Вопросы новичка по pfsense
-
2 TC
Ставьте "на чистую". Попробуйте восстанавливать конфиг частями. Т.е. попробовали восстановить правила NAT - все работает - сохранили конфиг.
И далее в таком же духе.Опробован обратный процесс.
Настроил WAN и LAN.
Т.е. простейшие настройки. Не более.Сохранили конфиг.
В конфиг вставили кусок с правилами (из архивного), подгрузили… проверили, вставили , подгрузили проверили. и т. д. Пакеты в конце!
заодно узнаем на чем затык. скорее всего в миграции со старой на более новую версию pf. и интерфейсы...
-
Доброго времени суток!
Работаю на Pfsence 2.1+Lightsquid+Squid. Прокси прозрачный.
Почему то "тормозят" некоторые сайты, типа сбербанка онлайн. Сайты открываются, т.е. порты открыты, но с сильной задержкой. Если открыть сайт без PFsence, то всё прекрасно(т.е. скорость нормальная:)
Как сделать правило для выхода "напрямую" в интернет, без участия прокси? -
В настройке Squid -
Bypass source IP \ Bypass destination IP
-
Ага, вроде заработало, Спасибо за подсказку!
P.s. для нубасов вроде меня:
Servis- Proxy Server- Bypass proxy for these source IPs - вбить IP который нужно пропускать наружу без прокси.
Мне пришлось в настройках браузера отключить прокси и прописать шлюз в настройках сети.
или\и
Servis- Proxy Server- Bypass proxy for these destination IPs - вбить IP на который нужно пропускать без прокси. -
Мне пришлось в настройках браузера отключить прокси и прописать шлюз в настройках сети.
или\иОн у вас не прозрачный (transparent) ?
-
Он у вас не прозрачный (transparent) ?
Да, я это выше писал, в вопросе:)
Попробовал отключить эти настройки (Bypass proxy for these destination IPs\Bypass proxy for these source IPs) всё прекрасно работает и без них…
Т.е. получается все кто подключаются через шлюз обходят прокси и правила? -
@ L0gin86
Работаю на Pfsence 2.1+Lightsquid+Squid. Прокси прозрачный.
Мне пришлось в настройках браузера отключить прокси и прописать шлюз в настройках сети.
или\иНа кой ляд вы прописываете явно прокси в браузере , если он ПРОЗРАЧНЫЙ ?!
-
Ну например чтобы другие проги не тянулись в инет:)
и собсно по факту получается правила применяются только ч\з браузер. -
Ну например чтобы другие проги не тянулись в инет
Если для "защиты" только, т.е. софт читает данные о прокси, а там "левый" указан, то такой вариант возможен. Но у вас другой случай, по-моему.
и собсно по факту получается правила применяются только ч\з браузер.
Не понял этой фразы.
P.s. Сквид "перехватывает" все что идет во вне на 80-й порт (HTTP) и "пропускает" через себя. Все остальные правила рисуются ручками в fw.
-
Не понял этой фразы.
Мне пришлось в настройках браузера отключить прокси
P.s. Сквид "перехватывает" все что идет во вне на 80-й порт (HTTP) и "пропускает" через себя. Все остальные правила рисуются ручками в fw.
Ну тогда объясните мне почему:
прописал прокси в настройках браузера - тот же злосчастный СБ онлайн тормозит несусветно…
Отключаю проксю в браузере, прописываю шлюз в настройке сети - СБ онлайн летает.
Итог - Используются одинаковые правила, одинаковые порты, но в одном случае тормозит, в другом нет.
Объяснить это кроме как обходом прокси не могу...
Ваш вариант?:) -
Уважаемый, Сбербанк Ваш по https работает? Этот адрес - https://online.sberbank.ru/ ?
Если это так - то причем тут сквид ?! Он https не фильтрует!P.s. Для тех , кто в танке еще раз говорю - не надо при прозрачном сквиде ЯВНО указывать его в настройках браузеров у клиентов!
P.p.s. Хотите правило для СБ - рисуйте его в fw.
-
Ух эмоций сколь:) А прямых ответов всё меньше…
не надо при прозрачном сквиде ЯВНО указывать его в настройках браузеров у клиентов!
В таком случае без указания шлюза в сети инет работать не будет.
Да и потом, коль он не фильтрует https, то почему происходят задержки?
И вообще почему вообще различия проявляются?
По логике вещей одно и тоже должно быть.
p.s. даhttps://online.sberbank.ru/
-
В таком случае без указания шлюза в сети инет работать не будет.
так ты шлюз не в настройках браузера, а в настройках сетевой карты пропиши (возможно и будет тебе счастье :) -
@ L0gin86
Ответ я Вам дал. Читайте как работает "прозрачный" сквид.P.s. И укажите наконец в настройках сетевой карты шлюзом ip машины с pfsense. И про DNS не забудьте тоже
почитать. -
так ты шлюз не в настройках браузера, а в настройках сетевой карты пропиши (возможно и будет тебе счастье
Так я это и сделал:) Всё заработало, спасибо werter! НО появились вопросы на которые я пока не получил ответы.
и вопрос заключается в следующем:
Почему происходит задержка(страницы открываются около минуты) трафика (который не фильтруется sqiud-ом) при указанной прокси в браузере.
И не происходит при указании шлюза в настройках сетевой карты.
Шлюз\прокси - машина с PFSense:)
На сколько я понимаю эти "режимы" должны быть идентичными. Да и не вечно же на прозрачной сидеть, когда то надо будет и на AD подвязаться:) -
Возможно дело в DNS. Запросы через squid используют среду squid/pfSense для разрешения имён. А прямые запросы используют локальные средства клиента. Проверьте на Windows командой nslookup <домен сайта> работу локальных настроек DNS у клиента.
-
Проверьте на Windows командой nslookup <домен сайта> работу локальных настроек DNS у клиента.
Возможно я неверно Вас понял, но как раз таки когда клиент использует маршрут шлюза сетевой карты, то всё прекрасно работает.
Меня интересовало почему через прокси(в настр браузера) тормозит, ведь он же должен пропускать этот трафик.
Добавление правила в настройках фаервола положительных результатов не дает.
P.s. на всякий проверил командой, сайт находится.
В принципе не критично на данный момент, может потом сам дойду:)
всем спасибо, кто отвечал!
Но если есть ещё идеи, пошаманил бы:) -
Я невнимательно прочитал и понял обратное.
Со Squid причиной может быть как параметры настроек, так и нехватка ресурсов железа. Здесь нужно внимательно разбираться. -
Со Squid причиной может быть как параметры настроек, так и нехватка ресурсов железа. Здесь нужно внимательно разбираться.
Понятно, спасибо! Пока вопросов больше нет:) поковыряюсь :)
-
Доброго дня. Подскажите пожалуйста можно ли использовать PFsens в качестве нас сервера (примерно около 3000 VPN подключений)? На данный момент используется MPD5 на freebsd 10 PPTP подключения + билинг с радиусом на отдельной машине.
