Upd. (Старшие) товарищи подсказывают, что which <command> - отстой уже не торт. Правильно и молодежно - command -v <command>

@marchello Насчет Зюхеля. У него в настройках есть NAT Helper (ALG)? Если есть, то выкл. его.

@ruslan9494 Возможно, что ваш Зюхель умеет PADAVAN ( гуглить по 'padavan 4pda') , что значительно расширит его возможности (openvpn, multiwan etc). Крайне рекомендую )

@dimon128 https://docs.netgate.com/pfsense/en/latest/ В школах каникулы начались (

Все-таки я этот прокси не победил пока и подзабил. Пустил траффик в обход. Будет время - докручу. Пока расходимсо ...

Парни, привет. Всем спасибо за советы. В итоге LAGG собрался на четырех Гбитах (4 карточки смотрят на свитч). Прикрутил виланы и все пока работает. Что сделал: в Система - Расширенные - Системные настройки добавил параметр net.link.lagg.0.lacp.lacp_strict_mode = 0 У D-linka порты с отключенным тестированием петли (обязательно) + в активном режиме + в транке LACP ЗБС. Расходимсо по одному. Если что, мы - геологи.

А версии пф? HAProxy точно умеет автоматом в CARP настройки пушить с PRIMARY на BACKUP? В крайнем случае на ВСЕХ нодах: Удалить пакет на всех Переименовать папку, где лежат настройки на всех Установить на всех и настроить пакет только(?) на PRIMARY. Дождаться\пнуть синхронизацию с PRIMARY на BACKUP (?) Перезагрузить все пф.

Тоже столкнулся с этой проблемой. В итоге собрав инфу c форумов, решил проблему без igmp proxy. Добавил Vlan 688 (тег iptv в моем случае) и через отдельный интерфейс подключил тв приставку ростелекома. В итоге, в pfsense получилось 2 интерфейса: OPT1 (vlan 688) и OPT2 (тв приставка). Дальше назначил им статическое ip через консоль (у меня 192.168.20.1/28 - OPT1 и 192.168.20.4/28 OPT2). DHCP для них включать не нужно. Далее через веб интерфейс pfsense сделал мост (вкладка Interfaces - Bridges), объединив OPT1 и OPT2. После сгруппировал интерфейсы OPT1 и OPT2 (вкладка Interfaces - Interface Groups) и назвал IPTV_group. Следующим шагом настроил файрволл (вкладка Firewall - Rules). Тут должны появиться вкладки с созданными интерфейсами OPT1 и OPT2, а также группа IPTV_group. Добавил этим интерфейсам разрешающее правило. Обязательно надо ставить галочку Allow IP options - Allow packets with IP options to pass. Otherwise they are blocked by default. This is usually only seen with multicast traffic.

@oleg1969 Рыбалкой увлекаешься? P.s. Мрак, конечно. Сотри, пока не все еще прочли. Помогать тебе после таких "откровений" захотят немногие. Уверен в этом.

@pigbrother спасибо за участие :) теперь вроде устаканил сейчас настройл доступ из внешнки. Осталось добить работу внутри сети. Еще раз Спасибо!! Просто на едине с телевизором мысли в голову не лезут

@pigbrother said in VPN + DHCP Relay + DHCP на Windows 2008: @rline said in VPN + DHCP Relay + DHCP на Windows 2008: Особенно интересно как групповые политики там будут работать. Тут начинается непаханное поле. Для вас. Я дальше экспериментов в этом направлении не ходил. Тогда совместимость\функциональность были, мягко говоря, неполными. Что-то между 2008 и 2012 будет точно. Если не городить кучу Групповых политик с извращениями - вполне функционально (а как доп DC - тем более) @rline И откроете для себя RSAT заодно.

@werter вообще, конечно, это не обязательно фтп/смб/нфс. Вы правы по поводу разграничения доступов. Именно в этом и смысл, чтобы видеть, когда данные покидают лан. И доступа наружу может и не быть, ведь взломав пк/другой сервер в сети и заимев доступ к шаре, можно все слить через взломанную машину, для этого я хочу настроить мониторинг цепочек потоков, так сказать, смотреть откуда ноги растут) и да, баш хистори и прочие логи заливаются на тот же спланк сразу, после выполнения команд :)

Добрый Если проблема с доступом только к КД, то и разбираться с КД. Как? Откройте для себя ЛОГИ. Они в Вин ОС нах-ся в Event viewer-е. И ВСЕГДА и ВЕЗДЕ где это возможно изучайте ЛОГИ. Тогда и биться головой об стену не прийдется. Везде стоит pfsense 2.0.1. Мил человек. КРАЙНЕ рекомендую перейти на 2.4.х. Пока это относительно безболезненно. Иначе с приходом 2.5.х и FreeBSD 12 "лафа" может закончиться. Изменения уже в 2.4 ОГРОМНЫ в сравнении с 2.0 Можно так: Развертывайте тот же VBOХ, делайте бэкап конфига своего пф БЕЗ доп. пакетов, поднимаете ВМ со свежим пф и подбрасываете сбэкапленный ранее конфиг. Пробуете-тестируете. После переносите на ваше реальное железо. Зы. Надеюсь, что у вас КД не одинок. В смысле, что имеется еще и ADC\BDC. 3ы2. И размещайте скрины прямо ЗДЕСЬ.

Добрый. Сурикат на пф? Или у вас он отдельно? Ваши хотелки можно реализовать простыми правилами fw на ЛАН (+ алиас с нехорошими IP).

Определенный GW (и не только его) в сети МОЖНО выдавать с помощью DHCP option: Option 3 - Default GW (может быть несколько для эээ Failover) https://www.sonicwall.com/support/knowledge-base/?sol_id=170505809847447 Option 121 (раздача статических маршрутов по DHCP) - https://help.keenetic.com/hc/ru/articles/115004467465-Инструкция-по-настройке-опций-DHCP-в-интернет-центрах Но не думаю, что для TC это подойдет.

Собственно решил пока таким образом. Убрал на SW адрес 1.253. Создал vlan 5 и vlan интрефейс с адресом 10.10.5.254/30. На pfsens также создал vlan 5 и виртуальный интрефейс с адресом 10.10.5.1/30, соединил их транком. В SW прописал маршрут по дефолту на 10.10.5.1, а на pfsens прописал статику вида 192.168.10.0/24 через 10.10.5.254. Так все работает нормально. Конечно, с точки зрения правильности это не совсем верно, т.к трафик от серверов из vlan 1 и к ним из vlan 10 будет проходить через pfsense, который не совсем для этого подходит и более правильно будет коммутировать все через ядро SW. Поэтому в ближайшее время переделаю таким образом, что шлюзом для всех будет являтся SW, к которому через транк подключен pfsene, который будет только раздавать интернет

@lucas1 Не нашел, где это отключить. За 1500 рэ найду и отключу. Зы. Обновите БИОС матплаты до последнего. Не поможет - откл. в БИОС свое "чудо" и ищете внешнюю сетевую ИЛИ пользуйте VLAN на имеющихся сетевых (при наличие L2-свитча, ес-но).

@vladimirlind said in Проблема доступа к частной сети по Openvpn: @logon61 сделайте на Lan разрешающие правила для трафика из 192.168.125.0/24 к 192.168.6.0/24 и 192.168.43.0/24 БЕЗ gateway (оставьте дефолтное значение) - эти правила должны находиться выше правил со шлюзами Спасибо! Именно в этом и была проблема! Теперь трафик ходит как положено)