Добрый.

https://forum.netgate.com/topic/108251/прошу-помощи-в-настройке-squid-ldap-pfsense-2-3-1

У вас в хелпере OU был пропущен.

Здесь http://www.k-max.name/linux/squid-auth-kerberos-ldap-grupp-active-directory в комментариях оч. интересно :

Спасибо за мануал. Сделал всё тоже самое, но с хелпером ext_kerberos_ldap_group_acl.
Работает магическим способом, получая все необходимые данные о сервере ldap из DNS, и авторизуясь в нём для проверки по уже существующему ключику kerberos (используя учётную запись машины). Таким образом, не надо создавать учётку пользователя и хранить её пароль на сервере.
Конфиг, который проверяет пользователей на вхождение в группы:
external_acl_type adgroup ttl=1200 %LOGIN %ACL /usr/lib/squid3/ext_kerberos_ldap_group_acl -D AD.LOCAL
acl internet external adgroup
acl fastinternet external adgroup
где internet и fastinternet — имена соответствующих груп в AD. Ну и да, realm AD.LOCAL указан только потому, что у нас в сети несколько доменов.

Спасибо всем кто ответил.

Всё спасибо разобрался сам виноват был )

@pigbrother Да, спасибо, у меня так и настроено, и использованием Radius. Спасибо за Strict User-CN Matching, это ответ на мой вопрос, про mac я видимо перегнул, я тоже проштудировал логи OpenVPN подключения в режиме tun, и не увидел там никаких намеков на mac.

@pigbrother
Вот вот.. я тоже так же считаю..
Дело в том то ли показалось то ли ещё что то, в общем копировал большой файл "образ ос " мне показалось что медленнее чем обычно..
Вот что то засомневался. ...

i. Interfaces \ assign network ports \ VLAN
добавляем нужный vlan нужной сетевой карте

ii. Interfaces \ Assign network ports
в Available network ports выбираем созданный vlan жмём плюк

iii. Interfaces \ OPTx (новый интерфейс)
включаем интерфейс, DHCP клиент, задаём новый MAC адрес (как того требует провайдер) применяем настройки

iv. Status \ Interfaces
смотрим на предмет полученного адреса, gateway .

v. Firewall \ Rules \ LAN
добавляем правило с указанием Gateway.
(кому и куда в плане ip сетей соображайте сами)

v. c компьютера "клиента"
проверяем корректность маршрутизации
tracert 10.160.192.1 (я предполагаю это вышеуказанный gateway)
или сразу работу сервисов

@derwin я завис на моменте "трафик", какой и куда я должен прописывать? TCP, порт, запрос приложения? и какой тригер должен всю это монструозность запускать?

@werter said in Pfsence и l2tp:

Т.е., если у клиента сеть вида 192.168.x.x, то и маршрут автоматом ему добавится только на 192.168.0.0\16?

Млжет быть и так, что маршруты добавляюются на основании имеющегося у клиента IP на LAN, надо будет проверить.
Даже если и так - "элегантное решение" от Микрософт- imho, все равно дыра. Пользователь вместо доступа только к LAN за VPN, получает доступ ко всем 192.168.0.0/16 сетям, для которых у VPN-сервера есть маршрут.
UPD.
Проверил пока только это - если поставить галку "Отключить добавление маршрута, основанное на классе" клиент теряет доступ даже к сети за VPN-сервером. В моем случае и домашняя сеть и сеть\сети за сервером - попадают в 10/8, доступ теряется ко всем 10/8. Возможно - это зависит от версии сервера, тестировал на древнем резервном PPTP WIN 2003.

@werter said in Несколько вопросов по настройке домашней сети от новичка.:

iconbit

боюсь с прошивками там туго :) производитель забил болт быстро (так и не допилив прошивки), а т.к. модель не очень популярная кастомных прошивок кот наплакал (я итак поставил последнюю доступную).
но вообще не думаю что это прошивка. т.к. плеер пахал раньше вполне сносно (разве что плохие образы/рипы попадались тогда могли быть проблемы)

Добрый.

То, что решили - замечательно.
А вот то, что версия пф у вас древняя - плохо. Потому как при дальнейшей эксплуатация обязательно наткнетесь на ее ограничения. Хотя, если пф у вас дома ...

Добрый.

ходят в инет через squid + sslbump с импортированным самоподписным сертификатом

В последней версии достаточно сгенерировать CA для сквида и выставить splice all в настройках.
И ничего никому не понадобится импортировать.

https://forum.netgate.com/topic/100342/guide-to-filtering-web-content-http-and-https-with-pfsense-2-3

UPDATE
You can try setting up MITM by setting the SSL/MITM Mode to splice all, that way you do not need to create a certificate for each device on the network. (you still need to create a main certificate though)

So in this guide we are going to use a Non Transparent with wpad which will filter http and https content.

Update
I found that we can use both a transperrent proxy for port 80 and a wpad for 443 https content (UPDATE or you can use splice all in MITM), the wpad will be setup to use port 80 and 443. The transperrent proxy is going to catch every thing that the wpad misses, enable transperrent proxy in squid once you have the wpad setup.

http://forum.it-monkey.net/index.php?topic=23.0

Добрый.

С таким же успехом вы можете включить тостер, СВЧ-печь и др. быт. технику.
2.4.х - это ветка пф на др. версии freebsd. Пора бы это знать.

Конфиг перенёс на целевую машину, вроде как всё поднялось. Но проблема с фильтрами сквидгуард. На старой машине был настроен блеклист по сайту http://urlblacklist.com/, который давно уже прикрыли. На старой машине были настроены по этом листу Target Rules, а на новой машине эти правила не отрабатывают так как нет откуда скачать это пакет правил (сайт то не работает). Соответственно правила есть в списке, но они ведут в никуда. Как удалить эти правила не затронув Target categories?

И заодно посоветуйте какие сейчас есть объёмные блеклисты.

Гениально! Спасибо!!!

@pigbrother said in L2TP/Ipsec:

@nyukers said in L2TP/Ipsec:

а есть возможность все правила фаерволла pfsense увидеть одним списком?

http(s)://Ip_addreess_pfsense/status.php
Все настройки pfSense одной страницей с разбивкой по категориям.
правила фаерволла там тоже будут.

Супер! Спасибо )

Добрый.
Сквид имеет проблемы с работой на мултиванах. В англоветке что-то есть. Поищите

@moveo said in pfsense+VPN pptp=WAN - помогите:

@werter там виндовый сервак, так что есть ограничения

IPSEC