@scodezan said in Добавить еще один внешний IP-address на pfSense 2.4.2:

На всякий случай, попробуй Interfaces \ WAN \ IPv4 Gateway выставить в none.

Добрый день. К сожалению не работает. Ни outbound nat, ни Port Forward. Такое ощущение, что добавляемый адрес pfsense считает для себя как Internal....

Вопрос снимается - откатил конфиг

Огромное спасибо, всегда знал что PfSense лучше всех!!!

@werter said in И снова DMZ:

Прокси - прозрачный? На данном этапе уже не требуется устанавливать сертификат пол-лям явно. Достаточно создать CA на пф и правильно настроить сквид.

Не прозрачный. Я так понял что создав СА на пфсенсе и включив MITM SpliceAll, я получу в браузерах при посещении каждой https странички проблемы с самоподписным сертификатом?

Добрый.
@dimon_dark said in Ограничение трафика по интерфейсам Pfsense:

Или же можно задать правила по айпи адресам что бы указанные айпи адреса уходили через WAN2, а все остальные через WAN1 и возможно ли это все Шейпить?

Да. Да.

@shar
Решено. Вобсчем касперский, скотино блокировал доступ к пк. всем спасибо. Pf-sense крут.

@deadlymic said in OpenVPN - не пускает в сеть клиента:

Не ругайтесь.

И не пытался. Вопрос регулярно всплывает на практически всех форумах, связанных с OpenVPN Site-to-Site, и на англоязычных тоже. Напрягает писать одно и то же. За несколько лет - наверное, уже десятки раз.
Реализация OpenVPN в pfSense - IMHO, лучшее, с чем приходилось сталкиваться, превосходит многие коммерческие продукты. Прекрасно откомментированная и документированная.
https://www.netgate.com/docs/pfsense/vpn/openvpn/index.html

Валялся у меня DSR-500, поставил его. В него завел 2 WAN, включил Round Robin балансировку и WAN обоих pfSense воткнул ему в LAN (192.168.10.1/29). WAN pfsense поставил 192.168.10.3 и 4/29 c шлюзом 192.168.10.1. WAN VIP 192.168.10.2/29. Так вроде заработало. Но при включении синхронизации состояния, на монитор постоянно валятся сообщения pfsync_undefer_state: unable to find deferred state. Что это такое?

@pigbrother said in Dynamic DNS:

Если речь, например, о подключении внешних клиентов к Open VPN, например, то достаточно указать в конфиге клиента несколько серверов:
remote my-server-1 1194
remote my-server-2 1194

Речь именно об этом. Спасибо, воспользуюсь. Вероятно, что DynDNS в таком случае вовсе не нужен.

@1evgen1
Доброго дня
Гляньте вот тут
https://openschoolsolutions.org/pfsense-web-filter-filter-https-squidguard/
https://forum.netgate.com/topic/100342/guide-to-filtering-web-content-http-and-https-with-pfsense-2-3
возможно ,поможет

Konstanti Спасибо огромное! Очень помогли!

Добрый.
@oleg1969

Это не комментарий о сертификате ,а ссылка по настройке SQUID где и указано что нужен только CA, и эта ссылка актуальна и сейчас (читайте внимательно)

Один я там (https://forum.netgate.com/topic/128912/не-могу-войти-на-192-168-1-1-ошибка-сертификата) вижу?

0_1535890259759_balabol.png

Эээ..Как бы Вам объяснить? Не травмируя ранимую психику. CA - это Certificate Authority. Не сертификат.

В криптографии центр сертификации или удостоверяющий центр (англ. Certification authority, CA) — сторона (отдел, организация), чья честность неоспорима, а открытый ключ широко известен. Задача центра сертификации — подтверждать подлинность ключей шифрования с помощью сертификатов электронной подписи.

Все объяснил, привел ссылки выше. То, что возможно блокировать ресурсы, не используя доп. пакеты - также.
Перенимайте опыт.

в IPSEC нет tun/tap.
В общем разобрался в проблеме сам: openvpn клиентам делался push сети 192.168.11.0 (Office2) только, поэтому из этого офиса пакеты проходили. Добавил также в настройки клиентов push route 192.168.13.0 и пакеты стали идти.

Добрый.

VLAN 1 по умолч. исп-ся у больш-ва произ-лей как дефолтный для управления.
Крайне рекомендуется VLAN 1 не использовать , оставив его только для управления оборудованием (?)

В обоих решениях есть и плюсы и минусы. Лично мне виртуализация кажется лучше. Убедился на личном опыте.

Само железо для шлюзов обычно выделяется не очень мощное

Крайне желательна поддержка AES-NI инс-ций на CPU шлюза. Далеко не все CPU это умеют.

Добрый.

Openvpn export пакет установлен? Плюс пермишены для пол-ля в его настройках покрутить.

Добрый.

Может тут чего есть
https://vorkbaard.nl/openvpn-in-a-pfsense-carp-cluster/
https://community.spiceworks.com/how_to/34667-setup-open-vpn-with-pfsense-carp-and-quagga-ospf

не подскажите а где задается время блокировки файрвола, по умолчанию на какое время он блокирует?

@skrepka Главное , что все работает теперь )))