@juceser:

Не подскажите куда копать чтобы увидеть внутреннюю сетку, а затем и инет?

Из вашего поста непонятно как вы все настроили.
В статье, которую вы привели, второй интерфейс (LAN) работает в режиме "виртуальный адаптер хоста" - если я правильно прочел мануал, то в этом режиме гостевые ОС могут общаться только с хостом и с другими гостевыми ОС на этом хосте, но выхода во внешнюю сеть у них не должно быть. Исходя из этого я сделал вывод, что человек поставил к себе на машину pfsense как "личный" фаервол.
На картинке я схематично изобразил свое видение вашей ситуации. Если возникнут вопросы по настройке - пишите в тему, обсудим.
И если вас не затруднит, удалите пжта свой 2-й пост, он огромен и бесполезен.

??????.JPG
??????.JPG_thumb

На интерфейсе LAN правило outbound nat
src=any
dest=адрес целевого компьютера

@MrIgor:

@flagman:

По поводу скайпа, попробуй в самом скайпе принудительно прописать адрес прокси и порт, чтоб скайп был готов к прокси шттпс. Я не успел попробывать это, но прочитал данный рецепт где то, и там был положительный результат. Этот подход должен работать и с другими приложениями. попробуй! только отпишись о результате, не пропадай!

Попробую по свободе, но бегать по всем машинам домена и настраивать все ПО которое нужно пустить через прокси - согласитесь перспектива не очень радует.

Group Policy ?

временной период в
Firewall: Schedules: Edit задается только с шагом в 15 минут. возможно ли это как то изменить?

dvserg спасибо, все так и есть. Настроил. Все работает.

Друзья, всем спасибо за внимание! Решение найдено, с одной стороны я сам себе дурак, с другой - косяк разрабов.
Источник проблемы: в исходящем НАТе было правило, в котором фигурировал алиас. Я этот алиас переименовал. А в этом правиле НАТа он не переименовался, чего я и не заметил своевременно. В итоге наблюдались вышеперечисленные мною проблемы с файерволлом.
Сейчас трафик ОпенВПН благополучно проходит, туннель поднялся.

Вообще неплохо бы о данном баге разрабам сообщить, думаю. Костыль очень больно бьет и не сразу понятно откуда ноги растут у бага.

Еще раз - рисуйте схему. С адресами, путями etc. То что вы считаете нативно понятным - другим таким не кажется.

Я сам намутил ереси полной) аж стыдно перед знающими людьми. Надо было всего-лишь возложить управление сетью на pfsense, а на роутере откулючить DHCP и настройть Gateway на адрес pfsense. Тема-пустышка.

@Guf-Rolex-X:

мне не одну машину блокировать надо, а по маку можно блокировать?

Сделайте привязку MAC<->IP в настройках DHCP и блокируйте после этого в сквиде кого угодно.
Если у вас есть домен, то можно и по имени пол-ля\группе в AD составлять ACL в сквиде.

@Innuendo:

@kuznetsov_anton:

Все прекрасно работает на ESXI :)
Делайте по инструкции: http://www.vmgu.ru/articles/vmware-esxi-get-free-license - получите бесплатную лицензию, иначе только на 30 дней.
Потом установите: http://itsave.ru/esxi/.
Настройка очень простая) Пишите, помогу.

Такой вопрос.
У меня будет три объекта, соответсвенно надо будет развертывать ESXI на трех серверах.
Это все можно сделать под одной лицензией или надо еще 2 раза регистрироваться и получать еще 2 ключа?

Одной ,вроде, должно хватить. Да это и не трудно проверить.
Cоветую ставить сперва 5.1, а потом обновляться до последней. Потому как в последней поддержку старого оборудования могли просто выпилить.

И да, ставьте ESXI на флешку (от 8Гб). Она отлично с нее работает и ,как плюс, бэкап флешки всегда под рукой , если что.

@NegoroX:

Подвержены версии 2.1.5. и. 2.2,  32-х разрядный дистрибутив

а твое железо поддерживается версиями BSD в pf 2.1.5 freeBSD 8.3 и pf 2.2 FreeBSD 10.1 ?

HCL  я просмотрел, неподдерживаемого железа из того, на чем пытался завести не нашел.
Всё старье, на чем пробовал, прекрасно держит дебиан серверы,  вплоть до последнего testing.

Пока остаюсь на v. 1.2.3, функционал pppoe сервера на WAN критичен.

вышестоящий роутер

основной сервер

Роутер – железный, сервер под ubuntu. Наверно, случайность.

И давно Д-Линк стал производителем чипов (SoC)? На чем построены ваши сетевые д-линк? Подсказка : на них написано (на основной микросхеме).

На микросхеме DL10028A в консоли VIA VT6105 RHINE III
Такой вопрос, обязательно ли все менять, или только на тех где лимитер используется?

Вроде получилось. Ошибка была из-за невнимательности при чтении статьи о настройке сертификатов. Что сделал - System > General Setup - нужно удостоверится, что имя хоста и имя домена указаны правильно и резолвятся публичными DNS серверами. Ну а дальше все стандартно - создаем CAS, создаем сертификат. На машину с которой подключаюсь к вэб интерфейсу установил оба сертификата и центра сертификации и сам сертификат. Очень помогла вот эта статья http://www.sxl.net/guides/cloud-vps/pfsense/5482/.

Но вот если заходить не через имя указанное в сертификате, а допустим через IP адрес, браузер все равно ругается на сертификат.

Версия ?
Проверьте HDD, сетевые карты, попробуйте переустановить Pfsense с др. носителя, используйте другую разрядность дистрибутива.

@kuznetsov_anton:

@werter:

P.s. Попробуйте в fw на LAN создать разр. правило с явным указанием шлюза (опенвпн) в сеть удаленного клиента для LAN subnet.

Можно здесь поподробнее?

Прочтите ЛС.

@kuznetsov_anton:

У меня такая же проблема, все равно нет пинга к локальной сети(

И как вам помочь, мил человек ?
Ни описания структуры, ни схемы.

@Guf-Rolex-X:

да вот и дело в том что они  проксю не видят, хотя компы наши от них пингуются, а вот почему не пингует lan ip прокси непонятно  :(

Допишите сети клиентские в настройки squid на pfsense.

проблему решили благодаря dima_k, дело оказалось в маске сети на стороне pfsense04. поменяли маску на хосте 10.2.2.203 с 255.0.0.0 на 255.255.255.0
тему можно закрывать

https://forum.pfsense.org/index.php?board=58.0
https://forum.pfsense.org/index.php?topic=36651.0