Добрый.

Cisco ASA
http://www.networkstraining.com/site-to-site-ipsec-vpn-between-cisco-asa-and-pfsense/

Mikrotik

OpenVPN
https://forum.pfsense.org/index.php?topic=88001.msg489189#msg489189
http://forum.ru-board.com/topic.cgi?forum=8&topic=41722

IPSec
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense-m0n0wall-firewall-fritzbox-und-shrew-u-iphone-client-software-115798.html
http://www.gavioli.net/ipsec-vpn-pfsense-2-1mikrotik-routeros/
https://www.youtube.com/watch?v=0-ITzy2Ms-E
https://www.youtube.com/watch?v=kkLOj1ILbwE

P.s. Много статей по туннелям на МТ - http://mikrotikroutersetup.blogspot.ru/

P.s2. И добро пожаловать )

P.s3. Коллеги, сохранил оффлайн копию http://mikrotikroutersetup.blogspot.ru/. Если кому надо - могу выложить. Сохранял с пом. дополнения для FF scrapbook  (фильтр по строке mikrotikroutersetup).

Из обсуждения поста по ссылке:

Выпуск демона, запуск демона… экзорциста на вас нет! :)

@werter:

Ну и самое главное :

Там точно должна быть другая цифра  :'(
Вот эта - > 0 (нуль)

Вот это натолкнуло меня на мысль. ТОлько проблема была не тут (это просто скрин делал в момент экспериментов). Короче, я когда виртуальный IP добавлял, то на маску подсети не обратил внимание. А там она была 31. Исправил на 24 и всё завелось.
Короче, спасибо за помощь. Карму, увы, поправить не получается.

2 klexo
И обновите bios до самой последней версии.

Добрый.
Какой тип ОпенВПН исп-ся - p2p или клиент-серверный ?
На ОпенВПН сервере (192.168.2.0/24) добавить route до 192.168.100.0/24. Плюс на нем же явное правило fw на LAN - * LAN subnet * *  192.168.100.0/24 * и поставить его первым\повыше. А на клиенте (192.168.21.0/24) у Вас и так маршрут до 192.168.2.0/24 имеется.

TAG: icp_port

Этот тэг определяет номер порта, который Squid будет использовать для отправки и приёма ICP запросов к соседским кэшам и от них. По умолчанию, номер порта 3130. Чтобы выключить использование ICP, установите значение этого тэга в "0", без кавычек.

http://break-people.ru/cmsmade/index.php?page=translate_squid_reference_tag_icp_port

Вероятно, нужно гуглить связку %ваш_суровый_прокси%+сквид

Хотим мы этого или нет - сквид де-факто промышленный стандарт.

Может кому то будет полезным. Обновил работающую систему с версией 2.1.5 до 2.2.5 при обновлении переустановились все пакеты, а проблемный snort появился в списке пакетов предложенных для установки, я его установил и он подтянул старый конфиг сам. Всем спасибо.

так как если перезагр. пф с ненажатой Аппли, то после загрузки он всё также просит нажать эту кнопку.

Именно!

Если в логах криминала нет (точно ?), то попробуйте почистить кэш сквида.
Если не поможет - слейте бэкап пф, установите начистую и подгрузите бэкап. Как вариант - установить только сквид и помониторить.
Далее ставить необходимые Вам пакеты по одному и снова мониторить.

и это, что то будет пересекаться с его локалкой. то вообще фиолетово =)

В общем - да. Но pfSense может придти в недоумение, зачем его заставляют делать трансляцию белых адресов. ;)

@Odin2009:

Можно ли и как временно разрешить отклик на tracert с WAN интерфейса? ICMP разрешены, на ping отзывается. (pfSense 2.1)

И Вам доброе время суток.

https://en.wikipedia.org/wiki/Traceroute
Т.е. разрешать ICMP,TCP,UDP - смотря с какой ОС будете трасер запускать.

А лучше , разрешите (временно!) на WAN всё-всем, вкл. логирование этого правила fw, пускайте трасер извне (!) на WAN и смотрите логи.
Так будет понятно что разрешать.

@werter:

Обратите внимание на 10.212.14.23. И на порт , в к-ый он подключен.

это брудкаст этой подсети. которая никак не пересекается ( 10.212.14..17\19 висит в другом vlan и смотрит на этот же шлюз)
проблема точно не железная, потому, что это абсолютно зеркально повтораяется на другом шлюзе.

Если через squid то установка дополнительных пакетов невозможно, так как в этот момент pfsense не запрашивает авторизацию на допуск в интернет через корпоративную сеть, соответственно появляется ошибка о недоступности пакетов

дело было не в бабине =) а свич то хоть  vlan умеет?

если из коробки не стартануло, то ищи другой =) я так же когда то дрова под свои сетевухи искал…. вышла новая версия и они там были.
я и компилил и модулями скармливал и каких только танцев с бубном не делал.
это урезаный дистр и здесть есть то, что есть, впихать ,что то это очень геморойно

В общем сбросил все по умолчанию и пепрописал заново. Заработало.

@werter:

Вся "конструкция" у ТС дома.

ахаха.. да живёт он в офисе)

@werter:

@pigbrother:

@werter:

@deem73:

Заработало!!! Плюсы в карму!

http://habr.mirtesen.ru/blog/43844514982/Seti-dlya-samyih-malenkih.-CHast-desyataya.-Bazovyiy-MPLS

Сам пользую и всем рекомендую.

Что-то с вашей с ссылкой не так, открывается во фрейме непонятного сайта с рекламой.
Вот правильная
http://habrahabr.ru/post/246425/

uBlock Origin + NoScript

Это, конечно, выход.
Но чем это лучше, чем читать статью на странице первоисточника?

P.S.
И да, чем поможет ТС статья про MPLS? Вероятно это отсылка ко всей замечательной серии "Сети для самых маленьких".