我们使用pfsense作为路由器/防火墙。 因为我们在中国,所以我们所有的内部客户都可以访问VPN。 而不是每个单独的客户端连接到VPN服务器stateide,我想configurationpfsense作为VPN客户端,并通过它路由所有的networkingstream量。 大部分关于pfsense和VPN的post都是关于从外部连接到局域网的。 这不是我想要做的。 另一种select是在pfsense盒子上启动SSH隧道,并通过LANstream量路由它。 我该如何configurationpfsense才能做到这一点? 一个巨大的警告是,OpenVPN 无法使用。 我正在寻找的解决scheme需要使用其他VPN协议之一。
我目前有一个pfSense防火墙,将80端口和443端口redirect到一个内部的Apache,它充当了我们公司几个子域的反向代理。 由于pfSense通过Squid3提供了一个反向代理,我想摆脱Apache服务器,并用pfSense代替所有路由。 我目前的Apacheconfiguration是这样的: <VirtualHost *:80 *:443> RewriteEngine on RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} ServerName trac.mycompany.com SSLProxyEngine on SetEnv force-proxy-request-1.0 1 SetEnv proxy-nokeepalive 1 ProxyPreserveHost On ProxyPass / https://trac.mycompany.com/ ProxyPassReverse / https://trac.mycompany.com/ ProxyVia on </VirtualHost> <VirtualHost *:80 *:443> ServerName svn.mycompany.com ProxyPass / http://svn.mycompany.com/ ProxyPassReverse / http://svn.mycompany.com/ ProxyVia On </VirtualHost> 正如你所看到的,两者都非常简单。 我知道使用具有HTTPS和单个外部IP地址的虚拟主机限制了我使用自签名证书,并且我意识到了风险,但此时并不关心(我只是想要发送用户名和密码encryption)。 在pfSense ,我configuration如下: 反向代理已打开。 trac和svn都在同一台本地服务器(192.168.0.26)上运行。 […]
我有两个pfSense集群,一个是2.1.4,一个是2.1.3。 指示表明需要手动出站NAT ,但2.1.3群集使用自动NAT,服务器和所有(包括SSH和OpenVPN)工作得很好。 2.1.4群集正在使用手动出站NAT,并导致悲伤。 NAT有三个自动添加的规则 – 因此标记为: 自动为ISAKMP创build规则 – 从局域网到广域网 自动创build的LAN到WAN的规则 自动创build本地到WAN的规则 这些也是为我们的内部networking(192.168.6.0/24)和我们的开发networking(10.2.0.0/8)创build的。 有两个手动规则: 从OpenVPN客户端(192.168.7.0/24)到外面的IP是NAT 从互联网到开发networking的IP是NAT 这个防火墙集群是一个testing集群 – 然后主要是为一个单一的系统生产防火墙 – 现在又回到了一个集群……并且一路上有许多IP变化。 事情现在是NAT的群集地址,但OpenVPN仍然使用主地址。 我错过了什么? 我应该回到自动NAT吗? 另一方面,如果我将2.1.4集群移动到手动NAT(通过VPN处理与第二方的通信),我是否会导致问题? 编辑我应该注意,一切似乎正在工作 – 包括SSH到群集地址和传出HTTP显示群集地址,等等。 SSH当然是22端口 – 而OpenVPN是1194(1024以上)。 OpenVPN客户端工作(站点到站点VPN)。 它似乎只是来自端口1194上的OpenVPN服务器不是NAT的输出stream量。 我试着用合适的防火墙规则在端口23上运行OpenVPN – 它仍然从WAN地址发出响应,而不是群集地址。 更新我没有提到什么是错的,但没有正确明确。 这是我所期望的: 数据包在端口1194到达群集IP。 数据包被OpenVPN服务器接受。 数据包在端口1194上从群集IP发送回源。 这是我所看到的: 数据包在端口1194到达群集IP。 数据包被OpenVPN服务器接受。 数据包在端口1194上从主IP发回。 您build议检查OpenVPN服务器绑定的IP; 被ANY改为Cluster IP ; 还没有testing过。
新版本的iOS 8以及Android在美国支持包括T-Mobile在内的多种蜂窝提供商的Wi-Fi呼叫。 我目前正在运行pfSense作为几个商业客户的主要互联网网关。 在我的pfSense网关上,我希望启用QoS,并优先考虑networking上其余通信的Wi-Fi通话和其他VoIP通信。 我预计至less有10到20个用户同时在networking上使用Wi-Fi呼叫,我希望将这些连接的抖动和带宽争用降至最低。 另外,如果可能的话,我想限制可以成功启用Wi-Fi呼叫的人数。 在我使用T-Mobile US进行的testing中,我看到在端口4500上的T-Mobile的IP地址空间中,IP IP连接是通过IP IP连接的。但是,我无法跟踪其他连接信息。 我的理解是pfSense中的Traffic Shaperfunction是应该使用的,但我不确定应该select什么设置。 此外,我猜测我可以使用“防火墙规则”中的某些“高级设置”限制使用Wi-Fi呼叫的用户数量,但不知道我的方法应该在哪里。 我正在以正确的方式进行吗?
我有一个pfSense框设置,我的本地networking(192.168.1.100)中设置了我的WAN接口(em0),而我的LAN接口(em1)是它自己的专用networking(10.0.0.1)。 最终目标是将10.0.0.xnetworking作为专用恶意软件实验室,该networking上的设备无法直接与192.168.1.xnetworking上的任何设备进行通信。 虽然,我想在pfSense防火墙上打洞,以允许来自192.168.1.xnetworking的stream量访问专用networking中的服务,例如FTP,HTTP,SMB,SSH等。因此,如果我通过FTP到192.168.1.100 (WAN接口),然后它将路由到在10.0.0.x内部的设备上运行的FTP服务器。 目前我可以看到,我的FTP服务器获得一个TCP SYN数据包,但没有其他事情发生。 我可以通过tcpdump通过pfSense看到一些 FTPstream量。 这是我的NAT端口转发规则(他们也有一个关联的过滤规则)。 而且如果有用的话,我的局域网防火墙也是如此。 我认为也许我的阻止规则阻止了来自10.0.0.xnetworking的192.168.1.xstream量,但是我禁用了该规则。 我完全失败,不明白发生了什么问题,所以任何帮助将是超级赞赏!
我有一个6个LAN端口的pfsense盒子。 我想用一个作为WAN端口,另外一个作为本地LAN端口,就像家庭网关/路由器一样。 如何设置LAN端口,使它们都在同一个子网? 桥接function似乎只是想在广域网和局域网之间进行桥接?
我在单个子网(172.22.12.0/26)上有3个pfSense盒充当路由器。 路由器A – 172.22.12.1 路由器B – 172.22.12.17 路由器C – 172.22.12.33 我希望路由器A是唯一的DHCP服务器。 路由器C启用DHCP中继指向路由器B.路由器B然后启用DHCP中继指向路由器A.这样: 路由器C – >路由器B – >路由器A(DHCP服务器) Router B从Router A获得IP,但Router C没有。 任何想法,为什么这个configuration不工作? 谢谢。
我面临的问题是在pfSense(2.0.1版)和SonicWall Pro2040增强版(固件版本:SonicOS增强版4.2.1.4-7e)之间build立站点到站点VPN。 所有的configuration都正确完成,我仍然在sonicwall中出现以下错误 – “有效负载处理失败” 阶段1和2正常通过,但与“有效负载处理”的问题,我发现它可能是共享密钥不匹配,但我仔细检查,没有与两个防火墙共享密钥不匹配。 它也在sonicwall中显示隧道是活跃的 pfSense的日志低于 –
我一直在试图find一种方法来允许certin子网中的服务器通过多个子网发送UDP广播。 情况是这样的: 在networkingA(192.168.1.0/24)我们有一个备份服务器(使用urbackup),服务器使用UDP广播自动发现局域网主机,每隔50秒发送一次广播,这在networkingA中工作正常。 但是我们也有一个远程站点(192.168.5.0/24)也需要使用这个备份服务器,但是由于自动发现在那里不起作用,我们必须手动添加所有的服务器。 urbackup服务器将在每个指定的networking接口上发送一个UDP广播,所以我可以添加另外一个IP 192.168.5.X的接口,但是我需要一种方法来将广播传送到远程站点。 我已经尝试build立一个GRE隧道,并使用桥接来连接这两个networking,但这并不起作用(要么我没有正确做,否则我错过了一些东西)。 我已经安装了两个虚拟机,并尝试以下操作: gre1: ip link set dev ens192 down ip link add gretap1 type gretap local 192.168.1.X remote 192.168.5.X ip link set dev gretap1 up ip link set dev ens192 up brctl addbr br1 brctl addif br1 gretap1 brctl addif br1 ens192 ip addr add 10.0.0.1/24 dev br1 ip […]
有没有办法使用pfsense作为cachingDNS服务器。 它将parsing从根服务器开始的域名,并将caching它们作为结果。 我尝试了pfsense 1.2.2上的DNS服务器软件包,我猜想使用的是默认的dns服务器。