswitch - да. У вас - нет.

@pigbrother Я еще тот "гуру" ) UPS + пакет NUT уменьшают кол-во седых волос. @CrazyMax Я бы еще один такие же винт и модуль ОЗУ докинул, поднял бы Proxmox на ZFS RAID1 и развернул бы пф как ВМ в нём. Автобэкапы, ZFS и поле для (любых) экспериментов (а не только для пф это железо пользовать). Ляпота ))

@nikhop said in НЕ работает автоматическое восстановление бэкапа: А прямо из админки можно? ) Из админки можно только восстановить имеющийся из 30 автобэкапов. Из веб-GUI можно сделать ручной бэкап, об этом вы, думаю, знаете. Автоматическая выгрузка через FTP\SSH\SMB\FILES штатно не предусмотрена, хотя и возможна кастомными скриптами. Имеется только, как уже писал, облачный автобэкап. Аналогично, есть решения для бэкапа со стороны клиента, гуглите. Готовое решение под Windows: https://github.com/KoenZomers/pfSenseBackup @nikhop said in НЕ работает автоматическое восстановление бэкапа: То есть по идее мне нужно вторую флешку вставлять? Не знаю. Попробуйте с одной. Не выйдет - придется иметь вторую.

@m010103 Здр а что понимается под "фильтрацией HTTPS" ? Можно привести пример ? Я просто недавно решал подобную задачу , которая состояла в том , чтобы распределить трафик от стримингового устройства по нескольким шлюзам, в зависимости от того какая программа на нем запущена. Проблема состояла в том , что список ip-адресов серверов , к которым может обращаться программа, постоянно меняется, и время жизни DNS ответа достаточно короткое решение ,по-моему, получилось достаточно гибким и быстрым , потому что работает на уровне ядра PFSense.

[image: 1569262041924-pf25.png] [image: 1569262049045-pf26.png] [image: 1569262055423-pf27.png]

@dragoangel я где-то писал обратное? поясните вашу глубокую мысль пожалуйста

@HelpUser said in TCP Retransmission нет доступа к серверу: Идеи кончились и оно заработало. вернул все обратно, и по новой галочку Отключить аппаратный расчет контрольной суммы. и заработало. https://docs.netgate.com/pfsense/en/latest/virtualization/index.html Это да. Это ж оф. доки читать надо. Предположу, что еще и OVS на PVE не пользуете ( Зы. forum.netgate.com/topic/120102/proxmox-ceph-zfs-pfsense-и-все-все-все/

@CrazyMax Вот только дошли руки написать. Ношусь по заводу как сайгак, меняю адреса у юзеров.... DHCP же Кому надо "статик" - тамже в настройках DHCP настраиваем связку постоянную "ip + mac" (мало ? arp static )

Добрый. @dimon128 said in Разделение сетевых интерфейсов.: Как запретить WIFI доступ локальную сеть, оставить возможность смотреть тольно в интернет. В dest - LAN net . У вас Lan address

Стоило только написать, как сам решил. Pfsense сам для себя не является шлюзом по умолчанию и как я понимаю, поэтому необходимо было настроить ручками исходящий нат для сети LAN.

В общем не знаю что я сделал, правильно или нет, но в настройках OpenWRT создал маршрут: [image: 1568746057983-%D1%81%D0%BD%D0%B8%D0%BC%D0%BE%D0%BA-%D1%8D%D0%BA%D1%80%D0%B0%D0%BD%D0%B0-2019-09-17-%D0%B2-21.46.38.png] После этого я получил доступ к HP iLO по IP 10.0.1.2 , который назначен роутеру: [image: 1568746167991-%D1%81%D0%BD%D0%B8%D0%BC%D0%BE%D0%BA-%D1%8D%D0%BA%D1%80%D0%B0%D0%BD%D0%B0-2019-09-17-%D0%B2-21.49.11.png] [image: 1568746286151-%D1%81%D0%BD%D0%B8%D0%BC%D0%BE%D0%BA-%D1%8D%D0%BA%D1%80%D0%B0%D0%BD%D0%B0-2019-09-17-%D0%B2-21.51.07-resized.png]

@Александр-Ш Убирайте. На LAN не должно быть никаких gateway. Независимо от того, что вы пытались этим достичь, это делает ваш сетап "мутным", и аплоад - только начало проблем. В чем цель этого?

@Agageldi-Hudayberenov В Нидерландах представлены провайдеры VPS с предустановленным pfsense (например, vultr). Стоит это $3.5 в месяц. Не помню что там с ограничениями по трафику, но для серфинга там хватит. Настройка openvpn: https://1cloud.ru/help/network/nastrojka-point-to-site-vpn-s-pomoshchyu-openvpn-remote-access-server-na-pfsense (не забыть включить Redirect gateway)

В общем, все оказалось проще чем есть. in_bytes и out_bytes определяются направлением соединения определяемое слева направо и по своей сути всегда пишется out_bytes В моем случае я собираю весь исходящий трафик. netflow.conf output { if [netflow][src_locality] == "private" and [netflow][dst_locality] == "public" { stdout { } udp { host => "splunk.example.com" port => 2055 } } } На данном этапе пытаюсь совместно с @Konstanti фильтровать поток уже на сенсоре а не на коллекторе используя ng_netflow

@dragoangel Здравствуйте Всем Вот одного не пойму ,почему в штыки взяли это правило ? Я попробовал и понял что более простого правила для борьбы с торентами и онлайн играми нет Добавляйте Алиасы Кому Куда и Зачем и всё будет ОК А объснять каждому что работает на портах >1024 вы меня извините для этого и есть интернет Тем более на этом форуме не просто Юзеры а спецы Это правило использует принцип 1 запрещаем почти (1024-62534) все 2 и разрешаем то и кому и что нужно Что и я вляется самым правильным что бы тут не писали

Небольшой апдейт (вдруг кому будет полезно) Не занимался мониторингом портов и тп. После покупки нового медиаплеера все работает четко как часы :) скорость на плеере в районе 900 мб/с. п.с. возможно кто то сталкивался с bufferbloat(QoS) и решением проблемы. Вопрос в том какой ресурс железа нужен чтобы рулить трафиком в 1 гб/с. ?

@rubezhanin Задай статику тачке в vlan1 и в vlan2 и пробуй пинговать

Я в этой организации полгода. Тут все эконом вариант. Я уже перепроектировал им сеть в эконом режиме, как говориться из того что было но вышло не плохо. Тут организация маленькая и не особо хотят траться на сетевую инфраструктуру. Тут 1с сервер крутился на виртуалке так что...... да да на виртуалке от оракл))) Теперь порядок ссд+wd gold и все белит на небольшой nas от lenovo, добью капсмана на хаплайтах и займусь этим сервером)