Убедитесь, что дата и время на вашем сервере pfSense установлены правильно. Неверное время может привести к проблемам с проверкой сертификатов. Иногда, проблемы с аутентификацией могут возникнуть из-за особенностей браузера. А иногда лучше купить прокси и попробовать все сделать через него. Попробуйте войти с использованием другого браузера или попробуйте режим инкогнито/частного просмотра. Если сертификат истек, это может вызвать проблемы с аутентификацией. Проверьте срок действия самоподписанного сертификата на сервере pfSense и, при необходимости, создайте новый.

@danilov said in OpenVPN версии клиентского приложения которые могут использоваться в PFSense 2.6.0: нашёл версию OpenVPN 2.6.8 ноябрь 2023 года, будет этот клиент нормально работать? На 99,999% -да. Проблемы существуют со старыми клиентами версии для которых обновить невозможно.

Прошу прощения за очередной некропост. Столкнулся с такой же проблемой. Установлена версия 2.7.0. pfSense уже давно писал, что есть новая версия, сначала 2.7.1, затем 2.7.2, но руки не доходили обновить. Однажды пришлось перезагрузить машину с pfSense. После этого пропала информация о наличии новой версии, а также список доступных пакетов стал пустой. Решение нашлось здесь: https://blogencounters.com/202312/unable-to-upgrade-pfsense-2-7-0-to-2-7-2/ Problems with the certificate store in 2.7.0 can cause this. Run the following command from the pfSense shell: certctl rehash You can then exit the shell and attempt the upgrade again. Зашел в консоль, выполнил вышеприведенную команду. Помогло, появилось напоминание о новой версии и вернулся список доступных пакетов. Надеюсь, кому-то тоже поможет.

@rline said in Как объединить 3 филиала через vpn?: Да, вот и я что-то не вижу. У вас peer to peer? Да, везде выбран режим режим Точка-Точка(SSL/TLS).

@werter Добрый день вам! Перевел на английский вебку. Галку поставил на блокировании использования днс для openvpn клиентов. Как правильно настроить общий ДНС, провайдеров днс указать, что не так? Что еще надо сделать?

Firewall/NAT/Port Forwarding Interface Protocol Source Address Source Ports Dest. Address Dest. Ports NAT IP NAT Ports Description Actions 1 WAN_MTS TCP/UDP * * WAN_MTS address 13000 - 17000 192.168.14.123 13000 - 17000 2 WAN_MTS TCP * * WAN_MTS address 2004 - 20400 192.168.14.121 2004 - 20400 3 WAN_MTS TCP * * WAN_MTS address 2004 - 20400 192.168.14.121 2004 - 20400 4 WAN_MTS TCP * * WAN_MTS address 20 - 1224 192.168.14.125 20 - 1224 5 WAN_MTS UDP * * WAN_MTS address 12346 - 12446 192.168.40.250 12346 - 12446 disable В этой таблице у меня выключено 5-е правило. Если я его включаю, то перестаёт работать правило 4 (нет доступа к серверу 192.168.14.125). Адреса источников указать нет возможности, так как производиться подключение из сети Интернет, и Source Address - может быть любой адрес выданный ISP. Почему правило 5 при включении нарушает отработку по 4 правилу? Также у меня настроен OpenVPN Firewall/Rules/OpenVPN States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions 22 /4.13 GiB IPv4 TCP/UDP * * 192.168.30.0/19 * * none Auto added OpenVPN rule from config upgrade. Пользователи могут подключаться к серверу OpenVPN. После включения 5-го правила Firewall/NAT/Port Forwarding пользователи не могут подключиться к OpenVPN серверу. Происходит перенаправление трафика по протоколу UDP? В правиле Firewall/Rules/OpenVPN есть ограничение Destination - 192.168.30.0/19. Это должно ограничивать возможность подключения пользователей которые подключаются к серверу OpenVPN? Правило 5 Firewall/NAT/Port Forwarding пересекается с Firewall/Rules/OpenVPN? Их можно разграничить только используя SourceAddress?

Зашёл через консоль и сделал ребут системы. Web -интерфейс заработал корректно.

@danilov 1 используйте отдельное правило исходящего NAT для хоста 192.168.40.250 и порта 12426 (оно должно быть выше остальных) -> используйте статический порт (static port) Для примера ( Вам надо заполнить свои данные ip и порт согласно Ваших хотелок) [image: 1704791971469-da3d284f-a871-4dfb-bbb2-e21f8f392d7b-image-resized.png] 2 писал выше уже ( проброс портов)

@Konstanti Спасибо большое, я прописывал и ранее как вы указали, но нужно было переконектить сетевую карту, и теперь все заработало.

Добрый @rline Для zbx на пф есть пакет точно. Как по др системам - хз.

@DIMADUR Разбиратайтесь снова с микротиком ( настройки , статические маршруты и тд и тп ) пакетов в туннеле от Микротика нет

Добрый @Mad-Axell Как указали выше - 2 и 3 правила не нужны. Loadbalance и так будет отрабатывать в случае падения одного из линков - в настройках LB есть пункт Member down. Тут работает принцип ИЛИ: или балансировка или failover. Можете сами проверить это выдергиванием линков по очереди.

@JonathanLee Read this article. everything is written down there. https://osbsd.com/vosstanovlenie-sbros-parolya-pfsense.html

@tty1 У меня более 10 pfSense в разных местах работают без этой галки, с подобным поведением первый случай. Можете объяснить причину такого поведения, опираясь на трафик и детальные логи unbound? 1 Потому что БЕЗ этой галки ваш пф будет пользовать КОРНЕВЫЕ днс, а не те, что вы указали в настройках. 2 НЕ ИСПОЛЬЗОВАТЬ гуглоднс - к ним завтра доступ прикроют и останетесь без инета. Для конторы хватит и я-днс.

@Lares Добрый день! Можно закрывать тему. Я разобрался. У меня на компе какая-то гадость частично блокировала работу COM-порта. С другого компа установка прошла на 5+, всё работает, все счастливы.

@DIMADUR Здравствуйте Не совсем понял , зачем в такой схеме проброс портов ? Насколько я вижу , Вам надо просто правильно настроить статические маршруты , 1 чтобы 10.x.x.1 знал о том , что сеть 10.168.1.0/24 находится за шлюзом .10.x.x.2 2 чтобы 10.x.x.2 знал о том , что сеть 10.168.45.0/24 находится за шлюзом .10.x.x.1

Добрый. @danilov В правилах fw на ВАН создайте правило для нужного IP + галку на Логирование поставьте. И после в Логах смотрите. Есть еще доп. пакет ntopng https://osbsd.com/ustanavlivaem-ntopng-dlya-monitoring-trafika-v-kompyuternoj-seti-na-pfsense.html

Оставлю этот пост здесь, на случай, если кто-то столкнется с подобной проблемой. @tty1 said in Не работает AirPrint между VLAN (Avahi): Правда только один из трех почему-то Всё дело оказалось в домене home.arpa, который по умолчанию pfSense присваивал принтерам через DHCP (а на том принтере, с которого печать работала домен .local был указан вручную). Решение: в настройках DHCP для VLAN с принтерами указал домен local, все принтеры сразу стали находиться.

@BirBar а на нем уже добавляются Virtual IPs и к ним отдельные Gateway возможно , что именно тут и кроется суть проблемы Надо смотреть , какие конфиги создаются системой в этом случае, и как отрабатывает ПО PF в этом случае ( может быть это ошибка разработчиков именно для Вашего случая, не знаю) Для анализа , возможно Вам потребуется 1 выгрузить XML файл конфигурации PF 2 посмотреть содержимое файлов папки /tmp/gbe0 (1-2-3__xxxxx 3 и уже смотреть , что делает код PF возможно , что в Вашем случае нужен другой путь создания необходимой конфигурации ( средствами FreeBsd ) Использовать Netgraph ( встроен в ядро) На мой взгляд , понадобятся модули 1 ng_ether 2 ng_bridge 3 ng_eiface Идея состоит в том , чтобы на начальном этапе загрузки PF , выполняется скрипт , который создает несколько виртуальных Ethernet интерфейсов, присваевает им случайные Mac-адреса , и потом присваиваются нужные ip адреса После загрузки у Вас появляются несколько интерфейсов раздельных с отд ip для каждого , видимых системе , у которого будет свой отдельный gateway Картинку , как это могло бы выглядеть в теории , скидываю [image: 1701422419019-97e6bb79-642b-4e5b-88f7-54e87ff509c5-image.png]

@Tim2000 Откройте тем, кому надо. Не мучайтесь.