@rajdzen Bez NAT czyli klienci są na adresach publicznych?

problem rozwiązany, te tematy załatwia się przez Pure NATa lub split dns

Services/DHCP Server/LAN
I tu na dole dopisujesz statyczne adres MAC.
By serwer nie odpowiadał obcym trzeba zaznaczyć opcję: Denied clients will be ignored rather than rejected.
A żeby nie dawał adresów obcym to pole: Only the clients defined below will get DHCP leases from this server.
Po zaznaczeniu obu obcy mac adres nie dostanie nawet odmowy przydzielenia adresu.

Capitive Portal nie używam wiec nie pomogę w tej kwestii.

A możesz podpowiedzieć jeszcze jakieś ustrojstwo pomagające przeglądać/analizować logi? coś co zbiera logi w jakieś kategorie itd...

W ustawieniach wybierz jeszcze Maskę : Source Addresses
W efekcie każdy z komputerów dopisany do konkretnej reguły będzie miał swój limit.

@Przemyslaw85
OPT1 jest kolejną siecią lokalną.
Zrobiłem tak jak napisałeś. Co do Firewall -> NAT -> Outbound to wpisy dodają się automatycznie.

@BreuSz
Hej, daj znać czy jeszcze masz problem. Jeżeli tak mogę Ci pomóc.

Witam,
Testowałem to rozwiązanie i robiłem to według jakiejś instrukcji. Jak w kliencie Windows VPN nie podam klucza PSK to się nie połączy. W kliencie to jest nazwane klucz L2TP i jest tam wybór klucz albo certyfikat. Port 1701 UDP jest otwarty bo jest potrzebny dla L2TP VPN i jest z automatu zakładany chyba (nie pamiętam dokładnie już). Port 500 nie jest przepuszczany. No i w kliencie nie mogę dać typ sieci na automatyczny bo się nie połączy. Muszę dać na L2TP. No chyba, ze źle zrozumiałem Twój problem ;)

pozdrawiam

Dziękuję za odpowiedź, rozumiem że proponujesz tutaj podwójny nat, bardziej interesowało mnie w trybie przeźroczystego bridge.
Przemyślę temat.

Pozdrawiam!

Trzeba wejść w konfiguracje kontrolera i ustawić Raid1 z tych dysków.
Wybór wejścia do kontrolera jest zaraz po uruchomieniu serwera.

Tryb pracy serwera masz ustawiony jako TUN czy TAP?
Osobiście mam ustawione w trybie TUN i faktycznie reguły firewall-a nie mają zastosowania.

problem chyba nie jest tak gleboki pomijam fakt ustawiania mostow etc porty po podłaczeniu kabla nie swatają most raczej nie ma tu nic do gadania mam jedn port MGMT (Opis na urzdzeniu) ktory caly czas jest aktywny i jesli ustwie go jako lan wstaje odrazu bez zadnych reguł i mostów jak ustwie go jako wan tez podnosi sie od razu bez koniecznosci ustwiania wiekszej liczby opcji oprócz DHCP i ustawienia IP wystarczy podpiac kabel wiec wyglada na to ze opcje w pfsens nie podnosza tych lanów moze z poziomu shell da sie je podnieść może toś bardzie biegły znał by komende do shell która była by wstanie podnieść te porty zadnych dodaktowych packeges nie mam zinstalowanych wczoraj oppalilem pierwszy raz i probóje go wstepnie skanfigorowac tak zeby tylko dostac ip w sieci bo z tym jest problem

Dziwne bo u siebie mam aktywny offload i wszystko gra. Możliwe że masz sprzęt (karty sieciowe) który tego nie wpierają stąd takie a nie inne problemy.

By można było określić czy łącze działa wypadało by pingować adres zewnętrzny np DNS orange /google lub też inny który zawsze jest aktywny.

Mam podobnie. OpenVPN nie może się połączy, ponieważ jak wchodzę na adres założony na NO-IP to zaimast pojawiac się router pojawia się strona modemu Huawei FIOS od INEA. Czekam na odpowiedz z inea czy mi przełączą w bridge mode modem, samemu żeby to zrobic to jakis wielki problem. Jedyne tutoriale jakie znalazłem są po tajlandzku...

@Przemyslaw85 nie odpytuje samego siebie. Jego adres WAN to 192.168.0.87 a dns jest na 0.1
Też skłaniam się ku temu, że problem tkwi w DNS.
Spróbuj u siebie na kompie odpytywać inne serwery DNS bezpośrednio w konsoli
nslookup - 8.8.8.8 np

Jaki typ połączenia zdefiniowałeś: "peer to peer" czy "Remote Access"?
Trochę mało danych przedstawiłeś.
Jedynie w trybie P2P wykorzystywany jest interfejst OpenVPN, natomiast w RemoteAccess działa to bez tego. Jedynie w konfiguracji w polu:

Redirect IPv4 Gateway: dwyłączyć IPv4 Local network(s): wpisujesz sieci do których będzie miał dostęp klient.

Jak masz w trybie P2P to reguły ruchu powinieneś dodać dla interfejsu OpenVPN.
Tak samo powineineś zdefiniować ruch z sieci swojej do OPEN VPN. Staraj się nie używać reguły domyślnej która puszcza ruch z sieci wszędzie gdzie można.

Chcesz mieć status łącza LAN które samo w sobie jest bramą. Adres który PF ma sprawdzać musi odpowiadać na pingi. W przeciwnym razie nie będzie to działać.

Powiedz mi w jakim celu chcesz mieć dodaną inną bramę dla LAN. Nie widzę w tym sensu.

dzięki:) właśnie do nich pisałem i niestety opór straszny w korespondencji:)

Udało się, problemem były dns. Dzięki za pomoc Pozdr

VPN _>OpenVPN->Servers->Edit ->Tunnel Settings -> Redirect IPv4 Gateway. Jak ta opcja jest zaznaczona to cały ruch klienta jest przekierowany na tunel z netem włącznie.
Jak nie jest wybrane to w polu IPv4 Local network(s) trzeba wpisać do jakich sieci i jakich zakresów ma mieć dostęp klient np 10.0.0.1/24
Teraz pytanie czy komputery które nie odpowiadają to ich bramą jest właśnie pfsense czy może jakiś inny router. No i teraz jak jest skonfogurowany Firewall kompoutera w sieci.

Swój problem opisałeś dość pobieżnie skrótowo. By odpowiedzieć właściwie musiałbyś rozwinąć swoją myśl.

Komputer w sieci lokalnej nie dostanie adresu publicznego, ale pod takim adresem będzie widoczny dla innych.
Do tego co potrzebujesz wystarczy przekierować porty na wewnętrzny adres.
Możesz też zastosować nat 1:1 ale tu wszystko to co trafi na adres publiczny zostanie przekierowane na komputer w sieci wewnętrznej.

OK, sytuacja opanowana. Dwie sprawy:

1. MBUF, wiki pfsense:
https://doc.pfsense.org/index.php/Tuning_and_Troubleshooting_Network_Cards

Akurat moja karta to bce :-)

2. Uczniom najwidoczniej się nudzi na zajęciach, bo co jakiś czas puszczają flooda do sieci. Wypięcie kabla załatwia problem :-)

Dzisiaj śmiga jak powinien. Opcja wymiany sprzetu do rozważenia, jak nam światłowód podłączą.

Dzięki za wskazówki :-)

Proponuję użyć osobny router z modem LTE. On załatwi sprawę w 100%.

W PF nie ma takiej funkcji, albo po tylu latach jeszcze jej nie odkryłem. Ale na 95% nie ma.

Hej,
na kartach jest ok. Zmieniliśmy konfiguracje na Squid i wygląda to znacznie lepiej. Na kartach jest czysto a faktycznie popatrze jeszcze na dyski w czasie godzin pracy.