awe007: да, очень бесит. Только важно следить, чтобы днс доступен был, если не будет - каждую минуту будет стартовать туча dig процессов и ждать ответа, чревато падением, если без мониторинга.
"И что за IP 172.16.185.1 в скрипте выше?" - это локальный днс сервер, который используется для резолва IP адресов в логе. У нас там много локального траффика, поэтому и днс указан тот, который знает внутренние хосты.
В итоге удалось написать обвязвку в виде url_rewrite_program, который отдает в SqudGuard запрос и в целом все работает. Правда несколько корявостей осталось, т.к. я не программист и кодил по гуглу, если кто с питоном дружит и поможет - буду благодарен.
За дефолтные лизы на 10 минут их всех казнить надо. Полгода почти искали почему RDP реконнектится в дальнем филиале регулярно. При чем Win XP к проблеме толерантен, а вот Win 7 переподключался, особенно стало проблемно, когда dhcp relay начали использовать (по другой теме архитектуру сети меняли).
Смотрю у тебя в посещенных есть статья www.thin.kiev.ua/router-os/50-pfsense/681-ipcad-li...
Я её брал за основу, но в 2.2 поменяли резолвер и сходу скрипт не работал, пришлось разбираться.
В общем работает стабильно, в ответе ниже прямо мой код, который используется.
alnabi: pfSense в первую очередь роутер и файрволл. Прокси это дополнительный функционал. В режиме не прозрачного прокси благоразумно правилами файрволла запретить прямой трафик на порты 80 и 443. Если этого не сделать, то люди, не указавшие настройки прокси пройдут напрямую. Далее в настройках squid уже можно определить настройками кому и что можно. Можно дать доступ всей сети, но запретить кому-то. Можно поставить squidguard (или аналог) и фильтровать контент по группам. Можно прикрутить ldap авторизацию и несмотря на то, что доступ разрешен для всей подсети, без авторизации по юзеру он будет закрыт. Вопрос слишком общий, чтобы ответить на него конкретно.
Опишите более детально свою конфигурацию - версию pfSense, Squid, используется ли контент фильтрация, подмена ssl сертификатов (https фильтрация), в каком режиме Squid - прозрачный или нет, с авторизацией или нет.
Сайпутдин Омаров: qos с одной стороны, он по сути шейпит траффик по приоритетам, чтобы для критичного траффика была гарантированная полоса на выход, понимаю, что это не идеальная конфигурация в общем смысле, но и не делаем на это ставку, сделано чтобы качальщики не задавали голос и RDP и в этом смысле оно работает.
В туннеле ещё Asterisk VoIP траффик, там UDP и менне критично, если пара пакетов потерялось, разрывов в разговорах нет, но буквы иногда пропадают в словах при разговорах. pfSense держит ещё один туннель (чистый IPsec в тунельном режиме), там канал слабый, поэтому голос и RDP он отдает в CCR. Прямо сейчас настроил маршрут для RDP трафика мимо pfSense, чисто CCR-CCR, все равно есть реконнекты, но пока статистики мало, чтобы сказать хуже, лучше или также. Вообще не думаю, что pfSense в этом смысле влияет, думаю дело чисто в WAN специфике, для TCP сессии критично, если потерялось что-то по дороге. Сейчас после проверки CCR-CCR схемы буду потрошить mtu, ловить wiresharkом (т.к. пока не ясно, кто инициирует реконнект, клиент или сервер), а также хочу проверить влияение уровня шифрования непосредственно RDP сессии, т.к. трафик идет уже внутри защищенного туннеля, можно и ослабить.
Сайпутдин Омаров: спасибо, mtu покручу, почитаю, это направление не потрошил совсем в контексте проблемы. Туннель держит Mikrotik CCR с обеих сторон. L2TP c IPSec шифрованием, в перспективе на GRE переход, также с шифрованием IPSec. Приоритезация на примитивном уровне делается (шейпер по протоколам с приоритетами для категорий траффика, средствами pfSense), но влияние не фиксирую, что с ней, что без неё поведение идентичное
Maksim: Максим, спасибо за желание помочь, но у нас есть уже весьма развитая инфраструктура, которую менять дорого и на текущий момент не имеет смысла. Есть инженерная, весьма четко сформулированная задача, по сути ни одного совета по теме не было.