Вопросы новичка по pfsense
-
Привет всем
у меня вопрос специфическийнастройл pfsense + squid+squidguad+CA certificate+ssl iterception
для фильтрации сайтов все работает отлично кроме одного www.google.ru
все сайты youtube mail ru итд работаю и с https только именно google пишет ошибка сертификата как обойти или настройть зарание благодарен спасибр -
Доброго.
Добавьте в исключения. -
werter Спасибо!! это как? в белый лист имеете в виду или как то по другомо подскажите пожалуйста
-
В Destination IP в настр. сквида.
-
Если вы имеете виду Bypass prox destina ip это не работает д
-
У вас сквид - прозрачный?
Какой адрес\адреса вы туда добавляете?По каким инс-циям настраивали свою связку ?
-
вы помните что общаетесь с новичком?что заначить прозрачный сквид ?
адрес я один поставил от гугл а их много мне что из прописывать?
про связку не понял тоже
сорри -
Мил человек.
настройл pfsense + squid+squidguad+CA certificate+ssl iterception
и
вы помните что общаетесь с новичком?
про связку не понял тоже
У меня одного когнитивный диссонанс? Вам кто-то это (за деньги?) настроил\ до вас было?
-
ну у меня немного знаний сетей вот. ну и настроить по простому Pfsense не составило трудности.
squid+squidguad+CA certificate+ssl iterception<<<а это настроил смотря ролики и статьии в нете.
а теперь за стопорил вот на этой херне но просто удивительно все сайты открываются кроме гуглесли найти все ип адреса гугл и прописать в исключение ну не знаю сколько их может быть.
скорее всего у меня прозрачный сквид он мне и не нужен
меня интересует squidguad который делает фильтрацию браузинга. вот цель -
Народ подскажите пожалуйста, в каком направление курить маны, дабы разобраться с проблемой.
Имеется Pfsense 2.4.0-RELEASE.
Частенько происходит разрыв портов при перенаправлении.
К примеру пытаемся подключиться по ip адресу (внешнему) с портом 5859 в правиле написано, что должно происходить перенаправление на локальную машинку по RDP.
Так вот собственно вопрос. Все работает, день, два, потом в момент БАЦ и больше не пускает, помогает только принудительная перезагрузка. И то сюда написал, так даже она теперь не помогла. Бьюсь, бьюсь но не могу понять, что в нем не так стало.
Из особенностей, стоит squid. Но он вроде не мешает, и смотрит только в локальную сеть.
Хотя squid reverse proxy смотрит на wan. Возможно, что дело в нем?Заранее буду благодарен за помощь в решение возможно такого простого вопроса.
С Уважением
Nintendoos -
Установлен squid и squid guard, при включении опции фильтрации https трафика, некоторые сайты перестают работать, например авторизация на гугл, youtube - весь, добавлял их в белый список squid - bypass все так же, просто не работают и все тут, как можно настроить чтобы заходил на эти сайты?
-
@nickadimov:
меня интересует squidguad который делает фильтрацию браузинга. вот цель
Ну, может конечно Squid и гад :-), вот только можно посмотреть простенькую статью, скажем, здесь:
http://macrodmin.ru/2012/01/proksi-server-v-pfsense-chast-2-antivirus
Раздел "Настраиваем фильтры SquidGuard"
-
Ну, может конечно Squid и гад :-), вот только можно посмотреть простенькую статью, скажем, здесь:
http://macrodmin.ru/2012/01/proksi-server-v-pfsense-chast-2-antivirus
Раздел "Настраиваем фильтры SquidGuard"
Именно так я настроил но только HTTPS:// проходят на ура и их SquidGuard фильтрует только когда включишь ssl Interceprion ну тут не стойка нащ сертификат кохоже не нравиться гуглу че делять ????
-
а можно ли настроить NAS на pfsense? и что для этого нужно ?
-
а можно ли настроить NAS на pfsense? и что для этого нужно ?
Можно, но не нужно. Вот что пишут сами разработчики:
While technically possible, you should not. Do not mistake a firewall for a general purpose server. Anything you do will lower the security of your firewall and likely do a poor job of offering the other services. pfSense is tuned for passing traffic through – not for being a server.
Echoing the sentiment of other messages here, virtualization is the easiest way to isolate the roles, with both the firewall and the NAS existing as separate VMs on the same hardware. Though virtualizing a NAS has its own challenges.
If you don't want to deal with virtualization, then you'll want to buy a second server. Depending on your upstream throughput and other needs, you could probably pick up something with less horsepower for the firewall.
Т.е. если железо избыточно мощное для pfsense - виртуализируйте на нем по отдельности NAS, pfSense, + все что захотите.
-
Доброго.
Можно использовать один физ. сервер в одном корпусе с кучей hdd.
Напр., у нас один сервер с 6 hdd.
чтобы не запутаться физ. откл 2 из них, устанавливаем (ну, конечно же) proxmox на эти 4 диска в zfs raid 10.
Выкл. сервер и подкл. оставшиеся 2 диска.
После создаем ВМ с nas4free\freenas и пробрасываем эти два диска в нее для zfs raid 1.За: экономия (временно) на покупке железа для nas.
Против: единая точка отказа. Накроется мать, цпу, ОЗУ \ сопрут этот сервер или его части - писец всему. Накладные расходы на nas (cpu, ram etc.), опять же. -
Привет всем Добрые люди может есть у кого инструкция по филтрации страниц http / https.все что нашел гугле пока не помоглю.Не работает
-
Добрый день!
Включил функцию Enable static ARP entries и теперь хочу поставить wi-fi роутер без пароля, но он стоит посл Pfsense те кто подключится могут просканировать Лан сеть найти IP рабочих станций и MAC и подменить их на свои тогда они смогут свободно заходить в интернет.
Интернет идет в WAN pfsense и через LAN порт к хабу(две сетевые карты) от хаба к вай-фай роутеру который только раздает вай-фай и через хаб подключены рабочие станции.
Можно ли обезопасить сеть от Wi-fi или только подключать роутер с интернетом до Pfsense в WAN ? -
Доброго.
2 alextob
https://forum.pfsense.org/index.php?topic=138759.msg771075#msg771075 -
Подскажите, понимаю что нельзя с x86 обновиться до х64 pf 2.4.2 . Если установить pf2.4.2 и подсунуть config версии pf2.3.4 - подхватит настройки ?
-
Подскажите, понимаю что нельзя с x86 обновиться до х64 pf 2.4.2 . Если установить pf2.4.2 и подсунуть config версии pf2.3.4 - подхватит настройки ?
Успешно проделывал такое с 2.3 х64 с конфигом от 2.2.6 х86
- about a year later
-
Спасибо большое за инфу!
- about a year later
-
доброго времени суток. Прошу помощи в подключениии и раздаче в PFsense.
- 11 days later
-
Подскажите пожалуйста по алгоритму переноса
Сервера Pfsense и сертификатов OpenVpn пользователей.
А так необходимо перенести с физической машины на виртуальную полностью сервер. -
Добрый
@kppВот тут описан алгоритм миграции любой ОС в вирт. среду с пом. clonezilla, netcat, dd etc https://forum.netgate.com/topic/120102/proxmox-ceph-zfs-pfsense-и-все-все-все/
Вкратце:
- Создаете бэкап конфига пф.
- Создаете ВМ с hdd не менее ,чем на реальном железе.
- Качаете Clonezilla https://clonezilla.org/downloads.php .На ВМ загружаетесь для приема, на реальной - для отдачи. И мигрируете.
После миграции внимательно выполняете на ВМ пункты из https://docs.netgate.com/pfsense/en/latest/virtualization/index.html
Зы. В кач-ве гипер-а рекомендую KVM в обертке Proxmox VE - надежно (debian based), удобно. По ссылке выше описано почему. Рекомендую не менее двух hdd и software ZFS raid (Proxmox умеет его из коробки).
-
Спасибо за наводку. Миграция запланирована к сожалению на Hyper-V.
Буду смотреть и ковырять. -
@kpp
Задайте вопрос по поводу проброса USB в ВМ тому, кто выбрал гипер-в.
ZFS (к-ая исп-ся на Proxmox) еще и данные прозрачно (и оч. быстро - сотни МБ\с) сжимает и экономия места на дисках может быть в разы.
Про бэкап автоматический с ротацией ВМ встроенными средствами гипер-в умолчу.Зы. Посмотрите еще на Proxmox Backup Server. Его можно установить прямо на Proxmox VE. У гипер-в такого нет и не будет. Одумайтесь ))
Зы2. У них еще и Proxmox Mail Gateway есть (активно пользую). И все эти продукты - даром. Ставим и пользуем. - 5 months later
-
Может ли pfsense работать с вифи картой? быть подключённым к сети через нее 2м каналом и брать с нее интернет авторизуюсь по EAP тоесть логин и пароль. Сечас все подключено но через вин комп который подключен к этой сети а потом уже через лан по кабелю отдает пфсенсу интернет этот. Хотелось бы сделать на прямую
-
Добрый.
@farworkЛучше использовать дешевую ви-фи мыльницу, настроенную в режиме простой ТД. Для гибкости перешить ее в openwrt.
Или подождать версию 2.5 на бсд 12 -
@werter я не могу использовать другую точку доступа мне дал ее провайдер а так же эти логин пароль. Или вы о том что openwrt может подцепиться к этой точке в качестве клиента с логином и паролем? У меня есть зашитая точка с ней и я не нашел где это можно настроить там только авторизация по паролю без логинов
-
@farwork В случаях когда целевое устройство по каким-то причинам не получается напрямую подключить к сети Wi-Fi его можно подсоединить к выходу RJ45 роутера, который надо использовать в качестве клиента (моста). Роутер будет настроен на подключение и принимать интернет через WiFi раздавая его по проводу, целевое устройство не будет ни про какой WiFi знать. Вполне себе вариант.
-
@luha said in Вопросы новичка по pfsense:
@farwork В случаях когда целевое устройство по каким-то причинам не получается напрямую подключить к сети Wi-Fi его можно подсоединить к выходу RJ45 роутера, который надо использовать в качестве клиента (моста). Роутер будет настроен на подключение и принимать интернет через WiFi раздавая его по проводу, целевое устройство не будет ни про какой WiFi знать. Вполне себе вариант.
Именно так сейчас у меня по сути и сделано только вместо роутера целый ПК с виндой.. от него вы хотелось избавится. Вот и пытаюсь понять если какая то возможность или подключить вифи карту на пфсенс или через тот же отдельный опен врт точку прописать эти настройки
-
@farwork По идее можно карту воткнуть прямо в pf и настроить. Вроде на форуме мелькало что нормально люди пользуются, за исключением частных случаев, где карточка глючит. Но в самом крайнем случае, если не получается побороть по какой-то причине можно тупо купить роутер (или взять из коробки на складе) и настроить его в качестве внешней карточки. Несомненный плюс решения в том что все настройки по стороне роутера. Нюанс в том что роутер должен так уметь, но сейчас это большинство роутеров.
Тоесть! Роутер не будет раздавать сеть WiFi - он будет её только принимать от того вашего главного роутера.
-
@luha said in Вопросы новичка по pfsense:
@farwork По идее можно карту воткнуть прямо в pf и настроить. Вроде на форуме мелькало что нормально люди пользуются, за исключением частных случаев, где карточка глючит. Но в самом крайнем случае, если не получается побороть по какой-то причине можно тупо купить роутер (или взять из коробки на складе) и настроить его в качестве внешней карточки. Несомненный плюс решения в том что все настройки по стороне роутера. Нюанс в том что роутер должен так уметь, но сейчас это большинство роутеров.
Тоесть! Роутер не будет раздавать сеть WiFi - он будет её только принимать от того вашего главного роутера.
Да именно так и хочу осталось понять какой роутер вообще умеет это. хотя врятли мне его суда купят только ради этого..
Самый новый у меня DIR-615 и он так неумеет -
@farwork Тут уж всё зависит от нужности и важности работы вашего pf сервера и задач, возложенных на него. Подойдёт даже самый дешёвый за 10-15 долларов роутер из ближайшего супермаркета. Я в последний раз когда ездил на отдых и в номере плохо добивало просто купил первый попавшийся самый дешёвый (и оставил для следующих когда съезжал). На коробке пишут что он умеет. Основные функции встречающиеся в роутерах - как точка доступа, как репитер, как сетевая карта, как роутер, как мост... кстати ещё можно VPN на роутерах настраивать и удобно через них соединять сети по-быренькому, чтоб дёшево и сердито. Но понятно что в большой конторе на важных точках такое недопустимо.
P.S. Если ты внутрь адаптер захочешь ставить он ни дешевле не получится ни надёжнее. Это к размышлению о целесообразности и инвестициях. Адаптер воткнёшь должен определиться в системе как карточка сетевая, но пароли и другие настройки надо делать в OS компьютера, в крайнем случае (если вебморда не достаточно продвинута) придётся в конфигах руками. Мне кажется проще или внешний роутер или провод дотянуть.
-
@luha said in Вопросы новичка по pfsense:
@farwork Тут уж всё зависит от нужности и важности работы вашего pf сервера и задач, возложенных на него. Подойдёт даже самый дешёвый за 10-15 долларов роутер из ближайшего супермаркета. Я в последний раз когда ездил на отдых и в номере плохо добивало просто купил первый попавшийся самый дешёвый (и оставил для следующих когда съезжал). На коробке пишут что он умеет. Основные функции встречающиеся в роутерах - как точка доступа, как репитер, как сетевая карта, как роутер, как мост... кстати ещё можно VPN на роутерах настраивать и удобно через них соединять сети по-быренькому, чтоб дёшево и сердито. Но понятно что в большой конторе на важных точках такое недопустимо.
P.S. Если ты внутрь адаптер захочешь ставить он ни дешевле не получится ни надёжнее. Это к размышлению о целесообразности и инвестициях. Адаптер воткнёшь должен определиться в системе как карточка сетевая, но пароли и другие настройки надо делать в OS компьютера, в крайнем случае (если вебморда не достаточно продвинута) придётся в конфигах руками. Мне кажется проще или внешний роутер или провод дотянуть.
Уже пробую 4й не один из них не умеет быть клиентом с eap авторизацией тоесть по логину и паролю.. Только сервером в этом то вся проблема. Какой у вас что он точно работает? может попробую заказать
-
@farwork Может ты не разобрался в настройках, проверь внимательно. Если на руках у тебя несколько роутеров более-менее современных то точно какой-то или даже все будут работать как внешняя карта.
Сейчас особо нет работы и специально не поленился сходить на склад. Взял первый попавшийся роутер, явно из ашана куплен был для каких-то мимолётных целей и валяется, даже коробку прос... потеряли. Модель "mercusys mw305r". Скинул настройки, подключил проводом с гнёзд на локалку роутера (не к гнезду WAN) к компьютеру и попробовал настроить. Ну что сказать - тупейший интерфейс на первый взгляд. В basic режиме нет никаких настроек нужных. Переключил в advance и... тоже ничего сразу не увидел. Но потом потыкал две минуты и в закладке wireless вижу - "WDS Bridging"! Вуаля - это то что нам и нужно. И тут даже конкретно подсказывают "With WDS enabled, the router can bridge with another router (the root router) to extend its wireless network.".
Ты ничего такого не увидел в настройках? И в расширенном режиме посмотрел? И внимательно искал? ;)
-
@farwork Если купить AP (Access Point) вместо роутера то вероятность наличия нужных настроек гораздо выше. Эти устройства по сути для этого и сделаны, часто даже не умеют роутером быть.
-
@farwork
Давайте сначала.Откуда взялась ЕАР-авторизация? Это какой-то провайдер, к-ый дает доступ по ви-фи?
-
@werter said in Вопросы новичка по pfsense:
Это какой-то провайдер, к-ый дает доступ по ви-фи?
Возможно ТС хочет раздавать Wi-Fi у себя в офисе используя EAP?