Как поставить дополнительные пакеты в pfsense

sammit

В итоге поискал варианты и не нашел ни одного, так как же установить пакеты скачанные вручную ?
Как же установить pkg managment tools и что это такое и ?

NegoroX

Пример:

1. В консоли pfSense установите утилиту управления пакетами FreeBSD pkg:

pkg

The package management tool is not yet installed on your system.
Do you want to fetch and install it now? [y/N]: y
[…]

2. Устанавите ipcad для чего последовательно выполните в консоли pfSense команды:

pkg update

3. ну и ставлю пакет ипсад

pkg install ipcad

4. завершаю

rehash

sammit

Так ведь выше в посте я написал, что pfsense не может получить доступ через корпоративный брандмауэр, соответственно и не выполняется команда

pkg update

[2.2.4-RELEASE][root@routeroffice.office.com]/: pkg update
The package management tool is not yet installed on your system.
Do you want to fetch and install it now? [y/N]: y
Bootstrapping pkg from pkg+http://pkg.FreeBSD.org/freebsd:10:x86:64/latest, please wait…
pkg: Error fetching http://pkg.FreeBSD.org/freebsd:10:x86:64/latest/Latest/pkg.txz: No address record
A pre-built version of pkg could not be found for your system.
Consider changing PACKAGESITE or installing it from ports: 'ports-mgmt/pkg'.
[2.2.4-RELEASE][root@routeroffice.office.com]/:

По этому адресу могу скачать с локальной сети которую маршрутизирует pfsense, но для этого нужно в браузере прописывать настройки крпоративного брандмауэра, а pfsense перенаправляет запрос и только так я могу скачать пакеты , но не через pfsense/
Поэтому и ищу способ установки вручную пакетов

pigbrother

но для этого нужно в браузере прописывать настройки крпоративного брандмауэра, а pfsense перенаправляет запрос и только так я могу скачать пакеты , но не через pfsense/

Возможно прозвучит глупо, но если попробовать в
System: Advanced: Miscellaneous
указать ваш  корпоративный брандмауэр (вероятно все же - прокси)?

sammit

пробовал и настройки стоят

сразу пробовал, когда хотел начать установку из pfsense

адрес 172.16.12.100
логин  - а вот здесь смог поставить только имя ,

формат  домен\user - не принимается,pаsense выдает ошибку,может поэтому не проходит аутентификация….

sammit

Аутентификация в pfsense по учетным данным из LDAP - может помочь ?
Кто знает отпишитесь как настраивать и что для чего

system->user manager->servers->add server

pigbrother

формат  домен\user - не принимается,pаsense выдает ошибку,может поэтому не проходит аутентификация….
просто user\password тоже не проходит?

Аутентификация в pfsense по учетным данным из LDAP - может помочь ?

Аутентификация в pfsense по учетным данным из LDAP\AD(Radius) может использоваться для:
1. Доступа к самому pfsense
2. Авторизации в сквид, установленный в pfsense
3. Авторизации в VPN-серверах, поднятых в pfsense
4. Авторизации WPA\WPA2 Enterprise (не уверен - использовать не приходилось)
5. Еще для чего-либо, о чем я не знаю.

Не очень ясна цель ваших попыток установить пакеты в pfsense оффлайн - доступ pfsense в интернет закрыт суровым корпоративным брандмауэром и останется закрытым вне зависимости от установленных пакетов.

sammit

доступ pfsense в интернет закрыт суровым корпоративным брандмауэром и останется закрытым вне зависимости от установленных пакетов.

формат  домен\user - не принимается,pаsense выдает ошибку,может поэтому не проходит аутентификация….
просто user\password тоже не проходит?

Почему же когда запрос авторизации выдает браузер я получаю доступ по FTP,HTTP,HTTPS в интернет ?

http://anynotes.ru/pfsense-ldap-authentication/

Здесь описано как интегрировать, но порядок формирования групп другой.
У нас , на один только выход в интернет пользователь имеет минимум 3 группы, поэтому не совсем понятен механизм обработки запроса при обращению к LDAP серверу

При тестировании подключения выходят сообщения

Attempting connection to        1.domain.com        OK

Attempting bind to                  1.domain.com        failed

Интересует разбор запросов которые обрабатывает LDAP при обращении к нему pfsense ?

sammit

Аутентификация в pfsense по учетным данным из LDAP - может помочь ?

Если существует механизм обращения к LDAP сервреру и pfsense можно интегрировать с Active Directory, более того в pfsense можно явно указать какой базой данных пользоваться, таким образом почему же он не может помочь ?
Разве он не может работать в режиме каскада ?

pigbrother

Здесь описано как интегрировать, но порядок формирования групп другой.

Эта статья, как и многие другие описывает возможность авторизовать пользователей в pfSense (не важно - через локальную базу пользователей или через LDAP/AD).

Ваша же задача, если я верно понимаю - выпустить pfSense в интернет, авторизовав его на вышестоящем прокси?
Может быть задача прояснится, если вы объясните необходимость в pfSense за корпоративным прокси?

sammit

Очень все просто интернет канал один, у меня тестовая среда, на Hyper-V развернут домен.
Pfsense машрутизатор, он настроен и я могу выходить в интернет через вышестоящий прокси, могу подключаться на любые ресурсы корпоративной сети (используя своя учетку при запросе на подключение), но возможности pfsense не могут быть расширены , за счет установки пакетов, и изучение и тестирование возможностей затрудняется.
  При установке пакета squid рассчитывал получить настройку upsteam proxy,  засчет этого может можно убрать часть проблем….

pigbrother

Если pfSense тоже в Hyper-v попробуйте несколько партизанский способ.
Скопируйте виртуальную машину с pfSense, разверните ее на другой площадке\дома, установите нужные пакеты, верните  виртуальную машину на место. Возможно - придется переназначить имена интерфейсов в консоли pfSense.

sammit

Пока пришлось временно подключить usb wi-fi , настроил интерфейс в pfsense, получил доступ к пакетам
Выбрал squid , после установки он не появился в меню Servises\Proxy Server, пришлось 2 раза переустановить

squid3 - вообще отказывается ставиться

В меню Upstream Proxy указал указал вышестоящий прокси , данные для аутентификации , но никакого результата

ICP port по умолчанию  7

ICP представляет собой протокол, используемый в Squid для общения с другими прокси в кластере. Заполните поле ICP port (ICP порт) значением порта для прослушивания, который будет использоватся помимо порта по умолчанию - 3130 для ICP. Обычно в этом нет необходимости.

Этот порт чей, где он должен быть открыт ?
Так ли он важен?

Есть ли у кого мысли на этот счет ?

Как протестировать цепочку запроса и удивить где все обрывается?

pigbrother

TAG: icp_port

Этот тэг определяет номер порта, который Squid будет использовать для отправки и приёма ICP запросов к соседским кэшам и от них. По умолчанию, номер порта 3130. Чтобы выключить использование ICP, установите значение этого тэга в "0", без кавычек.

http://break-people.ru/cmsmade/index.php?page=translate_squid_reference_tag_icp_port

Вероятно, нужно гуглить связку %ваш_суровый_прокси%+сквид

Хотим мы этого или нет - сквид де-факто промышленный стандарт.