@ZlyddeN: сделал так, сейчас в веб-морду не могу попасть :) и под LInux и под FreeBSD видится тока как CD :( под виндой только как HUAWEI Mobile Connect - Bus Enumerate Device FC - USB Device (COM12) com12 под виндой не коннектица через PUTTY :) Странно. Под LInux и FreeBSD может выполняется дополнительно usb_modeswitch. Версии firmware какие устанавливали? Под виндами у меня нормально работает только под windows 7. Windows 10 видит только как некоторое USB устройство. Это где-то уже обсуждалось, что MS говорит, что проблема не у них.

Доброго. Здесь настройки посмотрите еще https://forum.pfsense.org/index.php?topic=139667.0 Вроде вариант более новый.

Доброго. Да, верно. Static port https://doc.pfsense.org/index.php/PBX_VoIP_NAT_How-to https://www.reddit.com/r/PFSENSE/comments/31a1y1/sip_problems_behind_pfsense_box/ https://www.reddit.com/r/PFSENSE/comments/6s6rgg/one_way_sip_or_dropped_sip_after_30_or_so_seconds/ P.s. Совет. Если Ваше оборудование поддерживает IAX - переходите на него. Один порт на всё - и на установление линка и на голос\видео. Плюс шифрование. В отличие от SIP + RTP.

Решение нашлось в применении для Interface VIP CARP адреса LAN. В этом случае, механизм работает как с Interface WAN ISP0 VIP CARP, но не зависит от провайдера. Также, выяснилось, что Dynamic DNS с Gateway Groups работает на VIP CARP, если в настройках Gateway Groups указать Interface = VIP в TierN - это был вопрос к серверу OpenVPN на Multi-WAN.

Вы просто тратите время. Поднимаете новый прокс. Правите source.list. Обновляетесь. Переносите пф. Проверяете. И да. Используйте virtio-сеть - прекрасно работает с пф 2.4.х. Но прийдется переназначить интерфейсы. Также замените linux bridge на OVS - гибче, больше функций, отличная работа с ВЛАН. Всё это есть в подборке статей.

Доброе. Гуглите по ошибкам. Первым делом. Отцы FreeBSD и pfSense В этой ветке таких нет  :)

@derwin: ладно, потеряю ради новичка пару минут. Итак, ваши варианты: блокировка на уровне запрета по IP. Резолвим сайт, блокировки вносим в алиас, на интерфейсе ставим запрет исходящего траффа с этого ПК на этот алиас. блокировка на уровне DNS. Делаем правило, которое для ЭТОГО ПК делает резолв в другой адрес. DPI системы, сурикат, и т.п. прокся со своими правилами Надеюсь Вы с умом воспользуетесь советом. Спасибо за совет. Оч. помогло

Доброго. поставил 0777 - и проблем нет Не многова-то ли? Владельцем сделать squid (или кто у нас там) и 0755 вполне достаточно. P.s. "А на третий день Зоркий Глаз заметил, что одной стены нет" Я и сам такой. Когда начинаю решать проблему с самого сложного. Уж мильойн раз зарекался  :- Из практики, Свежее. Chan-sccp ко Freepbx для cisco 7905\12 прикручивал (ну нету в sip-версии прошивки русского в интерфейсе, а коллегам надотЬ ). И не мог понять, а чего же оно при 100 раз перепроверенном SEPXXXXX.cnf.xml, зараза, не подключается? Ну а сразу глянуть разрешающее правило iptables для TCP\2000 (sccp) на voip-сервере - это ж не "царское" дело, чО.

Доброго. Это они захотели "чтоб было круто" и Тем более, что я дорабатываю последние дни Тогда о чем речь вообще. Когнитивный диссонанс. Пускай те, кто хочет "круто" и разбираются.

Доброго. @savenkovas: Собственно сабж. Pfsense последний на сегодняшний день.  Возможно ли это сделать и как? Запрет по ip, но одно имя может иметь до фени адресов. Завернуть весь DNS на пф и dns blackhole с помощью dns resolver (неплохой вариант). Использовать squid + squidguard, но тут вопрос с httpS - https://forum.pfsense.org/index.php?topic=139667.0

Доброе. Сейчас большая часть сайтов - это hhtpS. Прийдется внедрять MITM для разбора шифрованного трафика. https://forum.pfsense.org/index.php?topic=139667.0

Чьи именно? адреса поменялись: Это из сети сервера: IPv4 таблица маршрута =========================================================================== Активные маршруты: Сетевой адрес          Маска сети      Адрес шлюза      Интерфейс  Метрика           0.0.0.0          0.0.0.0    192.168.100.1  192.168.100.102    50         10.10.0.0    255.255.255.0        10.10.1.1        10.10.1.4    291         10.10.1.0    255.255.255.0        On-link        10.10.1.4    291         10.10.1.4  255.255.255.255        On-link        10.10.1.4    291       10.10.1.255  255.255.255.255        On-link        10.10.1.4    291         127.0.0.0        255.0.0.0        On-link        127.0.0.1    331         127.0.0.1  255.255.255.255        On-link        127.0.0.1    331   127.255.255.255  255.255.255.255        On-link        127.0.0.1    331       192.168.7.0    255.255.255.0        10.10.1.1        10.10.1.4    291     192.168.100.0    255.255.255.0        On-link  192.168.100.102    306   192.168.100.102  255.255.255.255        On-link  192.168.100.102    306   192.168.100.255  255.255.255.255        On-link  192.168.100.102    306         224.0.0.0        240.0.0.0        On-link        127.0.0.1    331         224.0.0.0        240.0.0.0        On-link  192.168.100.102    306         224.0.0.0        240.0.0.0        On-link        10.10.1.4    291   255.255.255.255  255.255.255.255        On-link        127.0.0.1    331   255.255.255.255  255.255.255.255        On-link  192.168.100.102    306   255.255.255.255  255.255.255.255        On-link        10.10.1.4    291 =========================================================================== Постоянные маршруты: Это c клиента за asus: IPv4 таблица маршрута =========================================================================== Активные маршруты: Сетевой адрес          Маска сети      Адрес шлюза      Интерфейс  Метрика           0.0.0.0          0.0.0.0      192.168.7.1    192.168.7.247    20         127.0.0.0        255.0.0.0        On-link        127.0.0.1    306         127.0.0.1  255.255.255.255        On-link        127.0.0.1    306   127.255.255.255  255.255.255.255        On-link        127.0.0.1    306       192.168.7.0    255.255.255.0        On-link    192.168.7.247    276     192.168.7.247  255.255.255.255        On-link    192.168.7.247    276     192.168.7.255  255.255.255.255        On-link    192.168.7.247    276         224.0.0.0        240.0.0.0        On-link        127.0.0.1    306         224.0.0.0        240.0.0.0        On-link    192.168.7.247    276   255.255.255.255  255.255.255.255        On-link        127.0.0.1    306   255.255.255.255  255.255.255.255        On-link    192.168.7.247    276 Как и откуда еще снять маршруты не знаю ибо только учусь.

@werter: На WAN-ах блокирование bogon net вкл ? Да, на сколько я знаю так и нужно…

Только перед настройкой клиентов прийдется явно объявить опенвпн-интерфейс.

Доброго. 2 retry Для вашей железки есть LEDE - https://lede-project.org/toh/views/toh_fwdownload?dataflt%5BModel*%7E%5D=WAP3205 Она стабильее, свежее, со всеми фиксами безопасности. Единственный нюанс - стоковая может быть без веб-фейса luci. Но ее можно скомпилировать и с luci под любое уст-во. Если интересно - пишите в ЛС. P.s. А WPS - дыряв (гугл). Первым делом его сразу откл.

эээ, туплю - в туннель для мобильных клиентов добавить phase2 для зухеля или в туннель зухеля добавить фазу для мобильного клиента? Я ipsec использую только для site-to-site с одной из точек, мобильные клиенты - OpenVPN. Поэтому предположу- в оба туннеля. Но начните с добавления клиентской 192.168.3.0/24 в туннель с Зикселем. phase2 для сети за Зикселем может подниматься не сразу, а только после попытки мобильного клиента обратиться к ней. Ну если на  Зикселем есть файрволл - возможно потребуется его подкрутить.

В том же pfBlocker есть DNSBL списки. К нему можно и найти IP списки запрета Tor. Можете поставить Pi-Hole там многое автоматизировно.

Доброе. Там, где выделено - Wan address. Плюс для ICMP выбрать только Echo reply.