все логи повключал, ничего не блокируется…
видимо дело в quickleave, хотя я его закомментировал, теперь подвисает не при каждом переключении, но всё же подвисает...

@werter:

Доброе.
Откл. fw\антивирусы etc на проблемных узлах.
И встроенный в Win тоже.

Спасибо большое! Все заработало.

@timon12:

Теперь вы подключаясь мобильным клиентом к главному офису ходите в сеть главного офиса через удаленный офис, так как написали, что мобильный клиент получил адрес из .87.0/24?

Нет я иначе написал:
@Tano:

имеем следующий затык, мобильный клинет получив маршрут в сеть 87.0/24 отправляет пакеты в туннель 12.0.0.0/24
после 12.0.0.1 ступор,

Нет, я может не так выразился, мобильный клиент подключается в главную сеть, сервер только здесь, он (мобильный клиент) получает от сервера-  PFSENSE маршрут в удаленную сеть 87.0/24

Частично разобрался с проблемой. Вообщем установил на жёсткий диск 2.2.6, фризы исчезли. Причиной фризов была сдохшая флешка и это уже 2-ая за 3 месяца с тех пор как обновился до 2.2.6 Сразу не подумал на флешку поскольку последняя флешка была абсолютно новой, но продержалась всего месяц, а гибель предыдущей связал с её преклонным возрастом, а не с обновлением до 2.2.6 Раньше флешки так не дохли быстро… Видимо 2.2.6 куда то постоянно пытается что то писать... Буду разбираться дальше. )) Флешки к счастью удалось реанимировать. ))

Шлюз прописан верно.

Проблему решил: Diagnostics: Show States, там отфильтровал по 192.168.10.200:3305, зависли соединения… После того как убил их все заработало!

Т.е. получается, что шлюз (CentOS) должен именно маршрутизировать трафик между своими же интерфейсами, так?

Я не спец  в iptables.  Почитайте что-то типа http://adminunix.ru/linux-iptables-rukovodstvo-chast-1-osnovy-iptables/

iptables -t nat -I POSTROUTING -s 192.168.100.0/24 -o tun+ -j MASQUERADE

Это не марш-ция. Это вкл. nat (сетевой трансляции адресов) на всех интерфейсах tun

Маршрут Вы получили от сервера :

[root@server log]# route -n
Kernel IP routing table
Destination    Gateway        Genmask        Flags Metric Ref    Use Iface
…..
192.168.0.0    10.10.10.1      255.255.240.0  UG    0      0        0 tun0
….

И не забудьте сделать это правило ipt постоянным. Иначе после перез-ки клиента ЦентОС связь в туннеле снова пропадет.

спасибо, по существу вопроса…

А у пров-ра случаем не Dual\Russian pppoe ? Если это так, то смените тип wan на dhcp и смотрите , получил ли WAN серый адрес.
Если не получил - что-то с настройками вирт. маш. с пф на proxmox. Или физ. проблемы.

https://doc.pfsense.org/index.php/Advanced_IPsec_Settings

Или исп. OpenVPN. В нем можно настраивать то, что Вам надо.

Если есть интерес, как выйти из подобной ситуации и как вообще выглядит переезд на другие сетевые карты  с переносом конфига - могу выложить отдельным постом.

Канешна! Ждем  ::)

Все заработало. Видимо нужно было подождать какое то время. Сейчас из локалки все открывается. Спасибо за помощь.

@smils:

Не нашел лучшего решения, чем DDNS для динамических клиентов.

У ТС клиенты имеют серые IP как я понял и DDNS не получится.

но проблема в том что в старых роутерах нет PPTP клиента, а их не малое количество и сильно разнесены географически

Модели роутеров ? Посмотрите в сторону альтернативных прошивок для них - ddwrt, openwrt, wive-ng, tomato shibby's mode.
Вы удивитесь , но после перепрошивки (если есть возможность, конечно) старое железо просто оживает.

Напр., тот же d-link dir-300 рев. B1-B3 после перепрошивки wive-ng - совсем другое дело.

Как найду причину, отпишусь.

Всех приветствую!

Выявилась еще одна проблема после объединения 2-х подсетей. В одной подсети  (192.168.4.1\24) speedtest показывает низкие результаты, в отличие от другой подсети (192.168.2.1\24) . Сетевые карты одинаковые. В Интернет кроме меня никто не выходит.

Подскажите, с чем связана низкая скорость соединения Интернет в одной из подсетей?

2016-03-10_160902.jpg
2016-03-10_160902.jpg_thumb
2016-03-10_160954.jpg
2016-03-10_160954.jpg_thumb

2 Angel_19
Настройте OpenVPN и не ломайте себе голову.

Опять и снова…
@dirar:

VPN сервер - PPTP поднят на pfSense.
Работает тот, кто раньше подключился.

https://doc.pfsense.org/index.php/What_are_the_limitations_of_PPTP_in_pfSense

@dirar:

Как поступить в данной ситуации?

PPTP на винде, а ещё лучше, другой VPN, скажем OpenVPN, L2TP/IPSec.

@werter:

В случае с OpenVPN не надо прописывать руками маршруты. Это ошибочно.
Для выдачи маршрута подкл. клиентам есть директива push "route …..";
На ixbt есть ветка по OpenVPN, советую.

Благодарю!

Всё просто, когда на одном конце один WAN.
В моём же случае - по два WAN на каждом конце, и используется Gateway Group.
И стоит задача автоматического поднятия IPsec, если лажает канал интернета или само подключение по IPsec.