Вопросы по pfSense 2.5/Plus
-
У меня при обновлении до 2.5 просто накрылся загрузчик на диске.
2 машины до этого обновились нормально. На этой много чего накручено было ( хорошо диск клонировал). -
@pavelmil said in Вопросы по pfSense 2.5/Plus:
хорошо диск клонировал
Если не секрет- чем клонировали? Или имеется в виду снэпшот виртуальной машины с pf?
-
Clonezilla. Никаких проблем с ней нет.
-
@pavelmil said in Вопросы по pfSense 2.5/Plus:
Clonezilla
Клонирует поблочно (быстро) или долго (dd)?
Тутhttps://qna.habr.com/q/319828
Пишут, что только dd.
@pavelmil said in Вопросы по pfSense 2.5/Plus:
хорошо диск клонировал
Образ развернулся без проблем?
-
Добрый.
@pavelmil
Посмотрите в сторону виртуализации пф.
Перед обновлением делается снепшот и в течение минуты возвращается обратно.Зы. Даже скрипт можно написать (писал для proxmox ve как-то).
Руками делаем снепшот ВМ с пф и обновляем пф.
Скриптом ребут ВМ с пф и если в течение N-минут с прокса нет пинга до 8.8.8.8 - откат пф по снепшоту. Просто и действенно. Можно пользовать для удаленных филиалов без вмешательства на той стороне. -
Привет
Никак не моду решить проблему с исключением не нужных подсеток в OSPF.
Обновил pfsense до версии 2.5 и после чего понял что Quaga больше не доступна. Установил пакет frr так как там обнаружил OSPF, Удалось засести это дело и динамическая маршрутизация заработала.
Но как добавить исключения, сетей которые мне не нужно передавать на удаленный хост?
Пробовал сделать с помощью Access Lists не получилось
через Route Maps тоже не получается
Кто делал помогите !!! -
@pigbrother нашли косяк 2015 года, ждём уже скоро 2.5.1 там поправят или можно самостоятельно - https://forum.netgate.com/topic/161398/openvpn-with-laptop-clients-failing-after-pfsense-upgrade-to-2-5-0/11
т.ч. насиловать кенетик слава богу не надо :-) -
2.5.1 в процессе:
https://redmine.pfsense.org/versions/61 -
Добрый
@testsia
Вещаем ВСЕ маршруты, но разруливаем ACL-ми.forum.netgate.com/topic/145252/osfp-distributing-routes-just-using-access-lists-not-bothering-with-interfaces-expect-the-vti-ones
Или вот так (правильнее, адаптировать для пф) docs.netgate.com/tnsr/en/latest/recipes/ospf-abr/index.html
Зы. Внимание https://forum.netgate.com/topic/161176/filter-some-routes
По ссылке есть патч и как его применять.Зы2. Сыроват 2.5 ( Поспешили.
-
@werter said in Вопросы по pfSense 2.5/Plus:
Добрый
@testsia
Вещаем ВСЕ маршруты, но разруливаем ACL-ми.forum.netgate.com/topic/145252/osfp-distributing-routes-just-using-access-lists-not-bothering-with-interfaces-expect-the-vti-ones
Или вот так (правильнее, адаптировать для пф) docs.netgate.com/tnsr/en/latest/recipes/ospf-abr/index.html
Зы. Внимание https://forum.netgate.com/topic/161176/filter-some-routes
По ссылке есть патч и как его применять.Зы2. Сыроват 2.5 ( Поспешили.
Удалось разобраться, все стало намного сложнее чем у Quaga, получился просто нужно в FRR походить по веб интерфейсу и в разных местах подбавлять настройки, в результате мы должны получить Raw Config такой же как был в Quaga вот такой:
! frr defaults traditional hostname gw-main01.XXX.com.ua hostname gw-main01.XXX.com.ua password HrXVubpS1wyn log syslog service integrated-vtysh-config ! ip router-id 194.XXX.XX.XX ! interface ovpnc13 description "ospfd: vpn_01_XXX01_XXX01_Volz" ip ospf network point-to-point ip ospf cost 5 ip ospf area 1.1.1.1 interface ovpnc12 description "ospfd: vpn_01_XXX01_XXX01_Volz - ospfd: vpn_02_XXX01_XXX01_TXXX" ip ospf network point-to-point ip ospf cost 15 ip ospf area 1.1.1.1 interface ovpns6 description "ospfd: vpn_01_XXX01_XXX01_Volz - ospfd: vpn_02_XXX01_XXX01_TXXX - ospfd: vpn_01_krn01_XXX01" ip ospf network point-to-point ip ospf cost 5 ip ospf area 1.1.1.1 interface ovpns7 description "ospfd: vpn_01_XXX01_XXX01_Volz - ospfd: vpn_02_XXX01_XXX01_TXXX - ospfd: vpn_01_krn01_XXX01 - ospfd: vpn_01_zln01_XXX01" ip ospf network point-to-point ip ospf cost 5 ip ospf area 1.1.1.1 ! router ospf ospf router-id 192.XXX.XX.XX log-adjacency-changes detail redistribute connected route-map ACCEPTFILTERS area 1.1.1.1 shortcut default ! access-list all permit any ! ip prefix-list ACCEPTFILTERS seq 18 deny XXX.XXX.XX.XX.0/24 ip prefix-list ACCEPTFILTERS seq 19 deny XXX.XXX.XX.XX.0/24 ip prefix-list ACCEPTFILTERS seq 20 deny 10.10.14.8/29 ip prefix-list ACCEPTFILTERS seq 21 permit any ! route-map ACCEPTFILTERS permit 10 match ip address prefix-list ACCEPTFILTERS ! line vty ! end
И все заработало, остался вопрос один.
В Quage есть строка ip protocol ospf route-map ACCEPTFILTER
Не могу найти ее в FRR
Может кто знает как добавить ее. -
@testsia
c ABR не стали пробовать?
docs.netgate.com/tnsr/en/latest/recipes/ospf-abr/index.html -
@werter said in Вопросы по pfSense 2.5/Plus:
@testsia
c ABR не стали пробовать?
docs.netgate.com/tnsr/en/latest/recipes/ospf-abr/index.html
нет не пробовал. Но спасибо.
Попробую как-то на стенде -
@testsia said in Вопросы по pfSense 2.5/Plus:
И все заработало, остался вопрос один.
В Quage есть строка ip protocol ospf route-map ACCEPTFILTER
Не могу найти ее в FRR
Может кто знает как добавить ее. -
Не понятно зачем в GUI status IPSec сделали список как на скрине.
Сначала вводит в ступор, будто все пиры лежат. -
@smils это баг 2.5,
список патчей который желательно применить для IPsec:
https://forum.netgate.com/topic/161159/client-ipsec-eap-vpn-does-not-work-after-upgrade-to-2-5release/6В данной версии довольно много изменений относительно предыдущего стабильного релиза 2.4.5-p1,
Стабилизирующий релиз 2.5.1 на подходе:
https://redmine.pfsense.org/versions/61 -
По умолчанию установшик, получинный в Client Export устанавливает помимо tap6-адаптера еще и драйвер WinTUN (tun-драйвер от разработчиков WireGuard).
Если в конфиг клиента вписать
windows-driver wintun
Соединение происходит в разы быстрее. Проверил, это реально так.
Тут:
https://rustedowl.livejournal.com/59557.html
пишут, что растет и производительность:латентность "через windows-tap6" - 5мс (стандартный драйвер OpenVPN)
латентность "через WinTUN" - 4мс
iperf3:
"через windows-tap6" - 193Mb\s
"через winTUN" - 253Mb\sВ принципе, вставить windows-driver wintun можно и в Additional configuration options в Client Export Utility
-
@pigbrother said in Вопросы по pfSense 2.5/Plus:
По умолчанию установшик, получинный в Client Export устанавливает помимо tap6-адаптера еще и драйвер WinTUN (tun-драйвер от разработчиков WireGuard).
Если в конфиг клиента вписать
windows-driver wintun
Соединение происходит в разы быстрее. Проверил, это реально так.
Тут:
https://rustedowl.livejournal.com/59557.html
пишут, что растет и производительность:латентность "через windows-tap6" - 5мс (стандартный драйвер OpenVPN)
латентность "через WinTUN" - 4мс
iperf3:
"через windows-tap6" - 193Mb\s
"через winTUN" - 253Mb\sВ принципе, вставить windows-driver wintun можно и в Additional configuration options в Client Export Utility
Можете сделать feature request?
https://docs.netgate.com/pfsense/en/latest/development/feature-requests.html -
Pf - автоматически не присваивает WAN интерфейсу ipv6 адресс.
Провайдер поддерживает. На роутере асус работает. На PF нет.
Все настройки Wan по умолчанию.
Подскажите где может быть косяк? -
@unc said in Вопросы по pfSense 2.5/Plus:
Pf - автоматически не присваивает WAN интерфейсу ipv6 адресс.
Провайдер поддерживает. На роутере асус работает. На PF нет.
Все настройки Wan по умолчанию.
Подскажите где может быть косяк?Это баг версии 2.5, исправлено в обновлении 2.5.1(пока в стадии тестирования):
https://redmine.pfsense.org/issues/11454 -
@viktor_g said in Вопросы по pfSense 2.5/Plus:
Это баг версии 2.5, исправлено в обновлении 2.5.1(пока в стадии тестирования):
Обновился до 2.5.1
Ничего не изменилось (
WAN_DHCP6
*********** 0.0ms 0.0ms 100% Offline, Packetloss