Может кто подскажет новичку?



  • Вобщем решил поставить прокси в нашей которе. По-немногу изучаю FreeBSD, увидел pfsense и решил попробовать. Но ничего не выходит :( Пока тренируюсь дома, у меня ADSL-модем со встроенным свитчем, в него воткнуты мой комп и pfsense. Вроде бы все делаю по инструкциям, в частности http://bruteforcer.ru/index.php/2009/11/23/ustanovka-i-nastrojka-squid-i-havp-v-pfsense/2/ но ничего не выходит :(

    на pfsense:
    LAN: nfe0 192.168.0.254/24
    WAN: rl0 192.168.1.2/24 route 192.168.1.10 (ADSL) DNS 8.8.8.8

    на моем (чьи запросы он по идее должен кешировать):
    DHCP от pfsense:
    IP 192.168.0.244
    mask 255.255.255.0
    route 192.168.0.254
    DNS 8.8.8.8

    Что-то делаю не так?

    спасибо



  • @denis-k:

    у меня ADSL-модем со встроенным свитчем, в него воткнуты мой комп и pfsense.

    Схема странная. Все 3 интерфейса в один свич?



  • @denis-k:

    Вобщем решил поставить прокси в нашей которе. По-немногу изучаю FreeBSD, увидел pfsense и решил попробовать. Но ничего не выходит :( Пока тренируюсь дома, у меня ADSL-модем со встроенным свитчем, в него воткнуты мой комп и pfsense. Вроде бы все делаю по инструкциям, в частности http://bruteforcer.ru/index.php/2009/11/23/ustanovka-i-nastrojka-squid-i-havp-v-pfsense/2/ но ничего не выходит :(

    Зачем же сразу прокси?
    Для начала
    WAN в Adsl модем
    ваш комп в LAN

    Для верси 1,2,3 установим и запутим мастер установки. http://thin.kiev.ua/index.php?option=com_content&view=article&id=246:inst&catid=50:pfsense&Itemid=81

    Для беты - НАТ создаем ручками. Имхо.



  • Схема странная. Все 3 интерфейса в один свич?

    да все. А в чём крамола?



  • @aleksvolgin:

    Схема странная. Все 3 интерфейса в один свич?

    да все. А в чём крамола?

    Эээ, ну я еще не догадался так проэкспериментировать..



  • у меня такая схема 1,5 года работала. Замечаний нет.



  • ничего не выходит
    что это значит?



  • @dvserg:

    Схема странная. Все 3 интерфейса в один свич?

    Да вполне нормальная схема :)



  • @deutsche:

    ничего не выходит
    что это значит?

    ну мой комп не может выйти в инет



  • @dr.gopher:

    Зачем же сразу прокси?
    Для начала
    WAN в Adsl модем
    ваш комп в LAN

    ну так для этих целей и ставлю :)

    @dr.gopher:

    Для верси 1,2,3 установим и запутим мастер установки. http://thin.kiev.ua/index.php?option=com_content&view=article&id=246:inst&catid=50:pfsense&Itemid=81

    Для беты - НАТ создаем ручками. Имхо.

    Версия 1.2.3, но по инструкциям не получается, видимо где-то руки скривились

    Кстати еще стоит SquidGaurd, HAVP.

    Как узнать, пытается мой комп ломиться через pfsense?

    Смотрел лог /var/squid/log/access.log но такое ощущение что он не меняется (в начале установки инет был и в логе это отражено), а сейчас он не меняется - это нормально?



  • @denis-k:

    Версия 1.2.3, но по инструкциям не получается, видимо где-то руки скривились
    Кстати еще стоит SquidGaurd, HAVP.
    Как узнать, пытается мой комп ломиться через pfsense?
    Смотрел лог /var/squid/log/access.log но такое ощущение что он не меняется (в начале установки инет был и в логе это отражено), а сейчас он не меняется - это нормально?

    Вам же написали! Не надо вам сквид и антивирус. Запустите роутер только с НАТом.



  • @dr.gopher:

    Вам же написали! Не надо вам сквид и антивирус. Запустите роутер только с НАТом.

    Хорошо. Только вот как остановить Сквид? Если через вебморду, то он перезапускается, если в консоли убивать его, то он так же перезапускается… rc.conf не нашел :(



  • Не парь (ся)
    Поставь PfSense на чистую!



  • @dr.gopher:

    Не парь (ся)
    Поставь PfSense на чистую!

    И это каждый раз делать, лишь бы не париться? А более грамотных путей нет??

    Вобщем отключил havp, убрал "прозрачный прокси", поставил в браузере 3128 и пустил. Сейчас пошагово буду искать, где накосячил :)



  • @denis-k:

    И это каждый раз делать, лишь бы не париться? А более грамотных путей нет??

    Вы забываете, что нужно идти от простого к сложному.
    С вашим уровнем познания данной системы - проще и быстрее переустановить и не флужить  в форуме!

    Удачи



  • @dr.gopher:

    Вы забываете, что нужно идти от простого к сложному.
    С вашим уровнем познания данной системы - проще и быстрее переустановить и не флужить  в форуме!

    Удачи

    Если Ваши познания выше, то почему бы Вам не подсказать, где копать, а те идти ламерским путем - все преустанавливать. Я хочу научиться разбираться в проблемах, а не бежать от них.



  • ну мой комп не может выйти в инет
    что это значит?

    покажи вывод команды
    ping ya.ru



  • @deutsche:

    ну мой комп не может выйти в инет
    что это значит?

    покажи вывод команды
    ping ya.ru

    При проверке связи не удалось обнаружить узел ya.ru. Проверьте имя узла и повтор
    ите попытку.
    

    Хотя страницы стали открываться, но настолько медленно, что можно повеситься… На третий день нервы уже заканчиваются :(



  • @denis-k:

    @deutsche:

    ну мой комп не может выйти в инет
    что это значит?

    покажи вывод команды
    ping ya.ru

    При проверке связи не удалось обнаружить узел ya.ru. Проверьте имя узла и повтор
    ите попытку.
    

    Хотя страницы стали открываться, но настолько медленно, что можно повеситься… На третий день нервы уже заканчиваются :(

    DNS



  • на ADSL DHCP отключен?
    DNS лучше кешировать на pfsense.



  • @deutsche:

    на ADSL DHCP отключен?
    DNS лучше кешировать на pfsense.

    DHCP на модеме отключен. Так же на нем убрал галочку "Enable Automatic Assigned DNS" и поставл Гугловские (8.8.8….), так как с ДНСами моего провайдера я как-то намучался.



  • И еще, сделал dmesg | grep nfe0 (LAN):

    nfe0: <nvidia nforce2="" mcp2="" networking="" adapter=""> port 0xd000-0xd007 mem 0xe4000000-0xe4000fff irq 20 at device 4.0 on pci0
    miibus0: <mii bus=""> on nfe0
    nfe0: Ethernet address: 00:04:61:8f:a4:8a
    nfe0: [FILTER]
    nfe0: link state changed to UP
    nfe0: link state changed to DOWN
    nfe0: link state changed to UP
    nfe0: link state changed to DOWN
    nfe0: link state changed to UP
    nfe0: link state changed to DOWN
    nfe0: link state changed to UP
    nfe0: link state changed to DOWN
    nfe0: link state changed to UP
    arp: 192.168.1.10 is on rl0 but got reply from 00:22:b0:62:4a:a0 on nfe0</mii></nvidia>
    

    тоже для WAN: dmesg | grep rl0:

    rl0: <realtek 10="" 8139="" 100basetx=""> port 0xc000-0xc0ff mem 0xe3000000-0xe30000ff irq 16 at device 8.0 on pci1
    miibus1: <mii bus=""> on rl0
    rl0: Ethernet address: 00:e0:4c:62:62:09
    rl0: [ITHREAD]
    rl0: link state changed to UP
    arp: 192.168.1.10 is on rl0 but got reply from 00:22:b0:62:4a:a0 on nfe0</mii></realtek>
    

    и никаких UP/DOWN

    может у меня что-нить не так с LAN-интерфейсом??



  • Если в момент появления этих сообщений вы ничего с интерфейсом\кабелем\свитчом не делали - то, что то тут не так!



  • @deutsche:

    Если в момент появления этих сообщений вы ничего с интерфейсом\кабелем\свитчом не делали - то, что то тут не так!

    в том то и дело, что ничего не делал :(
    начнем с малого - со шнурков…



  • и так, шнурки завязаны? ботиночки вам не жмут-с?



  • Шнурки сменил на заводские (повезло что дома нашел). Скорости в открытии страниц не прибавило, зато UP/DOWN при загрузке ушло.
    Но проблема осталась в том что transparent-proxy не хочет работать :( Если принудительно через 3128, то браузер скрипя зубами выходит, если же ставить "прозрачный прокси" и в браузере поставить "нет прокси" или "автоматическиое определение прокси", то кукишь - инета нет :( Где я мог ошибиться?



  • покажите
    telnet ip pfsense 80
    [Enter]
    GET
    [Enter]
    Что напишет?

    инета нет
    скриншот этого состояния

    Включите https в админке.



  • @denis-k:

    @dvserg:

    Схема странная. Все 3 интерфейса в один свич?

    Да вполне нормальная схема :)

    @denis-k:

    Но проблема осталась в том что transparent-proxy не хочет работать :( Если принудительно через 3128, то браузер скрипя зубами выходит, если же ставить "прозрачный прокси" и в браузере поставить "нет прокси" или "автоматическиое определение прокси", то кукишь - инета нет :( Где я мог ошибиться?

    А вот теперь вернемся к Вашей схеме. Чтобы транспарент работал, необходим определенный порядок прохождения паветов.

    [workstation] > [LAN pfSense WAN] > [ADSL] ~~~~> { Inet }

    Вот почему я говорю о странных схемах. Функционал той или иной части любой системы расчитан на стандартные схемы сети.



  • на самом деле нет



  • @deutsche:

    покажите
    telnet ip pfsense 80
    [Enter]
    GET
    [Enter]
    Что напишет?
    Включите https в админке.

    Спасибо, что спросили )))) Понял свою ошибку с "прозрачным прокси" - я ставил галочку в Transparent, а вот порт с 3128 на 80 не менял ))) Исправил - стало загружаться, но очень, очень, нуууу оооочень медленно ((



  • @dvserg:

    А вот теперь вернемся к Вашей схеме. Чтобы транспарент работал, необходим определенный порядок прохождения паветов.

    [workstation] > [LAN pfSense WAN] > [ADSL] ~~~~> { Inet }

    Вот почему я говорю о странных схемах. Функционал той или иной части любой системы расчитан на стандартные схемы сети.

    Он по этой схеме и проходит и подключение все в один свитч никак не влияет на это :)



  • Схема вполне рабочая. Проблемы будут только если LAN бриджем с WAN соединить, но здесь не тот случай.

    Понял свою ошибку с "прозрачным прокси" - я ставил галочку в Transparent, а вот порт с 3128 на 80 не менял ))) Исправил - стало загружаться, но очень, очень, нуууу оооочень медленно ((

    При прозрачном прокси никакой порт нигде менять не надо, ни на pfSense, ни на клиенте (на нем вообще прокси не надо указывать).
    На клиенте поставьте DNS: 192.168.0.254
    Чтобы не засорялся лог в System: Advanced поставьте галку в Shared Physical Network - This will suppress ARP messages when interfaces share the same physical network



  • @rubic:

    При прозрачном прокси никакой порт нигде менять не надо, ни на pfSense, ни на клиенте (на нем вообще прокси не надо указывать).
    На клиенте поставьте DNS: 192.168.0.254

    ну не знаю, когда делал telnet pfsense 80, при стоящей галочке в "прозрачный прокси", ничего не выдавало, а вот на 3128 заходил. Когда сменил на 80, то наоборот - на 80 заходил, а на 3128 нет :)
    @rubic:

    Чтобы не засорялся лог в System: Advanced поставьте галку в Shared Physical Network - This will suppress ARP messages when interfaces share the same physical network

    Спасибо, сейчас попробую, только может тогда в настройках DHCP поставить, что бы DNS давал 192.168.0.254? :)

    Все поставил. Но как медленно открывались страница так и осталось :( Комп я взял с АМД Бартон и 512 метров памяти, неужели этого мало? У меня канал меньше мегабита. Картинки он долго отдает, этот форум, можно сказать, на порядок медленне загружается, если без прокси.
    В настройках сквида указал:
    Hard disk cache size - 2048
    Memory cache size - 128
    Maximum object size - 128
    Level 1 subdirectories - 64

    на главной странице показывает использование памяти на 24%, все остальное по нулям (разве что диск еще на 2%).



  • @denis-k:

    @dr.gopher:

    Не парь (ся)
    Поставь PfSense на чистую!

    И это каждый раз делать, лишь бы не париться? А более грамотных путей нет??

    Каждый раз не надо! Для начала - NAT, потом ping ip addres, потом ping ya.ru, а уж потом и прокси.

    Я прочитал всю вашу переписку со всезнающим ALL
    Народ всячески пытаеться вам помоч и просит от вас вывода команд, скриншоты, реквизиты сети и клинстской машины.

    Свои ответы вы видите сами…



  • Уважаемый, dr.gopher, от Вас я еще не получил ни одного дельного совета, кроме как "переустановить", один только флуд. Другие участники мне помогают и благодаря им нахожу свои ошибки и лучше узнаю систему. А если тупо каждый раз на удачу переустанавливать, то я кроме сей священной процедуры больше ничего не буду уметь делать.



  • скриншот Proxy server: General settings действительно бы не помешал



  • @rubic:

    скриншот Proxy server: General settings действительно бы не помешал



  • @denis-k:

    А если тупо каждый раз на удачу переустанавливать, то я кроме сей священной процедуры больше ничего не буду уметь делать.

    Установить, ввести реквизиты, далее мастер настроек в PfSense - это 15-20 минут! Далее установить пакет прокси (с минимальными настройками). Еще минут 5-10.
    Вы же паритесть Уже четыре дня.
    Я понимаю, что вы "кнопали" всё подряд  и вам интересно кнопать дальше не взирая на советы. :-)

    Должен вам заметить, что при наличии резервной копии, всегда проще и лучше - поставить систему по новой и восстановиться из бекапа. Всегда проще учиться на рабочей системе.



  • @denis-k:

    @rubic:

    скриншот Proxy server: General settings действительно бы не помешал

    Havp выключите для начала и проверьте инет без него.
    И в разделе proxy port оставьте 3128, а не 80 как сейчас.
    В сквидгарде правило разрешающее доступ к инету создали?



  • И так. Дока по которой вы пытаетесь "учиться" - не есть пошаговая инструкция!
    http://bruteforcer.ru/index.php/2009/11/23/ustanovka-i-nastrojka-squid-i-havp-v-pfsense/

    Возможные ошибки
    1. Не корректная устанвка. Какие либо VLAN и оЧепатки
    2. Автоматически не запустился мастер установки http://ip_pfsense/wizard.php?xml=setup_wizard.xml
    3. Установка  squid3 BETA вместо стабильной версии.
    4. Ошибки с портами 80, 3128, 8080

    Я понимаю, что вам трудно и долго всё делать по новой. Пришлось смоделировал подобие вашей ситуации.
    Установил систему 1,2,3. После мастера усановки, у меня уже был выход в инетернет. Далее я установил сквид 2.7.
    Поставил пару галок и выбрал русский язык.
    Мои настройки http://thin.kiev.ua/images/stories/pfsense/antivirus/ps-s.jpg
    Проверил работу прокси через порт 3128

    Далее установил антивирус. Накнопал на вскидку, почитав доку по котрой вы настраивали.
    Мои настройки http://thin.kiev.ua/images/stories/pfsense/antivirus/pf-k.jpg

    Лог меняеться. Работает и транспарент и порт 3128
    tail -f /var/squid/logs/access.log

    Мой старенький тестовый ноут. P433 с 128 мб озу работает медленно, но работает.


Log in to reply