Вопросы по pfSense 2.5/Plus
-
@currentusername создайте отдельную тему для обсуждения
-
@pigbrother вчера обновился до 2.5. И в итоге до 10 вечера провозился с откатом на стабильно работающий 2.4. Основная проблема в OpenVPN. У меня 3 роутера Zyxel Extra на 3.5.6 клиентских (разной степени свежести железа), после обновления - 2-ва перестали коннектится. Перепробовал все танцы с бубном. Добился, что после отключения опции со сжатием, и третий начал периодически отваливаться. Один раз какой-то из ранее отвалившихся, вдруг появился в таблице как undefined на пару секунд после ребута pfsense.
Жду или версии 2.5.1 или лайф-хака. Ну или просто забить на обновления, всё равно 2.6 на моём железе уже не взлетит, а 2.4 выполняет свои обязанности. -
@ptz-m said in Вопросы по pfSense 2.5/Plus:
@pigbrother вчера обновился до 2.5. И в итоге до 10 вечера провозился с откатом на стабильно работающий 2.4. Основная проблема в OpenVPN. У меня 3 роутера Zyxel Extra на 3.5.6 клиентских (разной степени свежести железа), после обновления - 2-ва перестали коннектится. Перепробовал все танцы с бубном. Добился, что после отключения опции со сжатием, и третий начал периодически отваливаться. Один раз какой-то из ранее отвалившихся, вдруг появился в таблице как undefined на пару секунд после ребута pfsense.
Жду или версии 2.5.1 или лайф-хака. Ну или просто забить на обновления, всё равно 2.6 на моём железе уже не взлетит, а 2.4 выполняет свои обязанности.Лучше создать отдельную тему с обсуждением,
В новом OpenVPN обновлён до версии 2.5, надо смотреть логи -
@viktor_g said in Вопросы по pfSense 2.5/Plus:
В новом OpenVPN обновлён до версии 2.5, надо смотреть логи
Да, претензии к несовместимости скорее нужно адресовать не к pfSense. Однако от этого не легче, если на удаленных площадках устройства, обновления OpenVPN для которых ожидать можно долго или не получить никогда.
@ptz-m said in Вопросы по pfSense 2.5/Plus:
Жду или версии 2.5.1 или лайф-хака
Кажется маловероятным. Остается надеяться на обновления для вашего Keenetic Extra (KN-1710).
Наткнулся на такую директиву:
--disable-occ – Этот параметр позволяет взаимодействовать двум разным версиям OpenVPN. Это очень удобно в том случае, если вы поддерживаете удаленных пользователей, которые по каким-либо причинам не получают обновления ПО.
Попробуйте, вдруг поможет. Ну и компрессию - отключить.Почитал про новое в OpenVPN 2.5:
https://github.com/OpenVPN/openvpn/blob/release/2.5/Changes.rst
Не очень понятен смысл:
Since PF is going away in 2.6.0, this is just turning the crash into a well-defined program abort, and no further effort has been spent in rewriting the PF plugin error handlingOn Windows, OpenVPN can now use wintun devices. They are faster than the traditional tap9 tun/tap devices, but do not provide --dev tap mode - so the official installers contain both. To use a wintun device, add --windows-driver wintun to your config (and use of the interactive service is required as wintun needs SYSTEM privileges to enable access).
https://www.wintun.net
Wintun is a very simple and minimal TUN driver for the Windows kernel, which provides userspace programs with a simple network adapter for reading and writing packets. It is akin to Linux's /dev/net/tun and BSD's /dev/tun. Originally designed for use in WireGuard, Wintun is meant to be generally useful for a wide variety of layer 3 networking protocols and experiments -
@ptz-m
Попробуйте прошивку padavan для вашего Кинетика. Она интереснее стоковой.
Возможно, в ней овпн версии 2.5.
Как собрать под ваш роутер есть на форуме 4pdaЗы. Про ваш роутер https://4pda.ru/forum/index.php?showtopic=902584
Есть еще вариант попробовать родную прошивку 3.6, но она тестовая. -
Всем привет. Есть вопрос по версии 2.5 pfsense.
В центре сертефикацит, насколько есть смысл ставить галочки на пункты Trust Store и Randomize Serial. Разве сертификаты не добовляются в доверенные, раз роутер их пропускает и серийный номер серта генерируется не автоматом случайной последовательностью чисел ? Прошу не пинать, я пока на стартовом пути понимания OpenVPN и не смог найти ответы на свои вопросы . -
@dr_mat said in Вопросы по pfSense 2.5/Plus:
Trust Store и Randomize Serial. Разве сертификаты не добовляются в доверенные, раз роутер их пропускает и серийный номер серта генерируется не автоматом случайной последовательностью чисел ?
Нет, по-умолчанию для каждого нового сертификата используется следующий номер:
"When enabled, if this CA is capable of signing certificates then serial numbers for certificates signed by this CA will be automatically randomized and checked for uniqueness instead of using the sequential value from Next Certificate Serial."В Trust Store обычно нужно добавлять сертификаты если на вышестоящем прокси/файрволле используется SSL Bumping (просмотр шифрованного трафика). В таком случае CA сертификат SSL MITM устройства добавляется в доверенные и весь HTTPS трафик, в т.ч. идущий с самого pfSense (например обновления) будет просматриваться.
-
У меня при обновлении до 2.5 просто накрылся загрузчик на диске.
2 машины до этого обновились нормально. На этой много чего накручено было ( хорошо диск клонировал). -
@pavelmil said in Вопросы по pfSense 2.5/Plus:
хорошо диск клонировал
Если не секрет- чем клонировали? Или имеется в виду снэпшот виртуальной машины с pf?
-
Clonezilla. Никаких проблем с ней нет.
-
@pavelmil said in Вопросы по pfSense 2.5/Plus:
Clonezilla
Клонирует поблочно (быстро) или долго (dd)?
Тутhttps://qna.habr.com/q/319828
Пишут, что только dd.
@pavelmil said in Вопросы по pfSense 2.5/Plus:
хорошо диск клонировал
Образ развернулся без проблем?
-
Добрый.
@pavelmil
Посмотрите в сторону виртуализации пф.
Перед обновлением делается снепшот и в течение минуты возвращается обратно.Зы. Даже скрипт можно написать (писал для proxmox ve как-то).
Руками делаем снепшот ВМ с пф и обновляем пф.
Скриптом ребут ВМ с пф и если в течение N-минут с прокса нет пинга до 8.8.8.8 - откат пф по снепшоту. Просто и действенно. Можно пользовать для удаленных филиалов без вмешательства на той стороне. -
Привет
Никак не моду решить проблему с исключением не нужных подсеток в OSPF.
Обновил pfsense до версии 2.5 и после чего понял что Quaga больше не доступна. Установил пакет frr так как там обнаружил OSPF, Удалось засести это дело и динамическая маршрутизация заработала.
Но как добавить исключения, сетей которые мне не нужно передавать на удаленный хост?
Пробовал сделать с помощью Access Lists не получилось
через Route Maps тоже не получается
Кто делал помогите !!! -
@pigbrother нашли косяк 2015 года, ждём уже скоро 2.5.1 там поправят или можно самостоятельно - https://forum.netgate.com/topic/161398/openvpn-with-laptop-clients-failing-after-pfsense-upgrade-to-2-5-0/11
т.ч. насиловать кенетик слава богу не надо :-) -
2.5.1 в процессе:
https://redmine.pfsense.org/versions/61 -
Добрый
@testsia
Вещаем ВСЕ маршруты, но разруливаем ACL-ми.forum.netgate.com/topic/145252/osfp-distributing-routes-just-using-access-lists-not-bothering-with-interfaces-expect-the-vti-ones
Или вот так (правильнее, адаптировать для пф) docs.netgate.com/tnsr/en/latest/recipes/ospf-abr/index.html
Зы. Внимание https://forum.netgate.com/topic/161176/filter-some-routes
По ссылке есть патч и как его применять.Зы2. Сыроват 2.5 ( Поспешили.
-
@werter said in Вопросы по pfSense 2.5/Plus:
Добрый
@testsia
Вещаем ВСЕ маршруты, но разруливаем ACL-ми.forum.netgate.com/topic/145252/osfp-distributing-routes-just-using-access-lists-not-bothering-with-interfaces-expect-the-vti-ones
Или вот так (правильнее, адаптировать для пф) docs.netgate.com/tnsr/en/latest/recipes/ospf-abr/index.html
Зы. Внимание https://forum.netgate.com/topic/161176/filter-some-routes
По ссылке есть патч и как его применять.Зы2. Сыроват 2.5 ( Поспешили.
Удалось разобраться, все стало намного сложнее чем у Quaga, получился просто нужно в FRR походить по веб интерфейсу и в разных местах подбавлять настройки, в результате мы должны получить Raw Config такой же как был в Quaga вот такой:
! frr defaults traditional hostname gw-main01.XXX.com.ua hostname gw-main01.XXX.com.ua password HrXVubpS1wyn log syslog service integrated-vtysh-config ! ip router-id 194.XXX.XX.XX ! interface ovpnc13 description "ospfd: vpn_01_XXX01_XXX01_Volz" ip ospf network point-to-point ip ospf cost 5 ip ospf area 1.1.1.1 interface ovpnc12 description "ospfd: vpn_01_XXX01_XXX01_Volz - ospfd: vpn_02_XXX01_XXX01_TXXX" ip ospf network point-to-point ip ospf cost 15 ip ospf area 1.1.1.1 interface ovpns6 description "ospfd: vpn_01_XXX01_XXX01_Volz - ospfd: vpn_02_XXX01_XXX01_TXXX - ospfd: vpn_01_krn01_XXX01" ip ospf network point-to-point ip ospf cost 5 ip ospf area 1.1.1.1 interface ovpns7 description "ospfd: vpn_01_XXX01_XXX01_Volz - ospfd: vpn_02_XXX01_XXX01_TXXX - ospfd: vpn_01_krn01_XXX01 - ospfd: vpn_01_zln01_XXX01" ip ospf network point-to-point ip ospf cost 5 ip ospf area 1.1.1.1 ! router ospf ospf router-id 192.XXX.XX.XX log-adjacency-changes detail redistribute connected route-map ACCEPTFILTERS area 1.1.1.1 shortcut default ! access-list all permit any ! ip prefix-list ACCEPTFILTERS seq 18 deny XXX.XXX.XX.XX.0/24 ip prefix-list ACCEPTFILTERS seq 19 deny XXX.XXX.XX.XX.0/24 ip prefix-list ACCEPTFILTERS seq 20 deny 10.10.14.8/29 ip prefix-list ACCEPTFILTERS seq 21 permit any ! route-map ACCEPTFILTERS permit 10 match ip address prefix-list ACCEPTFILTERS ! line vty ! endИ все заработало, остался вопрос один.
В Quage есть строка ip protocol ospf route-map ACCEPTFILTER
Не могу найти ее в FRR
Может кто знает как добавить ее. -
@testsia
c ABR не стали пробовать?
docs.netgate.com/tnsr/en/latest/recipes/ospf-abr/index.html -
@werter said in Вопросы по pfSense 2.5/Plus:
@testsia
c ABR не стали пробовать?
docs.netgate.com/tnsr/en/latest/recipes/ospf-abr/index.html
нет не пробовал. Но спасибо.
Попробую как-то на стенде -
@testsia said in Вопросы по pfSense 2.5/Plus:
И все заработало, остался вопрос один.
В Quage есть строка ip protocol ospf route-map ACCEPTFILTER
Не могу найти ее в FRR
Может кто знает как добавить ее.
