Вся соль в том, что``` /sbin/ifconfig интерфейс down Я перепробовал по разному его отрубать, никак! Со скриптом SH проблем нет, мой алгоритм в 1-м посте нормально определяет, есть сеть или ее нету. А вот интерфейс положит - я сам удивлен, но никак не положить не убить его вручную. За ответы спасибо, я написал конкретный топор на PHP + cURL, авторизируемся, отправляем POST о отключении и POST о включении. Работает, хрен с ним. Под пиво убил 2-а часа времени, поэтому выглядит сейчас так: #!/bin/sh ping -c1 [ip адрес] if [ $? != 0 ] then   /usr/local/bin/php /root/utils/reset.gif.php fi Это скорее всего из-за тунеля, который образуется в веб-интерфейсе дополнительными различными настройками и как-то скорее всего контролируется pfsense. Не буду описывать свой тупой костыль в PHP если кому и пригодится, пишите. P./S.: Я не нашел API для pfSense, но в принципе я и сделал под себя класс PHP с cURL, но могут со временем возникнуть проблемы т.к. если веб-морду поменяют и в POST надо будет добавлять параметры, читать исходник от pfSense желания если честно нет, это займет просто больше времени конкретно для меня. Так, что топор-топором, главное результат.

@werter: Доброе. У пф один ВАН ? Не совсем понятно. Если да и с ним проблемы, то и ипсек на пф также должен падать и подниматься вместе с ВАН пф. Тема закрыта. Помогло  ;D [image: pf.JPG] [image: pf.JPG_thumb]

Спасибо за ответы, проблему пока не решил. @Scodezan: Ставь 1 основной, 2 резервный, 5 локалка. У меня тоже выделенка, но PPPoE, имел подобные проблемы пока не выставил в ручную Weight. Не помогло @werter: Доброе. @sk1pper: Вероятно не правильно описал. На lan есть еще десяток виртуальных интерфейсов и gwlan применяется для стат.маршрутов. Можно подробнее? Как и зачем там шлюз явно указан. Есть несколько подсетей /24 в одной из них pf. Необходим доступ из других к pf. После pf стоит роутер к которому явно указан маршрут.При создании маршрута  в System/Routing/Static Routes pf просит указать gw.

Вообщем, штудирование англоязычной ветки, помогло. Теперь все работает. Виртуальные интерфейсы перезапускаются по требованию, переключение на другой туннель согласно метрике OSPF происходит также при отключении виртуального, либо реального WAN интерфейса. Решение такое. В zebra.conf через Raw Config написать вручную конфигурацию. This file was created by the pfSense package manager.  Do not edit! password ****** log syslog ip prefix-list ACCEPTFILTER deny 10.10.12.1/32 ip prefix-list ACCEPTFILTER deny 10.10.10.1/32 ip prefix-list ACCEPTFILTER deny 10.10.13.1/32 ip prefix-list ACCEPTFILTER deny 10.10.11.1/32 ip prefix-list ACCEPTFILTER permit any route-map ACCEPTFILTER permit 10 match ip address prefix-list ACCEPTFILTER ip protocol ospf route-map ACCEPTFILTER На клиенте, соответственно, вместо единицы двойка в последнем числе ип-адреса. Что дают эти строки, слабо представляю, ибо знание английского не на высоте, но все работает. Осталось цепануть еще виндовый комп ко всему этому, чтобы видно было обе подсети, а, также, роутер зухел, но это уже другая история.

Доброе. 2 PbIXTOP Скажем так, с опцией Match правила во флоатинг также будут обрабатываться первее правил на интерфейсах lan, wan. Обрабатываться, но не применяться (если не c quick). Так работают правила касательно шейпера, размещенные во флоатинг, напр.

Это нормальное поведение большинства маршрутизаторов — отправлять пакеты по кратчайшему пути, а не в тот порт в который они пришли. Попробуйте покапать в теме Sticky connections, но не знаю как там будет отрабатывается отсутствие глобальных маршрутов в OPT3.

Решил сделать ограничение интернета пользователям из AD по группам согласно статье https://forum.pfsense.org/index.php/topic,46843.0.html и многим другим нужно вводить заменяя на свои external_acl_type ldap_users %LOGIN /usr/local/libexec/squid/squid_ldap_group -R -b "dc=domain,dc=com" -f "(&(sAMAccountName=%v)(memberOf=cn=%a,ou=users,dc=domain,dc=com))" -D squid_user@domain.com -w super_password 192.168.1.1; acl ad_inet external ldap_users InetUsers; http_access allow ad_inet; После ввода squid падает и не запускается. Решил проверить путь /usr/local/libexec/squid/ обнаружил что нет там squid_ldap_group хотя вроде как должен быть могу ошибаться так как не работал ранее с pfsense.  В интернете пишут что squid_ldap_group хэлпер который устанавливается но установку на pfsense найти не удалось.  Подскажите в чем может быть проблема?

@efgen42: Я конечно не буду спорить что софтина на стороне клиента пробмлемная, но проблема не разовая. Не зря в pfSense имеется данная настройка и целый раздел в мануале под названием "Статический порт" Вообще-то любой роутер с NAT, действительно ведет себя, как пишет ув. werter. Static port в англ. ветках советуют включать для игровых приставок типа xbox. Положение исправилось выставлением статического порта для Outbound NAT Идеологически правильнее было бы создать в Outbound NAT отдельное правило для dest IP сервиса камер со static port , поставить его выше отредактированного вами, а в основном static port убрать.

Скрины чего именно?

Если внешних бэкапов нет - надеяться на автосохраненные pfSense. По ссылке - 2 способа найти\восстановить их. https://forum.pfsense.org/index.php?topic=106091.msg592886#msg592886

Это подразумевает чрезвычайно большое количество времени на дорогу. В обе стороны. Удалённо это сделать не получится. Зашить точку новой кастомной прОшей и запилить новые настройки - не проблема. Вопрос лишь в том, - зачем? Если лечится бутом PfSense'а, то при чём тут точка?

@httpxss: ping -c 5 10.1.1.254 &> /dev/null && echo "norm" || echo "loss" ping -c 5 10.1.1.254 > /dev/null && echo "norm" || echo "loss" без амперсанда попробуйте. #!/bin/sh будет работать Будете смеятся и удивляться но так тоже не работает)) Все время возвращает "norm", даже если вместо хоста какую-нибудь белеберду написать) Но проблемы решил таким синтаксисом: #!/bin/sh if ping -q -c 4 10.8.0.1 | grep ', 0.0%' >/dev/null; then код else код fi

Ошибка оказалась простой до безобразия - вылечилась перезагрузкой системы. Зря потраченные 3 дня  ;D

Предпочитаю официальные источники, а у потом остальное. По поводу не дохода пингов — windows по умолчанию блокирует ВСЕ что не находится в частной подсети. И пинги-пингами, но надо во время тестирования дампы снимать для заявления, что пинги не проходят.

2 Scodezan: Вы абсолютно правы. Пруф №1, и, как следствие, пруф №2. Всем большое человеческое спасибо !

Релизы: https://atxfiles.pfsense.org/mirror/downloads/old/ Обновления: https://atxfiles.pfsense.org/mirror/updates/old/

Никогда не пользовался этой вкладкой. 1. Активность по  внутренними IP - .68 .255 и по 3-м "белым" IPV6. Смущает IP 192.168.1.255. Для сети 192.168.1.0/24 192.168.1.255 - это адрес Broadcast. 2. Запустите на проблемных IP это https://technet.microsoft.com/ru-ru/sysinternals/tcpview.aspx 3. Вы уверены, что вам нужен IPV6? Если нет - отключите его на pfSense.

В Aliases нельзя добавлять домены. Оттуда файрволом понимаются только IP. URL там указывается на файл со списком IP если он где-то лежит. В вашем случае надо пускать весь трафик локальных машин на прямую через проксю по порту 3128(Прописывается в браузере или в системе в целом) чтобы резало не только 80й но и 443 порт. А дальше со squid'ом и squidGuard'ом играйтесь как вам интересно. Использую вполне успешно такую схему но задачи немного слоджнее. Режем конкретику в сети вроде порнухи и соцсетей…