Upd.

(Старшие) товарищи подсказывают, что which <command> - отстой уже не торт. Правильно и молодежно - command -v <command>

@marchello

Насчет Зюхеля. У него в настройках есть NAT Helper (ALG)? Если есть, то выкл. его.

@ruslan9494
Возможно, что ваш Зюхель умеет PADAVAN ( гуглить по 'padavan 4pda') , что значительно расширит его возможности (openvpn, multiwan etc). Крайне рекомендую )

@dimon128
https://docs.netgate.com/pfsense/en/latest/

В школах каникулы начались (

Все-таки я этот прокси не победил пока и подзабил. Пустил траффик в обход. Будет время - докручу.
Пока расходимсо ...

Парни, привет.

Всем спасибо за советы. В итоге LAGG собрался на четырех Гбитах (4 карточки смотрят на свитч). Прикрутил виланы и все пока работает.
Что сделал:
в Система - Расширенные - Системные настройки добавил параметр net.link.lagg.0.lacp.lacp_strict_mode = 0
У D-linka порты с отключенным тестированием петли (обязательно) + в активном режиме + в транке LACP

ЗБС.

Расходимсо по одному. Если что, мы - геологи.

А версии пф?

HAProxy точно умеет автоматом в CARP настройки пушить с PRIMARY на BACKUP?

В крайнем случае на ВСЕХ нодах:

Удалить пакет на всех
Переименовать папку, где лежат настройки на всех
Установить на всех и настроить пакет только(?) на PRIMARY.
Дождаться\пнуть синхронизацию с PRIMARY на BACKUP
(?) Перезагрузить все пф.

Тоже столкнулся с этой проблемой. В итоге собрав инфу c форумов, решил проблему без igmp proxy.
Добавил Vlan 688 (тег iptv в моем случае) и через отдельный интерфейс подключил тв приставку ростелекома.
В итоге, в pfsense получилось 2 интерфейса: OPT1 (vlan 688) и OPT2 (тв приставка).
Дальше назначил им статическое ip через консоль (у меня 192.168.20.1/28 - OPT1 и 192.168.20.4/28 OPT2). DHCP для них включать не нужно.
Далее через веб интерфейс pfsense сделал мост (вкладка Interfaces - Bridges), объединив OPT1 и OPT2.
После сгруппировал интерфейсы OPT1 и OPT2 (вкладка Interfaces - Interface Groups) и назвал IPTV_group.
Следующим шагом настроил файрволл (вкладка Firewall - Rules). Тут должны появиться вкладки с созданными интерфейсами OPT1 и OPT2, а также группа IPTV_group. Добавил этим интерфейсам разрешающее правило. Обязательно надо ставить галочку Allow IP options - Allow packets with IP options to pass. Otherwise they are blocked by default. This is usually only seen with multicast traffic.

@oleg1969
Рыбалкой увлекаешься?

P.s. Мрак, конечно. Сотри, пока не все еще прочли. Помогать тебе после таких "откровений" захотят немногие. Уверен в этом.

@pigbrother спасибо за участие :) теперь вроде устаканил сейчас настройл доступ из внешнки. Осталось добить работу внутри сети. Еще раз Спасибо!! Просто на едине с телевизором мысли в голову не лезут 😀

@pigbrother said in VPN + DHCP Relay + DHCP на Windows 2008:

@rline said in VPN + DHCP Relay + DHCP на Windows 2008:

Особенно интересно как групповые политики там будут работать.

Тут начинается непаханное поле. Для вас. Я дальше экспериментов в этом направлении не ходил. Тогда совместимость\функциональность были, мягко говоря, неполными.

Что-то между 2008 и 2012 будет точно. Если не городить кучу Групповых политик с извращениями - вполне функционально (а как доп DC - тем более)

@rline
И откроете для себя RSAT заодно.

@werter вообще, конечно, это не обязательно фтп/смб/нфс. Вы правы по поводу разграничения доступов.
Именно в этом и смысл, чтобы видеть, когда данные покидают лан. И доступа наружу может и не быть, ведь взломав пк/другой сервер в сети и заимев доступ к шаре, можно все слить через взломанную машину, для этого я хочу настроить мониторинг цепочек потоков, так сказать, смотреть откуда ноги растут) и да, баш хистори и прочие логи заливаются на тот же спланк сразу, после выполнения команд :)

Добрый

Если проблема с доступом только к КД, то и разбираться с КД. Как? Откройте для себя ЛОГИ. Они в Вин ОС нах-ся в Event viewer-е. И ВСЕГДА и ВЕЗДЕ где это возможно изучайте ЛОГИ. Тогда и биться головой об стену не прийдется.

Везде стоит pfsense 2.0.1.

Мил человек.
КРАЙНЕ рекомендую перейти на 2.4.х. Пока это относительно безболезненно. Иначе с приходом 2.5.х и FreeBSD 12 "лафа" может закончиться. Изменения уже в 2.4 ОГРОМНЫ в сравнении с 2.0

Можно так:
Развертывайте тот же VBOХ, делайте бэкап конфига своего пф БЕЗ доп. пакетов, поднимаете ВМ со свежим пф и подбрасываете сбэкапленный ранее конфиг. Пробуете-тестируете. После переносите на ваше реальное железо.

Зы. Надеюсь, что у вас КД не одинок. В смысле, что имеется еще и ADC\BDC.
3ы2. И размещайте скрины прямо ЗДЕСЬ.

Добрый.

Сурикат на пф? Или у вас он отдельно?

Ваши хотелки можно реализовать простыми правилами fw на ЛАН (+ алиас с нехорошими IP).

Определенный GW (и не только его) в сети МОЖНО выдавать с помощью DHCP option:

Option 3 - Default GW (может быть несколько для эээ Failover) https://www.sonicwall.com/support/knowledge-base/?sol_id=170505809847447
Option 121 (раздача статических маршрутов по DHCP) - https://help.keenetic.com/hc/ru/articles/115004467465-Инструкция-по-настройке-опций-DHCP-в-интернет-центрах

Но не думаю, что для TC это подойдет.

Собственно решил пока таким образом. Убрал на SW адрес 1.253. Создал vlan 5 и vlan интрефейс с адресом 10.10.5.254/30. На pfsens также создал vlan 5 и виртуальный интрефейс с адресом 10.10.5.1/30, соединил их транком. В SW прописал маршрут по дефолту на 10.10.5.1, а на pfsens прописал статику вида
192.168.10.0/24 через 10.10.5.254. Так все работает нормально.
Конечно, с точки зрения правильности это не совсем верно, т.к трафик от серверов из vlan 1 и к ним из vlan 10 будет проходить через pfsense, который не совсем для этого подходит и более правильно будет коммутировать все через ядро SW. Поэтому в ближайшее время переделаю таким образом, что шлюзом для всех будет являтся SW, к которому через транк подключен pfsene, который будет только раздавать интернет

@lucas1

Не нашел, где это отключить.

За 1500 рэ найду и отключу.

Зы. Обновите БИОС матплаты до последнего. Не поможет - откл. в БИОС свое "чудо" и ищете внешнюю сетевую ИЛИ пользуйте VLAN на имеющихся сетевых (при наличие L2-свитча, ес-но).

@vladimirlind said in Проблема доступа к частной сети по Openvpn:

@logon61 сделайте на Lan разрешающие правила для трафика из 192.168.125.0/24 к 192.168.6.0/24 и 192.168.43.0/24 БЕЗ gateway (оставьте дефолтное значение) - эти правила должны находиться выше правил со шлюзами

Спасибо! Именно в этом и была проблема! Теперь трафик ходит как положено)