@Konstanti Добрый день. Я выставлял макс. дебаг в логах unbound - там ничего не появлялось. Т.е там были записи про ДНС-запросы, но только от самого ПФ (NTP и еще чего-то) Спс, я уже вроде решил проблему. Хотя настройки пришлось делать не так, как в мануале на сайте.

@Begazi 1 используйте исходящий Nat на интерфейсе 192.168.78.4 для сети 10.73.158.0/24 или 2 создайте правило исходящего NATа для сети 10.73.158.0/24 на wan интерфейсе PF

@pigbrother сделал как в мануалах. Теперь да, при трассировке до удаленной сети уходит в корректный шлюз (10.0.10.1) но при этом все равно до конечной сети трафик не доходит. В фаерволе все разрешено. Странно.

@pigbrother Да, это скрин для ОпенВПН интерфейса. Насчет вместо указания TCP\UDP\ICMP в Кинетике можно использовать знвчение IP. Это как ANY в других системах. Спасибо. Я так и думал что скорее всего как-то можно не городить такой огород. Теперь буду знать. Насчет сабжа - тема закрыта. Как я сказал получилось сделать пробросом портов и девайс уже стоит на точке и работает. Экспериментировать с удаленным роутером ну что-то ваще не хоцца :) Еще раз спасибо за помощь.

@rline По идее, нужно узлу В добавить маршрут в узел Б указав шлюзом А. Для узла Б добавить маршрут в узел В указав шлюзом А. @rline said in Маршрутизация openvpn клиентов: поднят openvpn сервер peer to peer (shared key). От shared key пора отказываться, он пока поддерживается, но как долго - вопрос. OpenVPN Shared Key Tunnels Deprecated – They still work, but will trigger warnings in the logs and GUI. https://docs.netgate.com/pfsense/en/latest/releases/2-7-0.html Да и "правильный" сервер "с сертификатами" намного удобнее в управлении маршрутами - все делается на сервере.

Добрый @Ivan-6 Проксмокс - гипервизор. Как vmware esxi или ms hyper-v, только ОТКРЫТЫЙ и оч крутой :) 1 https://www.opennet.ru/opennews/art.shtml?num=59334 2 https://forum.netgate.com/topic/163435/proxmox-ceph-zfs-pfsense-%D0%B8-%D0%B2%D1%81%D0%B5-%D0%B2%D1%81%D0%B5-%D0%B2%D1%81%D0%B5-%D1%87%D0%B0%D1%81%D1%82%D1%8C-2/

@dsp3 Отписать в техподдержку, чтобы сменили вам тип подключения на ipoe.

@Reno-0 Всем спс - разрешения на файлы слетели))

Добрый @ao_kalachev В баг-репорт смотрели ? Может там чего есть на эту тему.

@legsedel не может быть простых решений в сетях с несколькими шлюзами По поводу пропускной способности .... сложно сказать , все проверяется только экспериментальным путем а так , не за что ... обращайтесь

@werter это понятно что не проверить, просто хотел показать что ресурс доступен напрямую с pf, благодарю за отзывчивость)

Причина найдена - конфликт ip адресов, источник - устройство со своим DHCP которое глюкануло и "присвоило" себе адрес pfsense устройство отключено, отвалы прекратились, тему можно закрывать.

@PTZ-M Не везет. Зы. В работе 15+ шт связок proxmox + pfsense. Пятый год - полет нормальный, заглядываю периодически лишь для обновления. Скорее всего проблема не в pve и pf.

Добрый @Noobs Что не получается?

Доброго времени! наконец руки добрались заняться, спустя два года) что делал: Создать правило для входящих подключений в брандмауэре на порт 389 по TCP на своем rodc (проверил доступность telnetом ip:port - все ок) Создал учетную запись в AD пользователя для для входа в web-интерфейс pfSense (буду использовать свою доменную четную запись) Создал учетную запись в AD пользователя pfSense для запроса паролей, хранящихся в базе данных AD Создал группу в AD pfSense Administration и добавил туда свою учетную запись AD Создал группу в AD pfSense Internet Acces и добавил туда свою учетную запись AD (добавил свою для теста) Создал группу AD Squid в Authentication Servers на pfSense и указал там свою доменную учетную запись Протестировал в Diagnostics/Authentication на pfsense указав в Authentication Server: AD Squid (все ок) Настроил Proxy Server: AuthenticationAuthentication: Authentication Method: LDAP Authentication Server: IP rodc Authentication server port: 389 Authentication Processes: 5 Authentication TTL: 5 LDAP version: 3 Transport: TCP-Standart LDAP Server User DN: "CN=pfSense,OU="Пользователи",OU="Город",OU="Филиалы",DC=domain,DC=ru" LDAP Password: password LDAP Base Domain: DC=domain,DC=ru LDAP Username DN Attribute: samAccountName LDAP Search Filter: (&(memberOf-CN=pfSense Internet Access,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru)(sAMAccountName-%s) (&(memberOf-"CN=pfSense Internet Access,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru")(sAMAccountName-%s) - пробовал так в кавычки "(&(memberOf-CN=pfSense Internet Access,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru)(sAMAccountName-%s)" - пробовал все взять в кавычки и ничего не выходит, появляется форма ввода логина и пароль в браузере вводишь и нифига...не едет что не так?

@Mitrokha отличный сайт, который поможет новичкам ----> https://forum.it-monkey.net/index.php?topic=23.0 Это лучший сайт для тех, кто только начинает работать со Squidguard. Возможно, вам придется перевести его на русский язык. Опять же, еще одна проблема, которую я обнаружил в pfSense версии 23.05, заключается в том, что вам может потребоваться создать символическую ссылку для языкового файла для кодов ошибок. Ничего страшного. Тем не менее, он будет работать нормально для блокировки URL-адресов для всего, что вам нужно заблокировать. Что касается проблемы с кодом ошибки, если она у вас возникла, убедитесь, что вы просмотрели открытый билет redmine для исправления. https://redmine.pfsense.org/issues/14406 Я лично использую как SSL-сертификаты, так и прозрачный режим, я не знаю, законно ли это в вашем регионе, у вас могут быть другие законы с использованием SSL-сертификатов в прозрачном режиме. Если вы можете законно использовать SSL-сертификаты, помните, что некоторые сайты в любом случае необходимо будет сплайсировать, поэтому создайте список сплайсинга для сайтов, которым вы доверяете и которые используете. [image: 1686120112587-screenshot-2023-06-06-at-11.41.11-pm-resized.png] Как видите, я настроил систему на подключение Ipad ко всему, и другие IP-адреса, не указанные в списке, перехватываются в нашей домашней сети. [image: 1686120212111-screenshot-2023-06-06-at-11.43.20-pm.png] Это мои сайты для сращивания независимо от того, какой файл, такие сайты, как банки и платежные сайты, являются лишь некоторыми примерами. Некоторые сайты всегда доступны только для сплайсинга. Опять же, вы можете настроить всю систему только на объединение и использовать ее только в качестве блокировщика URL-адресов. Я также использую это как антивирусную систему, которая блокирует многие вирусы, прежде чем они попадут в сеть. Я использую Squidguard, чтобы заблокировать множество непристойных веб-сайтов и других веб-сайтов, которые нарушают законы о конфиденциальности. Это он в действии, если он настроен правильно. [image: 1686120945311-screenshot_20230606-235337.png] Я всегда подозревал, что этот веб-сайт под названием hotjar использовался для загрузки плохой прошивки на мой старый смарт-телевизор, теперь вы можете видеть, что он просто заблокирован. Просто пример. [image: 1686121145228-screenshot-2023-06-06-at-11.58.44-pm-resized.png] Если вы используете сертификаты и перехват SSL, это также остановит вирусы до того, как они попадут на какой-либо компьютер, вот пример этого. Если вы найдете URL-адрес Anydesk, который хотите заблокировать, он будет останавливать его все время, просто используя выражение регулярного выражения. Пример: (^.airship.com.|^.urbanairship.com.|^.docker.com.|^.rubygems.org.|^.hotjar.com.|^.prankdial .com.|^.doubleclick.net.$) Просто добавьте свои собственные веб-сайты в Squidguard, поэтому добавьте URL-адреса, которые использует Anydesk. Я надеюсь, что это поможет вам начать работу с основами.

@werter спасибо, получилось

@Konstanti А если надо в ssl с LE для этих внутренних сервисов? Каждый раз не забывать 80-й порт открывать для продления сертификата на внутреннем сервисе ? Такое себе.