Вопросы по pfSense 2.5/Plus

viktor_g

@dr_mat said in Вопросы по pfSense 2.5/Plus:

Trust Store и Randomize Serial. Разве сертификаты не добовляются в доверенные, раз роутер их пропускает и серийный номер серта генерируется не автоматом случайной последовательностью чисел ?

Нет, по-умолчанию для каждого нового сертификата используется следующий номер:
"When enabled, if this CA is capable of signing certificates then serial numbers for certificates signed by this CA will be automatically randomized and checked for uniqueness instead of using the sequential value from Next Certificate Serial."

В Trust Store обычно нужно добавлять сертификаты если на вышестоящем прокси/файрволле используется SSL Bumping (просмотр шифрованного трафика). В таком случае CA сертификат SSL MITM устройства добавляется в доверенные и весь HTTPS трафик, в т.ч. идущий с самого pfSense (например обновления) будет просматриваться.

pavelmil

У меня при обновлении до 2.5 просто накрылся загрузчик на диске.
2 машины до этого обновились нормально. На этой много чего накручено было ( хорошо диск клонировал).

pigbrother

@pavelmil said in Вопросы по pfSense 2.5/Plus:

хорошо диск клонировал

Если не секрет- чем клонировали? Или имеется в виду снэпшот виртуальной машины с pf?

pavelmil

Clonezilla. Никаких проблем с ней нет.

pigbrother

@pavelmil said in Вопросы по pfSense 2.5/Plus:

Clonezilla

Клонирует поблочно (быстро) или долго (dd)?
Тут

https://qna.habr.com/q/319828

Пишут, что только dd.

@pavelmil said in Вопросы по pfSense 2.5/Plus:

хорошо диск клонировал

Образ развернулся без проблем?

werter

Добрый.
@pavelmil
Посмотрите в сторону виртуализации пф.
Перед обновлением делается снепшот и в течение минуты возвращается обратно.

Зы. Даже скрипт можно написать (писал для proxmox ve как-то).
Руками делаем снепшот ВМ с пф и обновляем пф.
Скриптом ребут ВМ с пф и если в течение N-минут с прокса нет пинга до 8.8.8.8 - откат пф по снепшоту. Просто и действенно. Можно пользовать для удаленных филиалов без вмешательства на той стороне.

testsia

Привет
Никак не моду решить проблему с исключением не нужных подсеток в OSPF.
Обновил pfsense до версии 2.5 и после чего понял что Quaga больше не доступна. Установил пакет frr так как там обнаружил OSPF, Удалось засести это дело и динамическая маршрутизация заработала.
Но как добавить исключения, сетей которые мне не нужно передавать на удаленный хост?
Пробовал сделать с помощью Access Lists не получилось
через Route Maps тоже не получается
Кто делал помогите !!!

PTZ-M

@pigbrother нашли косяк 2015 года, ждём уже скоро 2.5.1 там поправят или можно самостоятельно - https://forum.netgate.com/topic/161398/openvpn-with-laptop-clients-failing-after-pfsense-upgrade-to-2-5-0/11
т.ч. насиловать кенетик слава богу не надо :-)

viktor_g

@ptz-m

2.5.1 в процессе:
https://redmine.pfsense.org/versions/61

werter

Добрый
@testsia
Вещаем ВСЕ маршруты, но разруливаем ACL-ми.

forum.netgate.com/topic/145252/osfp-distributing-routes-just-using-access-lists-not-bothering-with-interfaces-expect-the-vti-ones

Или вот так (правильнее, адаптировать для пф) docs.netgate.com/tnsr/en/latest/recipes/ospf-abr/index.html

Зы. Внимание https://forum.netgate.com/topic/161176/filter-some-routes
По ссылке есть патч и как его применять.

Зы2. Сыроват 2.5 ( Поспешили.

testsia

@werter said in Вопросы по pfSense 2.5/Plus:

Добрый
@testsia
Вещаем ВСЕ маршруты, но разруливаем ACL-ми.

forum.netgate.com/topic/145252/osfp-distributing-routes-just-using-access-lists-not-bothering-with-interfaces-expect-the-vti-ones

Или вот так (правильнее, адаптировать для пф) docs.netgate.com/tnsr/en/latest/recipes/ospf-abr/index.html

Зы. Внимание https://forum.netgate.com/topic/161176/filter-some-routes
По ссылке есть патч и как его применять.

Зы2. Сыроват 2.5 ( Поспешили.

Удалось разобраться, все стало намного сложнее чем у Quaga, получился просто нужно в FRR походить по веб интерфейсу и в разных местах подбавлять настройки, в результате мы должны получить Raw Config такой же как был в Quaga вот такой:

!
frr defaults traditional
hostname gw-main01.XXX.com.ua
hostname gw-main01.XXX.com.ua
password HrXVubpS1wyn
log syslog
service integrated-vtysh-config
!
ip router-id 194.XXX.XX.XX
!
interface ovpnc13
 description "ospfd: vpn_01_XXX01_XXX01_Volz"
 ip ospf network point-to-point
 ip ospf cost 5
 ip ospf area 1.1.1.1
interface ovpnc12
 description "ospfd: vpn_01_XXX01_XXX01_Volz - ospfd: vpn_02_XXX01_XXX01_TXXX"
 ip ospf network point-to-point
 ip ospf cost 15
 ip ospf area 1.1.1.1
interface ovpns6
 description "ospfd: vpn_01_XXX01_XXX01_Volz - ospfd: vpn_02_XXX01_XXX01_TXXX - ospfd: vpn_01_krn01_XXX01"
 ip ospf network point-to-point
 ip ospf cost 5
 ip ospf area 1.1.1.1
interface ovpns7
 description "ospfd: vpn_01_XXX01_XXX01_Volz - ospfd: vpn_02_XXX01_XXX01_TXXX - ospfd: vpn_01_krn01_XXX01 - ospfd: vpn_01_zln01_XXX01"
 ip ospf network point-to-point
 ip ospf cost 5
 ip ospf area 1.1.1.1
!
router ospf
 ospf router-id 192.XXX.XX.XX
 log-adjacency-changes detail
 redistribute connected route-map ACCEPTFILTERS
 area 1.1.1.1 shortcut default
!
access-list all permit any
!

ip prefix-list ACCEPTFILTERS seq 18 deny XXX.XXX.XX.XX.0/24 
ip prefix-list ACCEPTFILTERS seq 19 deny XXX.XXX.XX.XX.0/24 
ip prefix-list ACCEPTFILTERS seq 20 deny 10.10.14.8/29 
ip prefix-list ACCEPTFILTERS seq 21 permit any 
!
route-map ACCEPTFILTERS permit 10
 match ip address prefix-list ACCEPTFILTERS
!
line vty
!
end

И все заработало, остался вопрос один.
В Quage есть строка ip protocol ospf route-map ACCEPTFILTER
Не могу найти ее в FRR
Может кто знает как добавить ее.

werter

@testsia
c ABR не стали пробовать?
docs.netgate.com/tnsr/en/latest/recipes/ospf-abr/index.html

testsia

@werter said in Вопросы по pfSense 2.5/Plus:

@testsia
c ABR не стали пробовать?
docs.netgate.com/tnsr/en/latest/recipes/ospf-abr/index.html
нет не пробовал. Но спасибо.
Попробую как-то на стенде

viktor_g

@testsia said in Вопросы по pfSense 2.5/Plus:

И все заработало, остался вопрос один.
В Quage есть строка ip protocol ospf route-map ACCEPTFILTER
Не могу найти ее в FRR
Может кто знает как добавить ее.

smils

Не понятно зачем в GUI status IPSec сделали список как на скрине.
Сначала вводит в ступор, будто все пиры лежат.

viktor_g

@smils это баг 2.5,
список патчей который желательно применить для IPsec:
https://forum.netgate.com/topic/161159/client-ipsec-eap-vpn-does-not-work-after-upgrade-to-2-5release/6

В данной версии довольно много изменений относительно предыдущего стабильного релиза 2.4.5-p1,
Стабилизирующий релиз 2.5.1 на подходе:
https://redmine.pfsense.org/versions/61

pigbrother

По умолчанию установшик, получинный в Client Export устанавливает помимо tap6-адаптера еще и драйвер WinTUN (tun-драйвер от разработчиков WireGuard).
Если в конфиг клиента вписать
windows-driver wintun
Соединение происходит в разы быстрее. Проверил, это реально так.
Тут:
https://rustedowl.livejournal.com/59557.html
пишут, что растет и производительность:

латентность "через windows-tap6" - 5мс (стандартный драйвер OpenVPN)
латентность "через WinTUN" - 4мс
iperf3:
"через windows-tap6" - 193Mb\s
"через winTUN" - 253Mb\s

В принципе, вставить windows-driver wintun можно и в Additional configuration options в Client Export Utility

viktor_g

@pigbrother said in Вопросы по pfSense 2.5/Plus:

По умолчанию установшик, получинный в Client Export устанавливает помимо tap6-адаптера еще и драйвер WinTUN (tun-драйвер от разработчиков WireGuard).
Если в конфиг клиента вписать
windows-driver wintun
Соединение происходит в разы быстрее. Проверил, это реально так.
Тут:
https://rustedowl.livejournal.com/59557.html
пишут, что растет и производительность:

латентность "через windows-tap6" - 5мс (стандартный драйвер OpenVPN)
латентность "через WinTUN" - 4мс
iperf3:
"через windows-tap6" - 193Mb\s
"через winTUN" - 253Mb\s

В принципе, вставить windows-driver wintun можно и в Additional configuration options в Client Export Utility

Можете сделать feature request?
https://docs.netgate.com/pfsense/en/latest/development/feature-requests.html

Unc

Pf - автоматически не присваивает WAN интерфейсу ipv6 адресс.
Провайдер поддерживает. На роутере асус работает. На PF нет.
Все настройки Wan по умолчанию.
Подскажите где может быть косяк?

viktor_g

@unc said in Вопросы по pfSense 2.5/Plus:

Pf - автоматически не присваивает WAN интерфейсу ipv6 адресс.
Провайдер поддерживает. На роутере асус работает. На PF нет.
Все настройки Wan по умолчанию.
Подскажите где может быть косяк?

Это баг версии 2.5, исправлено в обновлении 2.5.1(пока в стадии тестирования):
https://redmine.pfsense.org/issues/11454