Печаль-тоска :(

@MaximMasiutin: А с какой периодичностью он проверяет обновления файла? Делает ли он if-modified-since? RTFM ;) The interval at which the resolution takes place may be adjusted under System > Advanced on the Firewall / NAT tab: Interval, in seconds, that will be used to resolve hostnames configured on aliases. Note: Leave this blank for the default (300s).

В принципе можно обойтись встроенным в pfSense визардом. Если вдумчиво отвечать на его вопросы, особенно на этапе генерации сертификатов - все работает сразу.

2 AFZ Доброе. Если это подсластит пилюлю, то не только из России нет доступа.

Пакеты не ходят между компьютером и Pfsense, оба соответственно находятся в разных сетях. Настроен туннель Ipsec IKEv1 между Pfsense и mikrotik из разных сетей, все отлично работает, ради эксперимента настроил OpenVPN (связка компьютер-pfsense), так же без проблем все заработало, но с Mobile Client IKEv2, только коннект и дальше ничего, такое ощущений с маршрутами что то не то?

@temkasp: Можно чуточку поподробнее. Не совсем понимаю как сквидгвард вяжется со squid. Фильтр squidguard перенаправляет запросы SQUID'у? В конфигурационном файле squid.conf автоматически прописывается директива url_rewrite_program <путь>/squidGuard Этот тэг позволяет определить местоположение исполнительного файла программы URL rewriter. URL rewriter - программа преобразования URL. Например, SquidGuard. В дальнейшем для краткости будем именовать такую программу - Преобразователь. Соответственно, чтобы преобразователь сделал некоторое преобразование, необходимо, чтобы Squid делал редирект на эту программу. Squid будет делать редирект автоматически. Для каждого запрошенного URL, преобразователь получает строку от Squid в таком формате: URL <sp>client_ip "/" fqdn <sp>user <sp>method <sp>urlgroup <nl>И преобразователь может перенаправить клиента на другой URL. А может и ничего не делать, но это было бы глупо. Преобразователь может вернуть и "urlgroup", которую можно завернуть на cache_peer_access или на ACL вида urlgroup. По умолчанию, URL преобразователь не используется.</nl></sp></sp></sp></sp> как-то так

@Lexon9: pfsense на физической машине. В варианте (прозрачный Сквид на другом компе) как он будет перехватывать запросы? В варианте "сквид на другом компе" смысла в прозрачном прокси нет. Если вопрос носит теоритический характер, то редирект.

а на ЛАН заблокируй "вражеская - 10.186.0.0/21" и логирование включи.

Доброе. Вкл. на pf логирование fw и мониторьте. Зы. А пф у Вас - староват.

Как все таки заставить делать reload_status автоматически если основной канал начал работать?

А с помощью чего было реализовано? NUT Последние версии NUT в пакете для pfSense имеют "умный" USB драйвер, исчезли кучи настроек с выбором кабеля и пр. Важный момент - после  включения сервиса и  выбора драйвера требуется перезагрузка Для NUT в pfSense пакет устанавливает виджет. На скриншоте - мои настройки для APC Back-UPS RS 1000 RUN_AS_USER root включил для E-Mail notifications, без него него не работает отправка почты через SSL\TLS ignorelb override.battery.charge.low = 30 override.battery.runtime.low = 300 Меняют порог отключения с дефолтных очень малых величин на 30% или 300 секунд. Пробовал и apcupsd,работает, но  остановился на NUT. Тема, где очень отзывчивый автор пакета NUT отвечает на вопросы: https://forum.pfsense.org/index.php?topic=115349.msg661791#msg661791 То же, но для apcupsd: https://forum.pfsense.org/index.php?topic=70830.msg688548#msg688548 [image: Capture.PNG] [image: Capture.PNG_thumb]

Помучился и забил. Вернул HiLink… Если у кого появятся идеи - пишите.

Так то репитер даёт падение производительности в 2 раза. У меня вопрос, что мешает поставить аппаратный хаб?

Этот же маршрут можно попробовать передавать через настройки DHCP Да, но сразу и быстро оно может не заработать, например: https://social.technet.microsoft.com/Forums/ru-RU/e526fe6e-1bf4-42b9-a6e0-38f103e49a56/dhcp-2008r2-?forum=ws2008r2ru

@werter: Доброе. Если вам не нужна лок. сеть провайдера - настройте на WAN только PPPOE. PPPOE - протокол 2-го уровня модели OSI и прекрасно работает без IP-адреса на физ. интерфейсе. В мониторинг доступности сети Интернет добавьте 8.8.8.8, напр. И соглашусь с ув. Scodezan - разберитесь с провайдером сперва. Может проблемы на их стороне. Еще раз доброе ) Ну как бы я и юзаю PPPOE, просто он же висит на интерфейсе где уже есть DHCP. По сему я как бы констатирую факт. Меня интереусет как настроить этот мониторинг доступности? И уже тем более как заставить pfsense переподключать соединение. По поводу прова… уж лучше так чем они дальше полезут. Я же говорю не все там так просто. У меня рядом стоит зухель кенетик, там все также, есть ip на кабеле, но инет через pppoe. И там когда его рвет, точнее когда у прова падает сессия автоматом разрывается соединение и поднимается обратно. У меня же... вот позавчера в 18 с копейками упал линк. Все. Инета нет. В 7.30 стоит шедулер по перезапуску коннекта, соответственно инет поднялся только в воскресенье в 7.30 утра. Все. Видимо разобрался. Осталось только помониторить. Оказывается этот монитор ip по умолчанию должен заполнятся default gateway. Хоть в статике, хоть в дефаулте. Не знаю каким таким волнебным образом, но у меня я не знаю с какого такого великого разгона при поднятии интерфейса, т.е. до коннекта pppoe, интерфейс на котором висит pppoe получает ip адрес с DG 10.128.0.0. И этот ip падает в monitor ip в routers. Хотя он и является основным шлюзом там же при поднятом pppoe. Т.е. вообще мистика какая-то. и когда падает сессия 10.128.0.0 остается то живой... в общем еще больше вопросов чем ответов.

Доброе. Шлюзом у 192.168.1.130 - что ? Должен быть лок. ip пф. Проверяйте. Локальный адрес у внешнего клиента не из сети 192.168.1.х ?

Поправьте, если неправ, но в случае NAT клиент попадал бы в LAN с IP серверного конца OVPN-сервера, а не со своим, полученным в туннеле. Если он поднимает туннель сам, то виден его туннельный ip, т.е. его конец туннеля. Опять же можно отмониторить. И эта "родная" сеть запросто (не обязательно у ТС, а вообще) может пересечься с сетью LAN за pfSense, особенно если используется любимый всеми 192.168.x.x Верно. Но тут в любом случае возможны проблемы , если удален. лок. адрес, к к-му обращается внешний клиент пересекается с таким же адресом в его родной лок. сети. И если пользователь меняет места вызова, придется правило(а) дополнять\редактировать. IMHO, правильнее привязать пользователя к конкретному IP туннеля и не зависеть от адресации LAN в месте вызова. Верно. Если учесть все выше сказанное - лучший вариант. В своем же совете исхожу из самого простого случая - внешний клиент работает стационарно и у него есть постоянный локальн. ip, к-ым можно "оперировать" при создании правил fw на пф.

Доброе. И еще посмотрите, чтобы при подкл. внешн. клиентов им в кач-ве адреса ДНС-сервера выдавался ip-адрес контроллера домена. P.s. Хор. цикл статей по "поднятию" MS AD (PDC, ADC, RODC ) - http://sanotes.ru/windows-2012r2-1st-kontroller-domena-v-lesu/

Доброе. @Uranus: … и как можно определить какой версии драйвера установлены на PFsense для определённого оборудования ?! Diagnostics > Command Prompt > Execute Shell Command > pciconf -lc

Доброе. http://bgp.he.net/search?search[search]=vkontakte http://bgp.he.net/search?search[search]=odnoklassniki Агрегировать (https://ip-calculator.ru/aggregate/) Запрещающее правило в пф - Reject , не Block.