@rubic:

Серверу назначить шлюзом pfSense. На pfSense завести новый gateway VIPNET : 192.168.1.254 в System > Routig. В System > Routing > Static Routes завести маршрут в сеть 192.168.5.0/24 через gateway VIPNET. В  System > Advanced > Firewall & NAT установить галку Static route filtering V Bypass firewall rules for traffic on the same interface. Это все, хотя с вашей адресацией в локалке, не факт, что взлетит.

Мне до этого подсказывали почти тоже самое, только на сервере выставить шлюзом vipnet, а на пфсенс в статик роутенге прописать адрес сервака и шлюз випнет. Ничего не работало, оно и понятно…буду пробовать как вы посоветовали)

Спасибо, разобрался что мне нужно было) Теперь всё работает. Пока работает)

У вас какой случай?

Это я понимаю. Я просто описывал, что пробовал оба варианта и они оба не отрабатывали. В идеале достаточно failover.

Какие адреса днс-сервера выдаются по дхцп клиентам? Какие ДНС исп-ся в настройках днс-сервера? Они там явно указаны вообще? Или стоит дефолтные корневые?

Выдаются внутренние ИП 2-х ДЦ. 192.168.0.2, 192.168.0.3

Покажите скрин правил fw на ЛАН.

Screenshot_1.jpg
Screenshot_1.jpg_thumb
Screenshot_2.jpg
Screenshot_2.jpg_thumb

а что в логах может быть не так? входящие есть, исходящие есть… куда смотреть то?

@werter:

Все правила во флоатинг, созданные руками - откл. У вас там - каша. Сперва с обычными разберитесь, а вас уже во флоатинг понесло. У них и специфика работы - особенная.
Не создавайте там ничего руками.

Да…, жёлтые это избыточные правила, я их включаю порой при DDOS атаках, так они обычно отключены, выделенное тоже

страховка на всякий случай.

И вот без этого тоже. Для пф правила - это явный и четкий посыл к действиям. Ему вы "страховка, всякий случай, потом откл\вкл и т.д." не объясните.
Создавайте и вкл. только правила, к-ые действительно необходимы в данный момент.

Таким образом, у вас останутся правила, созданные пфблокер-ом + правила портфорвардинга. Проверяете это. Перезагружаете пфсенсе. Ждете атаки.

Уважаемый, там просто избыточные правила, я знаю что по сути PF и так заблокирует весь трафик идущий на не открытый порт, уж поверьте, в 90 случаях из 100 там блокируется или фильтруется трафик идущий на некоторые периодически открываемые порты,  так что всё нормально, и вообще если вы не забыли то эта темы не об атаках на TS, а об том что не пропускаются некоторые IP хотя они есть в разрешённых.

Добрый.
Если не выйдет - попробовать перенести часть пол-лей на развернутый отдельно squid.

Добрый.
http://conexti.com.br/sso_wmi/

Upd. Прошу прощения. Все же есть ограничения на их пакет для sso http://conexti.com.br/modpf/  :'(

Задача построить на том что есть. Бум пробовать. Всем спасибо, по завершению отпишу.

Просто выделил текст.
FIDO почти не застал. Лишь краем глаза в областном ВЦ. Хотя на ДВК,БК и Агатах (крутотень!) даже что-то программировал.

Зы. В Скайпе текст дает италик для текста.

Добрый.

Но прошлый админ свалил с паролями

Что-то не так с этим местом работы. Если человек уходит с негативом. Я бы задумался.

Добрый.
У меня использование ipv6 вообще откл. в системе. Проблем не было.

Добрый.

Потом что делать, если днс сервером сам пф не является.

Не страшно. Заверните все днс-запросы во вне на адрес пф правилами Port forwarding на ЛАН. И тогда неважно от кого они будут.

@Rarog:

@boltushka:

Проверил: простой пароль и кавычки не помогают (

Попробуйте пароль из обычных и заглавных букв, без цифр, без символов, без кавычек.

Благодарю!
Помогло.
Теперь есть другие ошибки, но думаю что направление понятно

@werter:

Добрый.
Если сквид - прозрачный, то выпускать "избранных" мимо него можно просто добавив их ip в настройках сквида в source.
Создавать явные правила fw для этого не требуется.

Задача была в том, чтобы, имея pfSense в кач-ве "шлюза по-умолчанию", по-умолчанию запрещать устройствам выход в интернет. Как явный - доступ к сайтам. Так и неявный - проверку обновлений, лазание в фоне по каким-то экзотическим портам и т.д.

Грубо говоря:

подключил комп dhcp-сервер выдал компу ip…
3)... и все - пока явно не разрешишь - pfSense должен блокировать любые поползновения в интернет.

Мне показалось логичным блокировать при помощи firewall. Задача следующая - кастомизировать доступ к разным сайтам, кому куда можно.

Хотя я могу ошибаться насчет логичности - я только неделю как ковыряю pfSense в вялотекущем режиме, параллельно с другими задачами.  ???

Прошу. Как и обещал. Если кому надо забирайте.
Не знаю будет ли работать на субдоименах, если честно то не проверял, да и задача была не в том.

https://github.com/vanohaker/cf-bash

Как правило, в данном случае, все упирается в процессор.

775 сокета с 2х2,2 ГГц хватает для пропуска гигабита.

Добрый.
Это не проблема. Проблема в лени.
Прежде, чем задавать вопрос, воспользуйтесь поиском. В гугле это примерно так: static ip dhcp pfsense И сразу же по первой ссылке получаем https://doc.pfsense.org/index.php/DHCP_Server

P.s. Хороший цикл статей по сетям https://linkmeup.ru/sdsm

Добрый.

вообщем,  сделал.
service - proxy server - general - снял галочку Allow users on interface.
в Access control добавил свою разрешенную подсеть.
и внизу там есть acl sslports, т.е. дополнительные ssl порты…туда вписал 8000. все заработало.

pfsense почему то же выдает те статические Ip которые уже заняты и активны. Что где нажать, подскажите

pfSense не может знать, какие IP "уже заняты и активны"

Что делать?
1. Назначить (сузить) pfSense диапазон выдаваемых IP, который не будет пересекаться с диапазоном, из которого IP назначаются вручную.
2. Если адреса вручную назначаются бессистемно - организовать выдачу IP с привязкой к MAC-адресу. Получите аналог статического IP.

Прмечание к п.2
If an IPv4 address is entered, the address must be outside of the pool.
If no IPv4 address is given, one will be dynamically allocated from the pool.