pfsense блокирует все в lan 2 суток бьюсь
-
Ребят помогите я в афиге уже, не первый раз ставлю pfsense у меня такая беда при дефолтных настройках на pfsense есть интернет с него пинги идут но у меня в сети так же ижут пинги но ни сайты ни rdp не открываеться такое чувство что фаервол все рубит на лан(( я все облазил где причина хз уже 2 рые сутки,во вкладке firewall rules lan стоит дефолтное правило которое все разрешает,Default allow LAN to any rule
В настройках system-advanced-/ Firewall & NAT отключал Disable Firewall- Disable all packet filtering. не помогло(
-
@евгений Nat outbound настроен для Lan на WAN интерфейсе ?
то что на первой фотке , это что рубится на wan интерфейсе для 95.174.XXX.XXX -
@konstanti Nat outbound настроен Automatic outbound NAT rule generation.
(IPsec passthrough included) ( я его обычно и не трогал, раньше все работало) там два правила для моей лан подсети по дефолтуAuto created rule for ISAKMP
Auto created rule -
@евгений Покажите пож nat outbound
Или посмотрите в Diagnostics/Command Prompt вывод команды
pfctl -s nat
есть там такая строчка ( применительно к Вашему случаю)
nat on XXX inet from 10.10.0.0/24 to any -> 95.174.XXX.XXX port 1024:65535 -
@konstanti самое интересное что в самом pfsense все ходит все есть даже грузит обновления и т.д а за пределами уже все с локалки пингует например mail.ru но страницы не грузит((...
-
@евгений У Вас нет правила NAT OUtbound для вашей сети 10.10.0.0/24 на wan интерфейсе
-
@konstanti Я просто уже переустановил pfsense и локалку сделал дефолтную) 192.168.1.xxx Я делал локальный ап пи и 10.10.0.120 и 192.168.100.120 ничего не помогает не пойму что за бред.... Кто то ставит и все сразу работает по дефолту у меня какая то засада...
-
@евгений Чудес не бывает
Давайте еще раз
Можете показать вывод команды
pfctl -sr из раздела Diagnostics/Command Prompt ?
и pfctl -s nat (оттуда же) -
- pfctl -s nat
no nat proto carp all
nat-anchor "natearly/" all
nat-anchor "natrules/" all
nat on pppoe0 inet from 127.0.0.0/8 to any port = isakmp -> 95.174.110.204 static-port
nat on pppoe0 inet from 192.168.1.0/24 to any port = isakmp -> 95.174.110.204 static-port
nat on pppoe0 inet6 from ::1 to any port = isakmp -> (pppoe0) round-robin static-port
nat on pppoe0 inet from 127.0.0.0/8 to any -> 95.174.110.204 port 1024:65535
nat on pppoe0 inet from 192.168.1.0/24 to any -> 95.174.110.204 port 1024:65535
nat on pppoe0 inet6 from ::1 to any -> (pppoe0) port 1024:65535 round-robin
no rdr proto carp all
rdr-anchor "relayd/" all
rdr-anchor "tftp-proxy/" all
rdr-anchor "miniupnpd" all -
-
@евгений К сожалению ничего не видно
Но что узрел - это PPPoE
Можно уточняющий вопрос
С локального компа пинги идут в инет ? -
@konstanti да идут, сейчас частями вгружу а то не дает типо спам пишет)
и если подключит простой роутер типо zyxel, tplink все работает -
@евгений Не надо
Попробуйте в настройках wan интерфейса поставить MTU 1400
Что произойдет ?
-
@konstanti
Shell Output - pfctl -sr
scrub on pppoe0 all fragment reassemble
scrub on ue0 all fragment reassemble
anchor "relayd/" all
anchor "openvpn/" all
anchor "ipsec/*" all
block drop in log quick inet from 169.254.0.0/16 to any label "Block IPv4 link-local"
block drop in log quick inet from any to 169.254.0.0/16 label "Block IPv4 link-local"
block drop in log inet all label "Default deny rule IPv4"
block drop out log inet all label "Default deny rule IPv4"
block drop in log inet6 all label "Default deny rule IPv6"
block drop out log inet6 all label "Default deny rule IPv6"
pass quick inet6 proto ipv6-icmp all icmp6-type unreach keep state
pass quick inet6 proto ipv6-icmp all icmp6-type toobig keep state
pass quick inet6 proto ipv6-icmp all icmp6-type neighbrsol keep state
pass quick inet6 proto ipv6-icmp all icmp6-type neighbradv keep state
pass out quick inet6 proto ipv6-icmp from fe80::/10 to fe80::/10 icmp6-type echorep keep state
pass out quick inet6 proto ipv6-icmp from fe80::/10 to fe80::/10 icmp6-type routersol keep state
pass out quick inet6 proto ipv6-icmp from fe80::/10 to fe80::/10 icmp6-type routeradv keep state
pass out quick inet6 proto ipv6-icmp from fe80::/10 to fe80::/10 icmp6-type neighbrsol keep state
pass out quick inet6 proto ipv6-icmp from fe80::/10 to fe80::/10 icmp6-type neighbradv keep state -
@евгений Попробуйте МТU поменять на wan интерфейсе , как я указал выше
-
@konstanti
Ничего не поменялось все так же... пинги идут страницы не открываются -
-
@евгений Какая схема подключения к провайдеру?
Можете показать вывод команды ifconfig ? также из diagnostics/.... -
@konstanti Самое интересное что простые роутеры работают типо Zyxel и Tplink
-
@konstanti
вот с pfsense провайдер Мегалинк Таганрог
0_1545861879380_ipconfig.txt
