Скрины того ,что настроили. Логично же показать, да?

@xaxnas наверное, вот этот багрепорт как раз об этой ситуации - https://redmine.pfsense.org/issues/6777

@vladimirlind Так можно же сделать порт-форвардинг на LAN - все запросы DNS UDP/TCP port 53 заруливать на 127.0.0.1 Об этом пишу чуть ли не через пост в этой ветке. UPD : а, вы имеете в виду DNS упаковывается в HTTPS.... тогда проблема. Интересно, как тут быть тогда... Я об этом http://www.spy-soft.net/dns-over-https-firefox/ Блокировать такое (пока) невозможно. Оно ж для обхода блокировок по DNS и создавалось ) Поднять свой DOH-сервис несложно: https://facebookexperimental.github.io/doh-proxy/tutorials/nginx-dohhttpproxy-unbound-centos7.html https://www.aaflalo.me/2018/10/tutorial-setup-dns-over-https-server/ Как вариант : завернуть все ДНС-запросы на пф (хуже не будет); создать алиас со списком ресурсов; использовать этот алиас в правилах FW (можно с REJECT). У меня так соц. сети блокируется.

@werter said in PfSense 2.4.4-RELEASE-p2 + Mikrotik: то push-ить удобнее ЦЕНТРАЛИЗОВАНО на стороне сервера. С тем, что push-ить можно практически все должен быть знаком каждый, использующий OpenVPN. Просто утверждение, что @werter said in PfSense 2.4.4-RELEASE-p2 + Mikrotik: Вкл. ,ес-но, на сервере. Можно интерпретировать так, что без включения на сервере это работать не будет.

@dvv06 резолвер, форвардер, обновления пф - это фигня для ленивых, кто не хочет разбираться в сути проблемы Проблемы нет. Вы создали ее сами себе. Не захотев ВНИМАТЕЛЬНО отнестись к тому, что советовали. и подобную проблему я читал с ошибках пф (уже непомню решенная или нет, гуглить повторно не буду) Болтовня. Ссылки в студию. Зы. И про лень - я не ошибся.

Таких "дятлов" - пол-инета. Глупости. Какая защита по IP, если человек пользует RDP с : -дом. комп-ра -по ви-фи на Тайване -через мобилу, находясь в Запопенске? etc

@alex82 Понятно почему ошибку выдает это же PHP- скрипт попробуйте такую строку добавить exec("pfctl -F all");

Добрый день. cat /usr/local/etc/squid/squid.conf | grep safe что показывает? По этим портам без SSL веб трафик?

@vladimirlind said in Policy Based Routing. Транзитный трафик.: Ну да, как и у вас: pass out route-to ( gif0 10.150.15.161 ) from 10.150.15.162 to !10.150.15.160/30 tracker 1000006964 keep state allow-opts label "let out anything from firewall host itself" pass out route-to ( gif3 10.150.16.126 ) from 10.150.16.125 to !10.150.16.124/30 tracker 1000006965 keep state allow-opts label "let out anything from firewall host itself" А, на самом деле не эти правила, но тем не менее, если отфильтровать /tmp/rules.debug по GWGIF_P2_I_TUNNELV4 и GWGIF_P2_P1_TUNNELV4 - будут похожие правила. Так что сути не меняет.

@lucas1 Попробовал. Разницу не заметил. Правила выполняются сверху-вниз до 1-го совпадения. И все, что не разрешено явно - запрещено. Если IP и в Алиасе и в LAN net, то сработает то, что стоит выше. Грубо говоря , если заходите на сайт по http , а на сайте висят баннеры с ссылками на https, то пф разрешит http и полезет дальше проверять можно ли еще и httpS. Само собой, что правило с ALL сработает сразу же и оно "легче" для пф, а правило "Только http и httpS" породит лишние итерации проверки. Но чтобы на глаз это было видно - это "чудо" какое-то.

@werter GIF для тестовой среды. RFC1918 там был еще транзитный трафик, не относящийся к данной проблеме. Считаю тоже, что все работает. Вопрос теперь 2 - транзитный трафик. Никак не получается.

В общем попытался как-то сузить проблему. Получается, что при включении этого модема в комп с Windows он выдает 6-8 Мбит/с (с антеной 13-16Мбит/с), а включение его по инструкции вЫше как интерфейс ue0 выдает до 6 Мбит/с (с антеной таже скорость <=6 МБит/с) причем в основном до <=1 МБит/с с всплесками до 6Мбит/с. При єтом соответсвенно для разрешения имен не хватает канала на всех и пинги теряются. Смотрел при этом в настройки DNS lookup как в вєб-интерфейсе, так и через коносль - получается ,что то один днс ответит, то другой, а остальные "No response". Пробовал со ворым таким же модемом - ситуация на pfSense такая же, т.е не в модеме дело. Оcтается usb-modeswitch. Установлена usb_modeswitch-2.2.5, пробовал обновится до usb_modeswitch-2.5.2 на резервном пк - все внешние интерфейсы не отвечают, кроме периодически уходящего в "No response" DNS от этого провайдера. Причем на этом компе нагрузка от пользователя только от меня. Вот что в консоли получается [image: 1558007566785-11.jpg]

@Konstanti Четыре Если точнее - 2 хоста, 1 адрес широковещательный, 1 адрес сети ) В нек-ых "случаях" хосту можно присваивать адрес сети или широковещательный адрес (?)

@pigbrother Тогда тот же б\у Xiaomi Mi Router 3G с авито + Padavan спасут ТС )

Так и есть. Но описания правил в proxy filter сохранялись на русском.

Уже разобрался, спасибо

@sevo44 said in NET::ERR_CERT_AUTHORITY_INVALID на сайты работающие по ssl в локальной сети + проброс с wan при работе pfsense в виртуальной машине Proxmox: мы с вами победили ! :) день победы как никак на носу. Поздравляю! @sevo44 said in NET::ERR_CERT_AUTHORITY_INVALID на сайты работающие по ssl в локальной сети + проброс с wan при работе pfsense в виртуальной машине Proxmox: Выгрузка аппаратной контрольной суммы Как же жутко это звучит...

@vladimirlind Примерно в том направлении и копаю. Всё получилось. Большое спасибо.

@werter said in Настрока моста pfsense: Проверяйте трасероутом, где затыкается. Трассировка проходит удовлетворительно, и до самого основного почтового сервера. Вкл. логи на fw и смотрите там. Логи мало что дают, конкретно в рамках того что там представлено Зы. Зачем НАТ в ручной режим перевели? Так как нормально не ходили маршруты, что-то было не так, сделали ручной добавили all везде где можно