@werter said in Не открывается web интерфейс:

ТС мог откл. антиблокирующее правило

На это случай я привел ссылку.
https://doc.pfsense.org/index.php/Locked_out_of_the_WebGUI

Что за мода пошла, как можно сильнее испоганить дизайн сайта, ПО или ОС, и выдать за "супер улучшение"... (((

да у меня была проблема (тема) с опенвпн мне werter помог день-два назад, сейчас прикидываю у меня сервер висел на 1194 и клиент опенвпн на pfsense на этомже порту висел, и в итоге ситуация, что я подключаюсь, а пинги не идут, поэтому поставил tcp вместо udp. А порт я сменил "повыше" уже всвязи с этим VPNfilter

И что, ни у кого никаких мыслей нет? Как, блин, мне подружить два филиала с разных городах имея в наличии два pfSense разных версий?

@dvv06
Рад, что помог.

"Поменял порт"
В настройках fw на ВАН правило поправить под новый адрес порта не забудьте.

Добрый.
Создайте динамические правила в Лимитере. Тогда и потерь при простоях не будет.

Добрый.
@dvv06
Приехали.
Список скачайте. И просмотрите.

Добрый.
Обновитесь до последнего из ветки 2.3.х

Переустановите пф с нуля. И попробуйте заработает ли линк. Все остальные настройки пока не вносите.

Добрый.

как бы он не ругался при добавлении существующего маршрута.

Внимательнее еще раз всмотритесь в код скрипта.

Маршрут будет добавляться, если выполняются оба условия (условие_1 && условие_2).

Итого:
Если нет пинга на 10.168.45.6, то скрипт завершит работу сразу и без проверки на 2-ое условие, т.к. первое не выполнено.
Если есть пинг на 10.168.45.6 и нет маршрута в 10.168.49.0/24 через l2tp, то  маршрут добавится.
Если есть пинг на 10.168.45.6 и есть маршрут в 10.168.49.0/24 через l2tp, то скрипт просто завершит работу без попытки добавления маршрута.

P.s. Одно но. Обязательно убедитесь в том, что зюхел постоянно будет получать адрес 10.168.45.6 в l2tp-туннеле. Иначе "ахалай-махалай"(с) не выйдет.

Если торрент-закачки изнутри офиса идут с произвольных адресов, что вы как source будете в этом правиле указывать? Если с заранее известных и не меняющихся - это сработает.

@werter:

Здрасти всем

1. Ест ли возможность

обеспечивает бесперебойную работу

необходимо создовать

Вы ТС почитайте.

Да спасибо прочитал.
И как выяснелось там много полезной информации.
Так что у меня получилось настроить всё что было необходимо.
Спасибо всем откликнувшимся.

товарищ выше всё верно говорит. Помимо НАТа нужно адрес прописать в астере внутрь протокола, это разные вещи.

QoS????
вы серьёзно???? (сарказм)

@werter:

Вдогонку. Не совсем по теме, но все же.

Есть еще крайне интересное решение - Apache Guacamole (https://guacamole.apache.org/). Это этакий портал единого входа для rdp, vnc, ssh.
На пальцах - разворачивается вирт. маш. с Apache Guacamole. Извне открываются порты только на нее. Внешним пользователям гибко предост-ся доступ (можно по данным из LDAP\AD) к каким сервисам внутри сети они могут обращаться. Удобно, что доступ к ресурсам по rdp, vnc, ssh прямо из браузера. И без впн. Ес-но, что прикрутив https, весь трафик шифруется.

А оно умеет с сертификатами AD работать?

Но ведь помогло же!

в удалённом офисе:
оптический крос, медиаконвертер и обчный неуправляемый свитч типа D-LINK DES1008A

не взлетело

И не взлетит:
1. Обычный свитч в доп. офисе рубит все VLAN.
2. У провайдера по пути к доп. офису может стоять куча оборудования, к-ое не поддерживает VLAN.

Костыли:
1. Проверить, поддерживает ли сетевая на WAN в центр. офисе VLAN вообще. У вас там реалтек обычный.
2. В удаленном (временно) поставить L2-свитч и поработать с ним.

Поможет точно :

установка пфсенсе в доп. офисе. установка железного роутера в доп. офисе, к-ый умеет ОпенВПН - https://forum.pfsense.org/index.php?topic=147079