Вопросы по pfSense 2.5/Plus
-
@dr_mat said in Вопросы по pfSense 2.5/Plus:
Trust Store и Randomize Serial. Разве сертификаты не добовляются в доверенные, раз роутер их пропускает и серийный номер серта генерируется не автоматом случайной последовательностью чисел ?
Нет, по-умолчанию для каждого нового сертификата используется следующий номер:
"When enabled, if this CA is capable of signing certificates then serial numbers for certificates signed by this CA will be automatically randomized and checked for uniqueness instead of using the sequential value from Next Certificate Serial."В Trust Store обычно нужно добавлять сертификаты если на вышестоящем прокси/файрволле используется SSL Bumping (просмотр шифрованного трафика). В таком случае CA сертификат SSL MITM устройства добавляется в доверенные и весь HTTPS трафик, в т.ч. идущий с самого pfSense (например обновления) будет просматриваться.
-
У меня при обновлении до 2.5 просто накрылся загрузчик на диске.
2 машины до этого обновились нормально. На этой много чего накручено было ( хорошо диск клонировал). -
@pavelmil said in Вопросы по pfSense 2.5/Plus:
хорошо диск клонировал
Если не секрет- чем клонировали? Или имеется в виду снэпшот виртуальной машины с pf?
-
Clonezilla. Никаких проблем с ней нет.
-
@pavelmil said in Вопросы по pfSense 2.5/Plus:
Clonezilla
Клонирует поблочно (быстро) или долго (dd)?
Тутhttps://qna.habr.com/q/319828
Пишут, что только dd.
@pavelmil said in Вопросы по pfSense 2.5/Plus:
хорошо диск клонировал
Образ развернулся без проблем?
-
Добрый.
@pavelmil
Посмотрите в сторону виртуализации пф.
Перед обновлением делается снепшот и в течение минуты возвращается обратно.Зы. Даже скрипт можно написать (писал для proxmox ve как-то).
Руками делаем снепшот ВМ с пф и обновляем пф.
Скриптом ребут ВМ с пф и если в течение N-минут с прокса нет пинга до 8.8.8.8 - откат пф по снепшоту. Просто и действенно. Можно пользовать для удаленных филиалов без вмешательства на той стороне. -
Привет
Никак не моду решить проблему с исключением не нужных подсеток в OSPF.
Обновил pfsense до версии 2.5 и после чего понял что Quaga больше не доступна. Установил пакет frr так как там обнаружил OSPF, Удалось засести это дело и динамическая маршрутизация заработала.
Но как добавить исключения, сетей которые мне не нужно передавать на удаленный хост?
Пробовал сделать с помощью Access Lists не получилось
через Route Maps тоже не получается
Кто делал помогите !!! -
@pigbrother нашли косяк 2015 года, ждём уже скоро 2.5.1 там поправят или можно самостоятельно - https://forum.netgate.com/topic/161398/openvpn-with-laptop-clients-failing-after-pfsense-upgrade-to-2-5-0/11
т.ч. насиловать кенетик слава богу не надо :-) -
2.5.1 в процессе:
https://redmine.pfsense.org/versions/61 -
Добрый
@testsia
Вещаем ВСЕ маршруты, но разруливаем ACL-ми.forum.netgate.com/topic/145252/osfp-distributing-routes-just-using-access-lists-not-bothering-with-interfaces-expect-the-vti-ones
Или вот так (правильнее, адаптировать для пф) docs.netgate.com/tnsr/en/latest/recipes/ospf-abr/index.html
Зы. Внимание https://forum.netgate.com/topic/161176/filter-some-routes
По ссылке есть патч и как его применять.Зы2. Сыроват 2.5 ( Поспешили.
-
@werter said in Вопросы по pfSense 2.5/Plus:
Добрый
@testsia
Вещаем ВСЕ маршруты, но разруливаем ACL-ми.forum.netgate.com/topic/145252/osfp-distributing-routes-just-using-access-lists-not-bothering-with-interfaces-expect-the-vti-ones
Или вот так (правильнее, адаптировать для пф) docs.netgate.com/tnsr/en/latest/recipes/ospf-abr/index.html
Зы. Внимание https://forum.netgate.com/topic/161176/filter-some-routes
По ссылке есть патч и как его применять.Зы2. Сыроват 2.5 ( Поспешили.
Удалось разобраться, все стало намного сложнее чем у Quaga, получился просто нужно в FRR походить по веб интерфейсу и в разных местах подбавлять настройки, в результате мы должны получить Raw Config такой же как был в Quaga вот такой:
! frr defaults traditional hostname gw-main01.XXX.com.ua hostname gw-main01.XXX.com.ua password HrXVubpS1wyn log syslog service integrated-vtysh-config ! ip router-id 194.XXX.XX.XX ! interface ovpnc13 description "ospfd: vpn_01_XXX01_XXX01_Volz" ip ospf network point-to-point ip ospf cost 5 ip ospf area 1.1.1.1 interface ovpnc12 description "ospfd: vpn_01_XXX01_XXX01_Volz - ospfd: vpn_02_XXX01_XXX01_TXXX" ip ospf network point-to-point ip ospf cost 15 ip ospf area 1.1.1.1 interface ovpns6 description "ospfd: vpn_01_XXX01_XXX01_Volz - ospfd: vpn_02_XXX01_XXX01_TXXX - ospfd: vpn_01_krn01_XXX01" ip ospf network point-to-point ip ospf cost 5 ip ospf area 1.1.1.1 interface ovpns7 description "ospfd: vpn_01_XXX01_XXX01_Volz - ospfd: vpn_02_XXX01_XXX01_TXXX - ospfd: vpn_01_krn01_XXX01 - ospfd: vpn_01_zln01_XXX01" ip ospf network point-to-point ip ospf cost 5 ip ospf area 1.1.1.1 ! router ospf ospf router-id 192.XXX.XX.XX log-adjacency-changes detail redistribute connected route-map ACCEPTFILTERS area 1.1.1.1 shortcut default ! access-list all permit any ! ip prefix-list ACCEPTFILTERS seq 18 deny XXX.XXX.XX.XX.0/24 ip prefix-list ACCEPTFILTERS seq 19 deny XXX.XXX.XX.XX.0/24 ip prefix-list ACCEPTFILTERS seq 20 deny 10.10.14.8/29 ip prefix-list ACCEPTFILTERS seq 21 permit any ! route-map ACCEPTFILTERS permit 10 match ip address prefix-list ACCEPTFILTERS ! line vty ! end
И все заработало, остался вопрос один.
В Quage есть строка ip protocol ospf route-map ACCEPTFILTER
Не могу найти ее в FRR
Может кто знает как добавить ее. -
@testsia
c ABR не стали пробовать?
docs.netgate.com/tnsr/en/latest/recipes/ospf-abr/index.html -
@werter said in Вопросы по pfSense 2.5/Plus:
@testsia
c ABR не стали пробовать?
docs.netgate.com/tnsr/en/latest/recipes/ospf-abr/index.html
нет не пробовал. Но спасибо.
Попробую как-то на стенде -
@testsia said in Вопросы по pfSense 2.5/Plus:
И все заработало, остался вопрос один.
В Quage есть строка ip protocol ospf route-map ACCEPTFILTER
Не могу найти ее в FRR
Может кто знает как добавить ее. -
Не понятно зачем в GUI status IPSec сделали список как на скрине.
Сначала вводит в ступор, будто все пиры лежат. -
@smils это баг 2.5,
список патчей который желательно применить для IPsec:
https://forum.netgate.com/topic/161159/client-ipsec-eap-vpn-does-not-work-after-upgrade-to-2-5release/6В данной версии довольно много изменений относительно предыдущего стабильного релиза 2.4.5-p1,
Стабилизирующий релиз 2.5.1 на подходе:
https://redmine.pfsense.org/versions/61 -
По умолчанию установшик, получинный в Client Export устанавливает помимо tap6-адаптера еще и драйвер WinTUN (tun-драйвер от разработчиков WireGuard).
Если в конфиг клиента вписать
windows-driver wintun
Соединение происходит в разы быстрее. Проверил, это реально так.
Тут:
https://rustedowl.livejournal.com/59557.html
пишут, что растет и производительность:латентность "через windows-tap6" - 5мс (стандартный драйвер OpenVPN)
латентность "через WinTUN" - 4мс
iperf3:
"через windows-tap6" - 193Mb\s
"через winTUN" - 253Mb\sВ принципе, вставить windows-driver wintun можно и в Additional configuration options в Client Export Utility
-
@pigbrother said in Вопросы по pfSense 2.5/Plus:
По умолчанию установшик, получинный в Client Export устанавливает помимо tap6-адаптера еще и драйвер WinTUN (tun-драйвер от разработчиков WireGuard).
Если в конфиг клиента вписать
windows-driver wintun
Соединение происходит в разы быстрее. Проверил, это реально так.
Тут:
https://rustedowl.livejournal.com/59557.html
пишут, что растет и производительность:латентность "через windows-tap6" - 5мс (стандартный драйвер OpenVPN)
латентность "через WinTUN" - 4мс
iperf3:
"через windows-tap6" - 193Mb\s
"через winTUN" - 253Mb\sВ принципе, вставить windows-driver wintun можно и в Additional configuration options в Client Export Utility
Можете сделать feature request?
https://docs.netgate.com/pfsense/en/latest/development/feature-requests.html -
Pf - автоматически не присваивает WAN интерфейсу ipv6 адресс.
Провайдер поддерживает. На роутере асус работает. На PF нет.
Все настройки Wan по умолчанию.
Подскажите где может быть косяк? -
@unc said in Вопросы по pfSense 2.5/Plus:
Pf - автоматически не присваивает WAN интерфейсу ipv6 адресс.
Провайдер поддерживает. На роутере асус работает. На PF нет.
Все настройки Wan по умолчанию.
Подскажите где может быть косяк?Это баг версии 2.5, исправлено в обновлении 2.5.1(пока в стадии тестирования):
https://redmine.pfsense.org/issues/11454