Скрины того ,что настроили. Логично же показать, да?

@xaxnas наверное, вот этот багрепорт как раз об этой ситуации - https://redmine.pfsense.org/issues/6777

@vladimirlind

Так можно же сделать порт-форвардинг на LAN - все запросы DNS UDP/TCP port 53 заруливать на 127.0.0.1

Об этом пишу чуть ли не через пост в этой ветке.

UPD : а, вы имеете в виду DNS упаковывается в HTTPS.... тогда проблема. Интересно, как тут быть тогда...

Я об этом http://www.spy-soft.net/dns-over-https-firefox/

Блокировать такое (пока) невозможно. Оно ж для обхода блокировок по DNS и создавалось )

Поднять свой DOH-сервис несложно:
https://facebookexperimental.github.io/doh-proxy/tutorials/nginx-dohhttpproxy-unbound-centos7.html
https://www.aaflalo.me/2018/10/tutorial-setup-dns-over-https-server/

Как вариант :

завернуть все ДНС-запросы на пф (хуже не будет); создать алиас со списком ресурсов; использовать этот алиас в правилах FW (можно с REJECT).
У меня так соц. сети блокируется.

@werter said in PfSense 2.4.4-RELEASE-p2 + Mikrotik:

то push-ить удобнее ЦЕНТРАЛИЗОВАНО на стороне сервера.

С тем, что push-ить можно практически все должен быть знаком каждый, использующий OpenVPN.

Просто утверждение, что

@werter said in PfSense 2.4.4-RELEASE-p2 + Mikrotik:

Вкл. ,ес-но, на сервере.

Можно интерпретировать так, что без включения на сервере это работать не будет.

@dvv06

резолвер, форвардер, обновления пф - это фигня для ленивых, кто не хочет разбираться в сути проблемы

Проблемы нет. Вы создали ее сами себе. Не захотев ВНИМАТЕЛЬНО отнестись к тому, что советовали.

и подобную проблему я читал с ошибках пф (уже непомню решенная или нет, гуглить повторно не буду)

Болтовня. Ссылки в студию.

Зы. И про лень - я не ошибся.

Таких "дятлов" - пол-инета.

Глупости. Какая защита по IP, если человек пользует RDP с :
-дом. комп-ра
-по ви-фи на Тайване
-через мобилу, находясь в Запопенске?
etc

@alex82 Понятно почему ошибку выдает
это же PHP- скрипт
попробуйте такую строку добавить
exec("pfctl -F all");

Добрый день. cat /usr/local/etc/squid/squid.conf | grep safe что показывает?
По этим портам без SSL веб трафик?

@vladimirlind said in Policy Based Routing. Транзитный трафик.:

Ну да, как и у вас:
pass out route-to ( gif0 10.150.15.161 ) from 10.150.15.162 to !10.150.15.160/30 tracker 1000006964 keep state allow-opts label "let out anything from firewall host itself"
pass out route-to ( gif3 10.150.16.126 ) from 10.150.16.125 to !10.150.16.124/30 tracker 1000006965 keep state allow-opts label "let out anything from firewall host itself"

А, на самом деле не эти правила, но тем не менее, если отфильтровать /tmp/rules.debug по GWGIF_P2_I_TUNNELV4 и GWGIF_P2_P1_TUNNELV4 - будут похожие правила. Так что сути не меняет.

@lucas1
Попробовал. Разницу не заметил.

Правила выполняются сверху-вниз до 1-го совпадения. И все, что не разрешено явно - запрещено.

Если IP и в Алиасе и в LAN net, то сработает то, что стоит выше.
Грубо говоря , если заходите на сайт по http , а на сайте висят баннеры с ссылками на https, то пф разрешит http и полезет дальше проверять можно ли еще и httpS.
Само собой, что правило с ALL сработает сразу же и оно "легче" для пф, а правило "Только http и httpS" породит лишние итерации проверки.

Но чтобы на глаз это было видно - это "чудо" какое-то.

@werter GIF для тестовой среды.
RFC1918 там был еще транзитный трафик, не относящийся к данной проблеме.
Считаю тоже, что все работает. Вопрос теперь 2 - транзитный трафик. Никак не получается.

В общем попытался как-то сузить проблему. Получается, что при включении этого модема в комп с Windows он выдает 6-8 Мбит/с (с антеной 13-16Мбит/с), а включение его по инструкции вЫше как интерфейс ue0 выдает до 6 Мбит/с (с антеной таже скорость <=6 МБит/с) причем в основном до <=1 МБит/с с всплесками до 6Мбит/с. При єтом соответсвенно для разрешения имен не хватает канала на всех и пинги теряются. Смотрел при этом в настройки DNS lookup как в вєб-интерфейсе, так и через коносль - получается ,что то один днс ответит, то другой, а остальные "No response". Пробовал со ворым таким же модемом - ситуация на pfSense такая же, т.е не в модеме дело. Оcтается usb-modeswitch. Установлена usb_modeswitch-2.2.5, пробовал обновится до usb_modeswitch-2.5.2 на резервном пк - все внешние интерфейсы не отвечают, кроме периодически уходящего в "No response" DNS от этого провайдера. Причем на этом компе нагрузка от пользователя только от меня. Вот что в консоли получается
11.jpg

@Konstanti
Четыре
Если точнее - 2 хоста, 1 адрес широковещательный, 1 адрес сети )

В нек-ых "случаях" хосту можно присваивать адрес сети или широковещательный адрес (?)

@pigbrother
Тогда тот же б\у Xiaomi Mi Router 3G с авито + Padavan спасут ТС )

Так и есть. Но описания правил в proxy filter сохранялись на русском.

Уже разобрался, спасибо

@sevo44 said in NET::ERR_CERT_AUTHORITY_INVALID на сайты работающие по ssl в локальной сети + проброс с wan при работе pfsense в виртуальной машине Proxmox:

мы с вами победили ! :) день победы как никак на носу.

Поздравляю!

@sevo44 said in NET::ERR_CERT_AUTHORITY_INVALID на сайты работающие по ssl в локальной сети + проброс с wan при работе pfsense в виртуальной машине Proxmox:

Выгрузка аппаратной контрольной суммы

Как же жутко это звучит...

@vladimirlind Примерно в том направлении и копаю. Всё получилось. Большое спасибо.

@werter said in Настрока моста pfsense:

Проверяйте трасероутом, где затыкается.
Трассировка проходит удовлетворительно, и до самого основного почтового сервера.
Вкл. логи на fw и смотрите там.
Логи мало что дают, конкретно в рамках того что там представлено
Зы. Зачем НАТ в ручной режим перевели?
Так как нормально не ходили маршруты, что-то было не так, сделали ручной добавили all везде где можно