Вышла новая версия дистрибутива для создания межсетевого экрана pfSense 2.1.1

[Snowbl1nd]

p.s. Если кого-то заинтересуют переводы книг по pfSense (Definitive Guide to pfSense и pfSense 2 Cookbook) спрашивайте — помогу ссылкой.

p.p.s. Ссылки на готовые образы новой версии pfSense для оборудования PC Engines (мат. платы alix) можно найти здесь

[hipoint]

Ссылки на переводы книг думаю лучше сразу в конец статьи добавить.

[Snowbl1nd]

Боюсь тогда пост отправится в хаб «я пиарюсь». Ссылки отправил в личку.

[neptunas]

буду благодарен

[Snowbl1nd]

Ответил.

[sawser]

Скажу спасибо за ссылки на переводы в личку!

[Tuxozaur]

Скажите пожалуйста, нет ли возможности скачать книги в формате pdf?

[real_toster]

Буду благодарен за ссылку

[Hatifnatt]

А PPTP passthrough так и не исправили :( Т.е. невозможно выполнить несколько PPTP подключений к одному серверу из сети, находящейся за pfSense. А если запущен PPTP сервер (на pfSense), то вообще ни один клиент не может подключиться. What are the limitations of PPTP in pfSense и что главное, исправлять это похоже не собираются PPTP passthrough

[Snowbl1nd]

В случае с невозможностью подключения к удаленному серверу, при включенном сервере PPTP на pfSense, должен помочь этот гайд.

[Hatifnatt]

Да, я читал про этот вариант, он работает и при подключении изнутри сети к удаленному PPTP серверу, одна «маленькая» проблема — на каждое соединение нужен дополнительный публичный IP адрес! Зачастую это невозможно в принципе, ну и вообще это слишком «жирно», для PPTP соединений, фактически нужно резервировать IP адреса.

[TheRaven]

L2TP за pfSense
готовый работающий конфиг для mpd5 на лисяре

[Hatifnatt]

L2TP — это отличный вариант, когда людям нужно подключаться к подконтрольному тебе серверу, хотя в таком случае, зачастую, можно настроить соединение прямо на шлюзе, но это далеко не всегда так. Люди подключаются к сторонним VPN серверам, а PPTP все еще весьма активно используется.

[TheRaven]

Если несколько человек подключаются из-за вашего pfSense — поднимаете одно PPTP на нем, клиентов NATите. Далее возможны варианты…
p.s. если не нужно принимать L2TP с нескольких WAN — можно сервер на самом pfSense включить.

[derwin]

спасался L2TP
главная для себя новость — наконец то исправлено бесконечное выпадение в лог сообщений вида «route -1 что то там», при удалении VLan-а с привязанным статик-роутом к нему. Раньше приходилось создавать влан заного, удалять роут, и удалять влан.

[Hatifnatt]

L2TP спасает только если VPN сервер тебе подконтролен, если же нет — то исправить ситуацию невозможно, людям нужно подключаться, а соединения не проходят.

[MixaSg]

Насколько я знаю, некоторые сложности с работой нескольких клиентов PPTP, находящихся за МСЭ и NAT-ящихся одним IP-адресом, есть у всех межсетевых экранов. Это связано с использованием GRE.

[Hatifnatt]

С GRE есть сложности у некоторых межсетевых экранов, но даже домашние устройства, в большинстве своем, нормально пропускают через себя несколько PPTP соединений. FreeBSD с ipfw NAT-ом, так же нормально пропускает. Поэтому получить такую проблему было достаточно неожиданно, пришлось отказаться от pfSense, хотя в остальных аспектах система полностью устраивала.

[Sl1mShady]

Помнится, это проблема PF, на ipfw вроде должно работать.

[Hatifnatt]

Так и есть, но pfSense то основан на pf и вряд ли они перейдут на ipfw, хотя могли бы добавить какой-нибудь «костыль» для решения этой проблемы, но видимо цели такой нет.

[Sl1mShady]

Я находил интересное решение, ipfw с настройками для gre, а за ним уже pf с остальными правилами. Подробности помнит лишь гугл — от freebsd отошли где-то с год уже, к сожалению.

[Hatifnatt]

Решение для pfSense или для самостоятельной, скажем так, настройки? Наверное его можно прикрутить и к pfSense, только вот настройка эта не будет резервироваться стандартными средствами, ну и вообще в контексте pfSense это будет костыль.

[Sl1mShady]

Просто для PF. Ну и в любом случае то, что не делается стандартными средствами pfSense — будет костыль)

[kvaps]

Спасибо за апдейт, но если бы керберос из коробки прикрутили, просто цены бы им небыло :)