Спасибо , что отписались о решении.

P.s. https://community.openvpn.net/openvpn/wiki/Topology

Спасибо за помощь, вроде разобрался

@Skorpikus:

просмотрел все по ссылке, честно говоря ничего не понял

Если вы хотите выделить каждому пользователю определенную скорость
http://www.thin.kiev.ua/router-os/50-pfsense/865-pfsense-limiter.html

С динамическим распределением скорости сложнее
http://www.thin.kiev.ua/router-os/50-pfsense/589-pfsense-20-nat.html
https://forum.pfsense.org/index.php/topic,47168.0.html

блокируйте по доменному имени.
например в днс-сервере укажите что домен привязан к 127.0.0.1

решил все переустановить.

http://www.linuxspace.org/archives/5667

да хттпс, просто оказалось в самом клиенте стояла галка прокси-сервера (а службу сквида пока остановил), ну и потом когда запустил сквид и стояла галка на прозрачный прокси - почему то не работала прозрачность, надо было указывать на хостах прокси (настройки выкладывал выше)… возможно в нате надо заворачивать вручную 80 порт на 3128 чтоли... времени не было пока разбираться, пока что переустановил сквид, кстати настройки подтянулись, а хотел я чистую установку пакета... кто-нибудь знает как настройки сквида скинуть в дефолт? и ещё, быстрое гугление показало, что отдельного файлика squid.conf в pfsense нет, это так да?

Добавлено, спасибо.

https://doc.pfsense.org/index.php/NAT_with_IPsec_Phase_2_Networks эта статья все решила)

@zga029:

Здравствуйте, помогите пожалуйста разобраться! Как известно pfSense не способен поднять больше одного GRE туннеля,

… на один и то-же хост.

Поднимаете в удаленном офисе VPN сервер и подключаетесь из-вне. Если менеджеры находятся в одном офисе, то стройте один туннель с роутера на удаленный офис и кидайте всех менеджеров через него. Если менеджеры в разных местах с разными белыми IP, то настраивайте им VPN с рабочих компов и подключайте RDP как обычно.

@werter:

Логи то читали FW? IP проблемного прова посмотрите там и что PfSense с ним делает.

Пакеты, адресованные на проблемные порты pfsense до него не доходят, потому как рубятся чудо-провайдером.

Судя по словам ТС, когда у него был Керио, то не рубился.

И у меня есть подозрение, что его пров ответил про возможность подключения извне к клиентам этого прова, т.е. про блокировку портов от клиента прова в Сеть я ничего не увидел.
Пусть смотрит логи Сенса и прямо спросит у провайдера про фильтрацию портов (и каких).

В англофоруме целая ветка hyper-v+pfsense отдана.

Как бы намек где искать спец. дистрибутив pfsense для hyper-v.
Поправят (может быть) к весне-лету след. года к 2.2 версии.

P.s. Присмотритесь к Proxmox (KVM). Настоятельно рекомендую.

Я так понимаю, что вашим пол-ям разрешены любые порты(и протоколы?) во вне ? Нехорошо это - разрешите только необходимое.

Вот не понятно, можно на пальцах объяснить, на русском мануал есть? И что делать если величина MBUF Usage достигла 100%?

@werter:

Какой тип соединения OpenVPN исп-ся ?

1. Директива push route на сервере или route на клиенте до нужных вам адресов.
2. Перевод NAТ на сервере в ручной режим и создание правила NAT (WAN).

Тип соединения client-server. site1 - client.
Какое именно правило нужно создать?

Пожалуйста.
P.s. Качайте скил Внимательность :)

LinkSYS E3200, прошивкой от Tomato by Shibby v121

Обновляйтесь до v123. Сперва бэкап конф-ции!

там маршрутизатор ASUS WL500W с прошивкой от Олега

http://tomato.groov.pl/?page_id=69

Asus WL500W R1 264 100 Mbps 8/32MB K24 or K26

Меняйте на Tomato. Будет проще. Только сперва бэкап конф-ции сохраните Олеговский, т.с. на всякий случай.

Узнайте КАК вещает провайдет - http://habrahabr.ru/post/61466/
Если по http - оч. хорошо (проще).
Или покажите список каналов из тамошнего плей-листа.

P.s. И да, локальная адресация в ваших сетях (за роутером) должна быть разной.

Создаю правила для WAN интерфейса: . Применяю, перезагружаю, но яндекс почему-то не блокируется…

Все верно.
Только наоборот - правила на LAN. Адреса для блокировки - в Destination.