Причина найдена - конфликт ip адресов, источник - устройство со своим DHCP которое глюкануло и "присвоило" себе адрес pfsense устройство отключено, отвалы прекратились, тему можно закрывать.

@PTZ-M Не везет. Зы. В работе 15+ шт связок proxmox + pfsense. Пятый год - полет нормальный, заглядываю периодически лишь для обновления. Скорее всего проблема не в pve и pf.

Добрый @Noobs Что не получается?

Доброго времени! наконец руки добрались заняться, спустя два года) что делал: Создать правило для входящих подключений в брандмауэре на порт 389 по TCP на своем rodc (проверил доступность telnetом ip:port - все ок) Создал учетную запись в AD пользователя для для входа в web-интерфейс pfSense (буду использовать свою доменную четную запись) Создал учетную запись в AD пользователя pfSense для запроса паролей, хранящихся в базе данных AD Создал группу в AD pfSense Administration и добавил туда свою учетную запись AD Создал группу в AD pfSense Internet Acces и добавил туда свою учетную запись AD (добавил свою для теста) Создал группу AD Squid в Authentication Servers на pfSense и указал там свою доменную учетную запись Протестировал в Diagnostics/Authentication на pfsense указав в Authentication Server: AD Squid (все ок) Настроил Proxy Server: AuthenticationAuthentication: Authentication Method: LDAP Authentication Server: IP rodc Authentication server port: 389 Authentication Processes: 5 Authentication TTL: 5 LDAP version: 3 Transport: TCP-Standart LDAP Server User DN: "CN=pfSense,OU="Пользователи",OU="Город",OU="Филиалы",DC=domain,DC=ru" LDAP Password: password LDAP Base Domain: DC=domain,DC=ru LDAP Username DN Attribute: samAccountName LDAP Search Filter: (&(memberOf-CN=pfSense Internet Access,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru)(sAMAccountName-%s) (&(memberOf-"CN=pfSense Internet Access,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru")(sAMAccountName-%s) - пробовал так в кавычки "(&(memberOf-CN=pfSense Internet Access,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru)(sAMAccountName-%s)" - пробовал все взять в кавычки и ничего не выходит, появляется форма ввода логина и пароль в браузере вводишь и нифига...не едет что не так?

@Mitrokha отличный сайт, который поможет новичкам ----> https://forum.it-monkey.net/index.php?topic=23.0 Это лучший сайт для тех, кто только начинает работать со Squidguard. Возможно, вам придется перевести его на русский язык. Опять же, еще одна проблема, которую я обнаружил в pfSense версии 23.05, заключается в том, что вам может потребоваться создать символическую ссылку для языкового файла для кодов ошибок. Ничего страшного. Тем не менее, он будет работать нормально для блокировки URL-адресов для всего, что вам нужно заблокировать. Что касается проблемы с кодом ошибки, если она у вас возникла, убедитесь, что вы просмотрели открытый билет redmine для исправления. https://redmine.pfsense.org/issues/14406 Я лично использую как SSL-сертификаты, так и прозрачный режим, я не знаю, законно ли это в вашем регионе, у вас могут быть другие законы с использованием SSL-сертификатов в прозрачном режиме. Если вы можете законно использовать SSL-сертификаты, помните, что некоторые сайты в любом случае необходимо будет сплайсировать, поэтому создайте список сплайсинга для сайтов, которым вы доверяете и которые используете. [image: 1686120112587-screenshot-2023-06-06-at-11.41.11-pm-resized.png] Как видите, я настроил систему на подключение Ipad ко всему, и другие IP-адреса, не указанные в списке, перехватываются в нашей домашней сети. [image: 1686120212111-screenshot-2023-06-06-at-11.43.20-pm.png] Это мои сайты для сращивания независимо от того, какой файл, такие сайты, как банки и платежные сайты, являются лишь некоторыми примерами. Некоторые сайты всегда доступны только для сплайсинга. Опять же, вы можете настроить всю систему только на объединение и использовать ее только в качестве блокировщика URL-адресов. Я также использую это как антивирусную систему, которая блокирует многие вирусы, прежде чем они попадут в сеть. Я использую Squidguard, чтобы заблокировать множество непристойных веб-сайтов и других веб-сайтов, которые нарушают законы о конфиденциальности. Это он в действии, если он настроен правильно. [image: 1686120945311-screenshot_20230606-235337.png] Я всегда подозревал, что этот веб-сайт под названием hotjar использовался для загрузки плохой прошивки на мой старый смарт-телевизор, теперь вы можете видеть, что он просто заблокирован. Просто пример. [image: 1686121145228-screenshot-2023-06-06-at-11.58.44-pm-resized.png] Если вы используете сертификаты и перехват SSL, это также остановит вирусы до того, как они попадут на какой-либо компьютер, вот пример этого. Если вы найдете URL-адрес Anydesk, который хотите заблокировать, он будет останавливать его все время, просто используя выражение регулярного выражения. Пример: (^.airship.com.|^.urbanairship.com.|^.docker.com.|^.rubygems.org.|^.hotjar.com.|^.prankdial .com.|^.doubleclick.net.$) Просто добавьте свои собственные веб-сайты в Squidguard, поэтому добавьте URL-адреса, которые использует Anydesk. Я надеюсь, что это поможет вам начать работу с основами.

@werter спасибо, получилось

@Konstanti А если надо в ssl с LE для этих внутренних сервисов? Каждый раз не забывать 80-й порт открывать для продления сертификата на внутреннем сервисе ? Такое себе.

@rai_n Классический Ipsec не использует маршрутизацию , эта технология работает на так называемых "ловушках" ( или по-другому это называется "интересным трафиком"), Вам надо разбираться с настройками фазы-2 , чтобы перехватывать этот "интересный трафик", и отправлять его в туннель. Если этих настроек недостаточно , то нужно уже рассматривать вариант маршрутизируемого туннеля на базе Ipsec ( как Вам писали выше )

@BadMan Не осилить азы и делать выводы, что ПО - дерьмо? Такое себе. Ссылка выше - иди читай. Пока БЕСПЛАТНО делюсь.

@Hannek2 И hw aes не забыть

Добрый @neexon Смотреть роуты, смотреть правила fw. Телепаты в эмиграции.

Добрый @_a_g_ В вашем случае при наличие AD остается только нарисовать отдельную политику в GPO по настройке системнего прокси на раб. местах. https://winitpro.ru/index.php/2015/02/25/nastrojka-internet-explorer-s-pomoshhyu-gruppovyx-politik-v-windows-2012/ https://bobcares.com/blog/configure-proxy-settings-on-windows-using-group-policy/ https://theitbros.com/config-internet-explorer-11-proxy-settings-gpo/ (через впн) Рисовать редирект на пф - это не то и не сработает. Для днс - да, для прокси - нет.

Добрый. @sava9999 Использовать такое железо ТОЛЬКО для пф - это как топить камин купюрами. Ставим proxmox ve (pve) на zfs raid0 в Вашем случае, но лучше в будущем добавить еще 1 диск для zfs raid1 и внутри пф как вирт. машину. Точно заработает. https://forum.netgate.com/topic/163435/proxmox-ceph-zfs-pfsense-%D0%B8-%D0%B2%D1%81%D0%B5-%D0%B2%D1%81%D0%B5-%D0%B2%D1%81%D0%B5-%D1%87%D0%B0%D1%81%D1%82%D1%8C-2/ Пример правильно созданной вирт. машины для пф на pve [image: 1682069035425-pfsense.png] Изменить CD\DVD ,указав .iso с пф и добавить столько сетевых (Network Device), сколько необходимо, предварительно создав на pve bridg-ы для этих сетевых.

@konstanti у меня сейчас в голове другой вопрос, если я в vpn разрешил общаться между собой - но я не давал доступ из VPN в локальной сети, я только добавил пинг и Астерикс 5060, ДНС я молчу. А в таком случае как поднимается RTP соединение?? Понял, я не давал полный доступ к локальной сети из VPN?