2 hudyakov Советую. По-хорошему. Настройте на пф опенвпн-сервер, пробросив один единственный порт и ходите безопасно в свою сеть по любым портам и протоколам. У вас будет одна единственная точка входа без открытия 100500 портов и протоколов. Не любите моск. Ни себе и людям. http://bfy.tw/9e7z

У меня просто проброс до VPN сервера. Или тебе нужен именно сервер на самом PF?

@Buch: Диапазон 192.168.0.0/16 я привел как зарезервированный в сетях класса С. И 192.168.254.0/24 и 192.168.255.0/24 туда входят. Адрес .0 - адрес сети, .255 - широковещательный адрес. Исп-ть их вам никто не запрещает, но в приличных домах за такое канделябрят.

@borg: Интересно стало, а если приучить сурикату блокировать загрузку файла с определенного хоста, заблокирует ли она если я изменю днс? Блокируйте по ip. И имя станет не важно.

Доброе Сохраните конфиг с пакетами и без. Поставьте с нуля. После - установите только сквид и посмотрите, что будет. Если все ок и больше пакетов не было установлено - подгрузите конфиг без пактов. Или подгрузите коняиг со всеми пакетами. Как пойдет.

Спасибо огромное, этот вариант тоже пробовал. в итоге перезавел пользователя и все заработало.

Всем спасибо. Проблему решил самостоятельно. Таилась на клиентских машинах. отключил на клиентских компах протокол IPv6 и произвел netsh winsock reset

Спасибо за забытую при написании поста ссылку.

Спасибо!

@poteh: DNS Resolver отключён, DNS Forwader включён, но слушает только LAN. А разве встроенные DNS сервера не занимаются только тем, что форвардят DNS в локальную сеть? Или они могут держать свою DNS зону? Переопределить зону на другой ип вижу, можно. К тому же ни в DNS Resolver, ни в DNS Forwader не вижу указания master\slave и serial. Для чистоты эксперимента отключил DNS Forwader, пока без изменений. Как не странно встроенные это умеют главное задаться вопросом. Вот пример выдержки из MAN по dnsmasq –auth-zone=<domain>[,<subnet>[/<prefix length="">][,<subnet>[/<prefix length="">]…..]]     Define a DNS zone for which dnsmasq acts as authoritative server. Locally defined DNS records which are in the domain will be served. If subnet(s) are given, A and AAAA records must be in one of the specified subnets. As alternative to directly specifying the subnets, it's possible to give the name of an interface, in which case the subnets implied by that interface's configured addresses and netmask/prefix-length are used; this is useful when using constructed DHCP ranges as the actual address is dynamic and not known when configuring dnsmasq. The interface addresses may be confined to only IPv6 addresses using <interface>/6 or to only IPv4 using <interface>/4. This is useful when an interface has dynamically determined global IPv6 addresses which should appear in the zone, but RFC1918 IPv4 addresses which should not. Interface-name and address-literal subnet specifications may be used freely in the same --auth-zone declaration. The subnet(s) are also used to define in-addr.arpa and ip6.arpa domains which are served for reverse-DNS queries. If not specified, the prefix length defaults to 24 for IPv4 and 64 for IPv6. For IPv4 subnets, the prefix length should be have the value 8, 16 or 24 unless you are familiar with RFC 2317 and have arranged the in-addr.arpa delegation accordingly. Note that if no subnets are specified, then no reverse queries are answered. --auth-soa=<serial>[,<hostmaster>[,<refresh>[,<retry>[,<expiry>]]]]     Specify fields in the SOA record associated with authoritative zones. Note that this is optional, all the values are set to sane defaults. –auth-sec-servers=<domain>[,<domain>[,<domain>…]]     Specify any secondary servers for a zone for which dnsmasq is authoritative. These servers must be configured to get zone data from dnsmasq by zone transfer, and answer queries for the same authoritative zones as dnsmasq. –auth-peer=<ip-address>[,<ip-address>[,<ip-address>…]]     Specify the addresses of secondary servers which are allowed to initiate zone transfer (AXFR) requests for zones for which dnsmasq is authoritative. If this option is not given, then AXFR requests will be accepted from any secondary.</ip-address></ip-address></ip-address></domain></domain></domain></expiry></retry></refresh></hostmaster></serial></interface></interface></prefix></subnet></prefix></subnet></domain> Ubound умеет приблизительно также — главное прочесть документацию.

@pigbrother: Проблемы железа\виртуальной машины (если pf - виртуальный). Если забит канал - найти источник.  Status-Traffic Graph. Мой старый pf на Pentium III вполне справлялся с PPPOE 25Mbit +пара OVPN серверов без нареканий на качество интернета. Как я писал ранее, забивается кратковременно при обращении на наш собственный корпоративный сайт внешнему адресу.

Доброе утро. Спасибо за подсказку воспользоватся поисковиком)) Ответ на мой вопрос кроется в разделе System-> Advanced ->Firewall & NAT [image: Untitled11.png] [image: Untitled11.png_thumb]

werter, я уже разобрался. Спасибо. А ospf я использую, чтобы не писать статические маршруты.

Доброе. "netstat -plnt" - в чём-то ошибка. Неверный аргумент - "plnt". Что именно требуется посмотреть? Требутся узнать, на каком интерфейсе (-ах) "висит" сейчас unifi. Если он слушает 127.0.0.1 - работать не будет. Он должен висеть на ЛАН. И по поводу правил fw на ЛАН объясните пожалуйста поподробней. Должны быть разрешены опред. протоколы и порты на ЛАН пф для работы unifi - src - LAN net, dest - LAN address и стоять выше всех. По аналогии с Anti-Lockout Rule . Список всего добра можно поискать в гугле.

То, что ipsec заменят WAN я понял сразу, спасибо (это не грубость, может я что-то не так написал в первом посте :) ) Весь вопрос был о том, как победить такое поведение, попробую написать в баг-треккер. Настройка "IPv4 Upstream gateway" не доступна, если адрес получается через PPPoE.

тогда логи squidguard логи squid и скрины настроек.

@werter: Доброе Режим работы контроллера hdd в ide переведите. ноут 2014г На "свежем"  ноутбуке это может оказаться невозможным. Попробуйте отключить в БИОС ноутбука,  если есть - отключить secureboot,  включить режимы legacy.

@PbIXTOP: @acckiydarik: фиг с этим хттпс, как заблокировать ютуб? помимо блокирования ип правилами.. убрать прозрачный прокси и заставить всех ходить через прокси в нормальном режиме. Понял, спасибо. Я так и сделал) остался ещё один вопрос по lightsquid Пользователи, превысившие квоту 10.0 M байт меняю в конфиге на 1Gb сохраняю>работает но через некоторое время снова возвращается на 10М байт.

Галка стоит. Попробую посмотреть логи, вчера там 100% было пусто. Кстати такая же ерунда с дропами на любом роутере в который входит этот интернет, через свичи все ок. Интересный факт, подключился через asus n56u обрывы есть но они случайны. Думаю лучше будет связаться с ТП. Но все равно странно, почему через железки появляются дропы, а если напрямую в ноут/комп, то все ок

@Scodezan: @atyltin: Я готов. Имхо 1. Обсуждая здесь на форуме можно вывести идеальные формулировки, учитывающие все тонкости. Лучше бы добавили в каждое описание ссылки на соответствующие страницы мультиязычного вики сервера. А вот именно там уже и писали во всех тонкостях.  Сама эта идея взята из Windows 1. Не удобно. @atyltin: 2. Для быстрого запуска простой конфигурации и без глубоких раскопок Русский необходим. Для этой хотелки нужно чтоб при первым вопросом установщика был "Do you speak russian?" Вовсе нет. Что-такое vlan и самые базовые конфигурации и так понятны. Вопросы начинаются когда мы ставим ldap авторизацию в system->user. Зачем в каждой приблуде своя авторизация? Можно оставить комменты что куда и зачем. И судя по рекомендациям на форуме дается скрип он там что-то делает а что он делает не особо кого волнует.