Вопросы новичка по pfsense

werter

@pigbrother
Логин и пасс вводятся при подключении к ТД провайдера.
EAP + Radius auth, скорее всего.

@farwork
В опенврт возможность подключения по логину и паролю появляется после установки полноценного пакета wpad вместо урезанного wpad-а, к-ый исп-ся по умолчанию.
Можно попробовать wpad-basic - https://openwrt.org/packages/pkgdata/wpad-basic

Для работы в режиме моста установить пакет relayd.

pigbrother

@werter said in Вопросы новичка по pfsense:

Логин и пасс вводятся при подключении к ТД провайдера.

Я в курсе.

Хотел уточнить это у ТС. Тк не ясной кажется конструкция

@farwork said in Вопросы новичка по pfsense:

Сечас все подключено но через вин комп который подключен к этой сети а потом уже через лан по кабелю отдает пфсенсу интернет этот

farwork

@werter said in Вопросы новичка по pfsense:

@pigbrother
Логин и пасс вводятся при подключении к ТД провайдера.
EAP + Radius auth, скорее всего.

@farwork
В опенврт возможность подключения по логину и паролю появляется после установки полноценного пакета wpad вместо урезанного wpad-а, к-ый исп-ся по умолчанию.
Можно попробовать wpad-basic - https://openwrt.org/packages/pkgdata/wpad-basic

Для работы в режиме моста установить пакет relayd.

Тут все верно отписали. Провайдер задает EAP + Radius auth и уйти я не могу от этого.. Сейчас пробую доустановить пакеты wpad. а точно нужен он? Да у меня была версия мини. Но большой зараза не входит в память точки.. А гугл пишет что это Web Proxy Auto-Discovery Protocol вроде как для прокси штука. поищу точку с памятью побольше конечно попробую

farwork

@luha said in Вопросы новичка по pfsense:

Ты ничего такого не увидел в настройках? И в расширенном режиме посмотрел? И внимательно искал? ;)

Дело в авторизации.. я не могу обойти еап в этом вся проблемма

werter

@farwork

Надо удалить wpad и установить wpad-basic. Это касается оврт версии 19.х В 18-й прийдется пользовать полноценный пакет wpad.
Как вариант, обойтись без Luci, если осилите.

https://openwrt.org/docs/guide-user/network/wifi/encryption

Что у вас за железка? Полное название и ревизия (на попе у железки).

farwork

@werter said in Вопросы новичка по pfsense:

@farwork

Надо удалить wpad и установить wpad-basic. Это касается оврт версии 19.х В 18-й прийдется пользовать полноценный пакет wpad.
Как вариант, обойтись без Luci, если осилите.

https://openwrt.org/docs/guide-user/network/wifi/encryption

Что у вас за железка? Полное название и ревизия (на попе у железки).

Сейчас колупаю TP-Link TL-WA701N/ND v1 на ней OpenWrt 18.06.9
Мне похоже нужно вбить подобные настройки туда. Нашел куда. /etc/config/wireless.. Вопрос как вытащить сертификат из точки или с компа с виндой теперь

network = {
ssid="Company WPA2 EAP"
key_mgmt=WPA-EAP
pairwise=TKIP
group=TKIP
eap=PEAP
identity="username@domain"
password="your_passphrase"
ca_cert="/etc/cert/ca.pem"
phase1="peapver=0"
phase2="MSCHAPV2"
}

werter

@farwork
Пакет wpad установили ?

farwork

@werter said in Вопросы новичка по pfsense:

@farwork
Пакет wpad установили ?

Нет.. не влазит. Без него бесполезно? Сразу не обратил внимание но формат то не совпадает. у меня сейчас там
config wifi-device 'radio0'
option type 'mac80211'
option hwmode '11g'
option path 'pci0000:00/0000:00:00.0'
option country 'US'
option legacy_rates '1'
option txpower '18'
option htmode 'HT20'
option disabled '0'
option channel '1'

config wifi-iface 'default_radio0'
option device 'radio0'
option network 'lan'
option mode 'ap'
option encryption 'psk2'
option key 'пароль'
option disassoc_low_ack '0'
option ssid 'wifi2'

config wifi-iface
option network 'wwan'
option ssid 'metodcenter'
option encryption 'psk2'
option device 'radio0'
option mode 'sta'
option bssid 'E8:28:C1:E2:05:61'

luha

@farwork Вот оно как. Подумал у вас там обычный компьютер настроили для pf и хотите поставить в офисе после модема/роутера провайдера для организации локалки. А оказывается на OWRT железка.

Если не секрет, зачем вообще понадобился pf, с какой целью?

farwork

@luha said in Вопросы новичка по pfsense:

@farwork Вот оно как. Подумал у вас там обычный компьютер настроили для pf и хотите поставить в офисе после модема/роутера провайдера для организации локалки. А оказывается на OWRT железка.

Если не секрет, зачем вообще понадобился pf, с какой целью?

не совсем так. у меня 2 канала от провайдера. 1 простой кабель а 2й только по вифи с этой еап авторизацией. Пфсенс как раз и нужен для объединения. Хотя до появления 2го канала он уже года 2 как занимался раздачей интернета. А до него еще был ipcop. OWRT железка пытается добавится сейчас для того чтобы уйти от промежуточного виндовс компа который делатет из вифи интрнета с ЕАП обычный кабельный который уже идет в ПФсенс 2м каналом.
В обдем я так понял чтобез установки полного пакета wpad у меня не выйдет ничего так как нужен Client support WPA Enterprise а его в мини версии пакета нет. ищю девайс помощнее сейчас

luha

@farwork У нас тоже два основных канала. На самом деле даже больше, но это не важно. Ещё недавно был другой сервер-роутер, который работал много лет и морально и физически устал, поэтому заменили. Решили pf попробовать. И что же оказалось? Оказалось что нет в pf адекватной балансировки и актуально у нас считай два независимых канала, очень условно сведённых в одно устройство и сеть. Так что не знаю, может вы там ещё подумайте как лучше сделать. На старом роутере балансировалось вообще отлично, только главное было прокси не включать. С прокси понял что эта штука сама по себе требует отдельного шкафа, чтобы оно нормально работало.

werter

@farwork
Мил человек, я ж ссылку дал. Вы хоть почитать по ней потрудитесь (
Без wpad-а не получится

Варианты:

• собрать оверт самому с нужными пакетами (на 4пда есть КАК)
  купить железку с 8МБ ПЗУ и водрузить туда оврт 19 с wpad-basic
  оплатить работу по сборке оврт под вас

Вариант * сложнее, но получите ОПЫТ, к-ый бесценен.

werter

@farwork
Пф умеет usb tether ,т.е. можно пользовать смартфон как резервный канал.

werter

@luha
Настрою балансировку. За деньги.

Зы. У самого было 2 канала - адсл и оптика. Все прекрасно переключалось-балансировалось.

pigbrother

@luha said in Вопросы новичка по pfsense:

Оказалось что нет в pf адекватной балансировки

Если можно - в чем неадекватность балансировки pf?

farwork

@werter said in Вопросы новичка по pfsense:

@farwork
Мил человек, я ж ссылку дал. Вы хоть почитать по ней потрудитесь (
Без wpad-а не получится

Варианты:

• собрать оверт самому с нужными пакетами (на 4пда есть КАК)
  купить железку с 8МБ ПЗУ и водрузить туда оврт 19 с wpad-basic
  оплатить работу по сборке оврт под вас

Вариант * сложнее, но получите ОПЫТ, к-ый бесценен.

Да спасибо я потом уже понял. Название смутило просто. уже смотрел про сборку. Если не найду другую железку то так и сделаю. Просто обидно будет если соберу а окажется что зря. На моей совсем мало места как то
Filesystem Size Used Available Use% Mounted on
/dev/root 2.3M 2.3M 0 100% /rom
tmpfs 13.6M 1.6M 12.0M 12% /tmp
/dev/mtdblock3 320.0K 240.0K 80.0K 75% /overlay
overlayfs:/overlay 320.0K 240.0K 80.0K 75% /
tmpfs 512.0K 0 512.0K 0% /dev

luha

@pigbrother Не буду скрывать, с pf знаком от недавно. Возможно что просто не разобрался, тем более что благодаря форумчанам удалось несколько вопросов закрыть.

К балансировке (без проксей) претензии следующие:

• Когда пользователи из локалки выходят в интернет то только через один определённый канал. А хотелось бы их автоматом распределять то туда то сюда в зависимости от нагрузки.
• Когда один канал падает то нет адекватной реакции от роутера. Пояснение - имеем почтовик, ему нужен PTR и SPF и прочее такое, поэтому через роутер для него жёстко прописаны правила куда идти и как... канал падает... админ руками переключает... а должно само.
  ... такие вот дела.

pigbrother

@luha said in Вопросы новичка по pfsense:

то только через один определённый канал

Настроено через Gateway Groups с равными Tiers?
Странно. Это как раз работает нормально. Приоритет использования каналов настраивал через Gateway Weight, при равных Weight балансировка вполне адекватна.
Другое дело, что если включить sticky connections, клиент будет висеть на выбранном ресурсе через конкретный канал, пока не истечет время states или states не сбросить.

@luha said in Вопросы новичка по pfsense:

имеем почтовик

Тут сложнее, но, по идее, для входящих писем достаточно настроенных mx-записей ,а для исходящих, как вариант, добавление записи вида
ip4:a.a.a.a ip4:b.b.b.b
в spf.

Так же настраивал failover для OVPN-клиента для site-to-site на pf. Но это уже другая история (С)

luha

@pigbrother Так в том и дело! В том и проблема. Есть пользователи разных групп и категорий - одних в один канал надо, других в другой, третьих нужно баллансировать. И ещё есть сервера, тоже разные - они могут работать только на определённых настройках правильно т.к. к ним из-вне идут подключения, нельзя их балансировать. А из инструментария имеем только дубовые методы вроде приколачивания выходного канала в свойствах для конкретного IP на адаптере локальной сети! Это ни в какие ворота не пролазит даже боком.

pigbrother

@luha said in Вопросы новичка по pfsense:

т.к. к ним из-вне идут подключения, нельзя их балансировать

Имеется в виду обычный порт форвард? Если да, включение балансировки никаких проблем не доставляло.

Вспоминаю мультиван на Микротик - это да. Например ответить по порт форвард через шлюз, на который пришел запрос (что в общем-то логично) там это отдельная задача, решаемая маркировкой пакетов.