Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » pfSense

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36

Открыть новую тему     Написать ответ в эту тему

garbals



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
pfSense


pfSense — бесплатный дистрибутив для создания межсетевого экрана/маршрутизатора, основанный на FreeBSD. pfSense предназначен для установки на персональный компьютер, известен своей надежностью и предлагает функции, которые часто можно найти только в дорогих коммерческих межсетевых экранах. Настройки можно проводить через web-интерфейс что позволяет использовать его без знаний базовой системы FreeBSD. pfSense обычно применяется в качестве периметрового брандмауэра, маршрутизатора, сервера DHCP/DNS, и в качестве VPN hub/spoke.

Последняя версия
Скачать
 
Форум поддержки (русскоязычный раздел)

Документация
Официальная wiki: PFSenseDocs (англ)
Книга по фичам и настройке pfSense 2: pfSense 2 Cookbook (РУССКИЙ ЯЗЫК) pfSense 2 Cookbook (зеркала) (язык англ.)  
Руководство по pfSense 2: pfSense: Полное руководство пользователя (язык рус. неполн.)
Неофициальный Wiki от lissyara: pfSense (в т.ч. на русском)

Всего записей: 360 | Зарегистр. 08-03-2006 | Отправлено: 12:09 21-07-2009 | Исправлено: ndch, 07:50 01-07-2022
tempik

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SaintZyo
Делал вот по этому http://www.youtube.com/watch?v=VdAHVSTl1ys
пишет ошибку:
Tue Apr 01 11:16:03 2014 OpenVPN 2.3.2 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Aug 22 2013
Enter Management Password:
Tue Apr 01 11:16:06 2014 Control Channel Authentication: using 'pfsense-udp-1194-1-tls.key' as a OpenVPN static key file
Tue Apr 01 11:16:06 2014 UDPv4 link local (bound): [undef]
Tue Apr 01 11:16:06 2014 UDPv4 link remote: [AF_INET]МОЙ IP:1194
Tue Apr 01 11:16:06 2014 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Tue Apr 01 11:16:07 2014 [VPN Server Cert] Peer Connection Initiated with [AF_INET]МОЙ IP:1194
Tue Apr 01 11:16:09 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Tue Apr 01 11:16:09 2014 open_tun, tt->ipv6=0
Tue Apr 01 11:16:09 2014 All TAP-Windows adapters on this system are currently in use.
Tue Apr 01 11:16:09 2014 Exiting due to fatal error
С учётом того, что все правила и сервак создаётся автоматически, в чём может быть проблема ?

Всего записей: 245 | Зарегистр. 20-07-2012 | Отправлено: 11:17 01-04-2014 | Исправлено: tempik, 11:18 01-04-2014
SaintZyo

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Если честно, сам VPN-сервер на ПФ я не поднимаю. Так что тут я Вам врядли помогу. Я просто пров для клиентов, которые уже сами воротят, что хотят)

Всего записей: 4 | Зарегистр. 24-08-2009 | Отправлено: 11:34 01-04-2014 | Исправлено: SaintZyo, 11:35 01-04-2014
varbasik

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tempik
дык нету
TAP-Windows adapters on this system

Всего записей: 226 | Зарегистр. 02-07-2009 | Отправлено: 15:55 01-04-2014
SaintZyo

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вот я думаю тут будет лучше почитать или задать
https://forum.pfsense.org/index.php?board=9.30

Всего записей: 4 | Зарегистр. 24-08-2009 | Отправлено: 11:25 02-04-2014
Trotter_NN

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SaintZyo
Вот моя проблема (
Вот как я делаю
сервер
http://i011.radikal.ru/1404/6c/e170142d9628.png
вот сами сертификаты
http://s52.radikal.ru/i137/1404/bd/044e06d80c08.png
Кружочками обведено, что я экспортирую.
Вот конфиг из под винды:
dev tun
persist-tun
persist-key
cipher AES-128-CBC
auth SHA1
tls-client
client
resolv-retry infinite
remote Мой IP порт udp
lport 0
verify-x509-name "VPN Server Cert" name
#auth-user-pass
ca ServerOpenVPNSiteToSite.crt
cert UsrSertSiteToSite.crt
key UsrSertSiteToSite.key
#pkcs12 pfsense-udp-1194-1.p12
#tls-auth pfsense-udp-1194-1-tls.key 1
ns-cert-type server
comp-lzo
 
И вот лог:
Wed Apr 02 13:13:37 2014 OpenVPN 2.3.2 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Aug 22 2013
Enter Management Password:
Wed Apr 02 13:13:38 2014 UDPv4 link local (bound): [undef]
Wed Apr 02 13:13:38 2014 UDPv4 link remote: [AF_INET]Мой IP:Порт
Wed Apr 02 13:14:38 2014 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed Apr 02 13:14:38 2014 TLS Error: TLS handshake failed
Wed Apr 02 13:14:38 2014 SIGUSR1[soft,tls-error] received, process restarting
Wed Apr 02 13:14:40 2014 UDPv4 link local (bound): [undef]
 
Что я делаю не так ?)
Вот WF
http://s005.radikal.ru/i210/1404/50/7e0f24f4b2c0.png
Порты поправил, на сервере и в WF 1194

Всего записей: 8 | Зарегистр. 26-07-2009 | Отправлено: 21:02 02-04-2014 | Исправлено: Trotter_NN, 21:03 02-04-2014
Decker82



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Trotter_NN, а почему #tls-auth pfsense-udp-1194-1-tls.key 1 в клиентском конфиге закомментирован, если на сервере он включен? Либо на клиенте включить tls и разместить на клиенте корректный tls-auth pfsense-udp-1194-1-tls.key, либо на сервере отключить TLS. Собственно он и в логах у вас говорит: TLS Error: TLS handshake failed ...  

Всего записей: 496 | Зарегистр. 14-04-2007 | Отправлено: 03:49 03-04-2014
tempik

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
#!/bin/sh
 
#USERNAME="MyUsername"
#PASSWORD="MyPassword" # Your HMA_USER_PASSWORD not PPTP password
PROTOCOL="udp" # udp / tcp MUST BE lower case
 
# Add - delete - edit servers between ##BB## and ##EE##
REMOTE_SERVERS="
##BB##
# Atlanta - UDP
remote Мой IP порт
##EE##
"
 
#### DO NOT CHANGE below this line ####
 
CA_CRT='-----BEGIN CERTIFICATE-----
ключик
-----END CERTIFICATE-----
'
 
CLIENT_CRT='Ключик
'
 
CLIENT_KEY='Ключик'                                  
 
OPVPNENABLE=`nvram get openvpncl_enable | awk '$1 == "0" {print $1}'`
 
if [ "$OPVPNENABLE" != 0 ]
then
   nvram set openvpncl_enable=0
   nvram commit
fi
 
sleep 30
mkdir /tmp/hmavpncl; cd /tmp/hmavpncl
#echo -e "$USERNAME\n$PASSWORD" > userpass.conf
echo "$CA_CRT" > ca.crt; echo "$CLIENT_CRT" > client.crt; echo "$CLIENT_KEY" > client.key
echo "#!/bin/sh" > route-up.sh; echo -e "#!/bin/sh\nsleep 2" > route-down.sh
echo "#!/bin/sh
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -I INPUT -i tun0 -j REJECT
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE" > /tmp/.rc_firewall
chmod 644 ca.crt client.crt; chmod 600 client.key userpass.conf; chmod 700 route-up.sh route-down.sh
chmod 700 /tmp/.rc_firewall
sleep 30
echo "client
proto $PROTOCOL
tls-client
client
dev tun
#proto udp
tun-mtu 1400
remote-random
cipher BF-CBC
comp-lzo
verb 3
ns-cert-type server
ca ca.crt
cert client.crt
key client.key
daemon
#auth-user-pass userpass.conf
#remote-random
$REMOTE_SERVERS" > openvpn.conf
ln -s /tmp/hmavpncl/hmavpn.log /tmp/hmavpn.log
(killall openvpn; openvpn --config /tmp/hmavpncl/openvpn.conf --route-up /tmp/hmavpncl/route-up.sh --down-pre /tmp/hmavpncl/route-down.sh) &
exit 0
 
Стоит ли добавлять вот это ?
iptables -I INPUT 3 -i tun0 -p icmp -j ACCEPT
iptables -I INPUT 1 -i tun0 -p tcp --dport 80 -j ACCEPT
 
Вот не подключается он с этим конфигом, хоть тресни (((
Добавил в Sava Start Up
Ребутнул роутер, смотрю лог в pfsense а он пустой, он даже не пытается стукнутся

Всего записей: 245 | Зарегистр. 20-07-2012 | Отправлено: 09:54 03-04-2014 | Исправлено: tempik, 08:40 04-04-2014
tempik

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
OpenVPN кто нито нормально умудрился настроить ? Нужна помощь с маршрутизацией не вижу сети за VPN

Всего записей: 245 | Зарегистр. 20-07-2012 | Отправлено: 08:58 16-04-2014
deIfin



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите, пожалуйста:
можно ли с помощью PfSense опубликовать множество web серверов при наличии одного внешнего IP?
Сейчас для этих целей используется TMG, но по ряду причин принято решение от него отказаться.
Суть задачи такова:
приходит клиент по урлу site1.contoso.com а firewall транслирует его в 192.168.1.50:8080
site2.contoso.com = 192.168.1.50:8081
site3.contoso.com = 192.168.1.100:80
 
Вроде как из коробки PfSense это не умеет, но дополнительно прикрутить такую возможность можно

Всего записей: 122 | Зарегистр. 12-02-2008 | Отправлено: 17:56 07-05-2014
vit2002

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
deIfin
 
могу ошибаться но вы кажется катите роутер заставить выполнять функции веб сервера ..
 
то что вы написали делает апачь.. или используйте разные белые адреса и тогда роутер сможет пробросить сайт (порт на нужный сервер)

Всего записей: 351 | Зарегистр. 13-06-2008 | Отправлено: 21:22 07-05-2014
Alexandrnew

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
deIfin
 pfsense - squid reverse proxy  
 
копайте в этом направлении, на  форуме сенса есть как это делается

Всего записей: 583 | Зарегистр. 30-04-2003 | Отправлено: 21:27 07-05-2014
deIfin



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Alexandrnew,
Спасибо, squid reverse proxy - это, кажется, то что нужно!
 
vit2002,  
к сожалению, такова жизнь. Во-первых заказчик привык к ТМГ и хочет роутить трафик именно на шлюзе (и там есть своя специфика). Во-вторых, нет возможности заполучить нужное кол-во IP.

Всего записей: 122 | Зарегистр. 12-02-2008 | Отправлено: 10:51 08-05-2014
SergeSerge3leo



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vit2002, pfSense типа межсетевой экран (МЭ), как бы. Так что фильтровать URL - его задача. Описание SquidGuard на русском http://iskatel.hut4.ru/index.php/ru/pfsense/85-stati/packages/pfsense-packages-squidguard

Всего записей: 101 | Зарегистр. 01-08-2011 | Отправлено: 12:03 13-05-2014 | Исправлено: SergeSerge3leo, 12:03 13-05-2014
artclub

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день!
 
установил pfsense захожу System-Pakages а там нет snort
 
Помогите где копать?
 
 
Заранее спасибо!
 
 
http://bruteforcer.ru/ustanovka-i-nastrojka-idsips-snort-v-pfsense/

Всего записей: 407 | Зарегистр. 07-02-2008 | Отправлено: 16:42 23-06-2014
Alexandrnew

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
artclub
а там хоть что то есть? днс правильно настроен?

Всего записей: 583 | Зарегистр. 30-04-2003 | Отправлено: 16:48 23-06-2014
vit2002

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SergeSerge3leo
 
насчет фильтровать соглашусь еще но не выполнять роль веб-сервера , рассовывовая нужные домены по нужным айпи...... чего требовалось по вопросу!

Всего записей: 351 | Зарегистр. 13-06-2008 | Отправлено: 17:25 23-06-2014
artclub

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Alexandrnew
 
Там нет нечего!
 
Днс по умолчанию, какие днс нужно выставить и шлюз то же нужно указать?
 
 
 
Добавлено:
Alexandrnew  
 
Спасибо что указали где копать!
 
Все настроил идет скачивание!

Всего записей: 407 | Зарегистр. 07-02-2008 | Отправлено: 09:47 24-06-2014
artclub

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день!  
 
Установил snort  сделал регистрацию и настроил как показано по этой ссылке!  
https://www.youtube.com/watch?v=n8TmfLJku-s
 
но как теперь настроить чтоб snort контролировал трафик майл сервера?
 
параметры майл сервера
 
WAN  
 
81.17.81.13  
 
LAN
172.16.*.*
 
где и что нужно прописать или подключить на Pfsense или snort чтоб  трафик контролировался?
 
как я понял при запросе на 81.17.81.13  они должны попадать на snort, а snort должен проверять и пересылать весь трафик на майл сервера?!
 
значит нужно подменить IP на майл сервера  и snort?!
 
Подскажите где я ошибся?!
 
 
Заранее спасибо!

Всего записей: 407 | Зарегистр. 07-02-2008 | Отправлено: 10:15 25-06-2014
artclub

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
lynx, Crash_Master, dg, emx, ShriEkeR
 
Добрый день!
 
Очень нужна помощь!
 
Помогите пожалуйста настроить Pfsense + snort чтоб контролировал трафик на майл сервере !
 
 
 
параметры майл сервера  
 
WAN  
 
81.17.81.13  
 
LAN  
172.16.*.*  
 
 
параметры  Pfsense + snort
 
WAN 10.10.10.51
 
Lan    172.16.51.1
 
 
Что и где нужно включить чтоб все заработало?
 
Заранее спасибо!

Всего записей: 407 | Зарегистр. 07-02-2008 | Отправлено: 09:53 27-06-2014
Alexandrnew

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
artclub
на родном форуме искали? там есть русская ветка в т.ч.

Всего записей: 583 | Зарегистр. 30-04-2003 | Отправлено: 10:35 27-06-2014
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » pfSense


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru