@Stas1k:

@pigbrother:

DNS Servers: (ip-адрес pfsense)

А pfsense умеет разрешать имена на LAN?

в сетке LAN по имени обраащаться можно, если в этом вопрос

Разрешение имен\видимость в "сетевом окружении" для LAN обеспечиваются не pfsense.  Выключение  pfsense не повлияет на возможность "обращения по имени" в пределах LAN.
Для прозрачной работы удаленных клиентов в сети потребуется поднятие WINS в сети, и\или перевод OVPN в режим TAP с адресацией внутренней сети.

Если достаточно обращения по имени вида
\host.domain
то работает следующая конструкция.
host - имя компьютера
domain - домен pfsense, заданный в System: General Setup. Удобно, если он совпадает с именем рабочей группы\домена AD.
Если есть AD, то в System: General Setup нужно добавить DNS, обслуживающий AD.

Если AD нет и на  pfsense поднят DHCP, то в Services: DNS forwarder
отметить
Register DHCP leases in DNS forwarder
Register DHCP static mappings in DNS forwarder
Resolve DHCP mappings first

@werter:

Ни баг и не фича. Вы же пингуете адрес сети и широковещательный адрес (при вашей /27), а не адрес хоста. Увеличьте маску до /24.

P.s.

Суть в том, что на 15-ом адресе висит машинка, которую надо мониторить по snmp и тд

какая маска у этого хоста ?

Маску увеличить, грубо говоря, не могу до /24.
Блин, спасибо. Затупил, адрес на машине жестко прописан. Спасибо.

Тему можно закрывать.

кто нибудь поможет мне с этим вопросом?

ТС вроде как поднимал этот вопрос в другой ветке.
https://forum.pfsense.org/index.php?topic=80972.msg442155#msg442155

Там есть и рисунок, и решение вопроса.

версии x86 и x64 ядра не меняли друг на друга?

мне кажется, вы создали трудности и пытаетесь героически их преодолеть.
если нет доступа во внутреннюю сеть и не получается сделать его на время настройки, даже тупо запустив teamviewer то может и сенс там не нужен ?
в конце концов, ставьте сенс на ОДИН интерфейс, тогда он будет ваном и даст к нему web доступ.
потом уж добавите еще интерфейсы

Я тоже первым делом это предположил, к тому же Status: Traffic Graph показывает весь трафик потребляет один Host Ip - Ip адрес WAN (внешний), также snort потребляет более 50% CPU, видно пытается фильтровать. К провайдеру пока не обращались.

@Pluha:

возможно ли это сделать на базе pfsense?
пока что мне удалось всех внести в корпаративную сеть с возможностью доступа к интернету через прокси сервер. но это не то что хотелось бы в идеале

Имхо
1. Зарезервируйте в дхцп адреса http://www.thin.kiev.ua/router-os/50-pfsense/679-ip-address-mak-dhcp-pfsense-.html
Запретите менять мак и IP на лок. машинах.

2. Разделите пользователей на группы создав алиасы http://www.thin.kiev.ua/router-os/50-pfsense/473-ippfsense.html

3. Один из способов с двумя LAN (вам уже написали) http://www.thin.kiev.ua/router-os/50-pfsense/659-wan-2-lan-pfsense-20.html
Второй способ пролетал в форуме.

4. Далее вам останется, средствами брендмауера  - запретить или разрешить ходить в интернет и во вторую локалку группам IP (алиасам).

Описал выше. Дерзайте. И про правила fw не забывайте.

На 10.10.64.2 шлюзом что ? Покажите скрины правил fw на WAN, LAN и NAT.

Шлюзом на нужных Вам машинах что стоит ?

В Translation -> Address оставьте Interface address, в поле Interface поставьте WAN. В Source - Type: Network, Address: 192.168.40.0\24

да там аналогично всё выглядит. Всё упирается в опцию "persist-tun" как я понял по https://forums.openvpn.net/topic8539.html
вот пример с клиент-серверного варианта

dev ovpns1 dev-type tun tun-ipv6 dev-node /dev/tun1 writepid /var/run/openvpn_server1.pid #user nobody #group nobody script-security 3 daemon keepalive 10 60 ping-timer-rem persist-tun persist-key proto udp cipher BF-CBC up /usr/local/sbin/ovpn-linkup down /usr/local/sbin/ovpn-linkdown local 9.9.2.2 tls-server server 10.0.9.0 255.255.255.0 client-config-dir /var/etc/openvpn-csc tls-verify /var/etc/openvpn/server1.tls-verify.php lport 1194 management /var/etc/openvpn/server1.sock unix push "route 192.168.6.0 255.255.255.0" push "dhcp-option DNS 192.168.1.251" ca /var/etc/openvpn/server1.ca cert /var/etc/openvpn/server1.cert key /var/etc/openvpn/server1.key dh /etc/dh-parameters.1024 crl-verify /var/etc/openvpn/server1.crl-verify comp-lzo push "route 192.168.1.0 255.255.255.0"

2. а как мне по другому завернуть трафик от сквида на этом сенсе в туннель ?

Жаль, спасибо за ответ.

@werter:

У вас фи-фи роутеры работают в режиме просто AP ? И из какого диапазона получают адреса клиенты ?
Отключите DHCP на роутере и воткните кабель в  LAN  от LAN pfsense. Правила limiter-a рисуйте во Floating Rules.
Если с правилами все ок - должно работать.

правила на gateway и limiter я всегда выставляю в floating, как я писал выше, роутеры настраивал на разные режимы работы, то есть некоторые работают как вы предлагаете(ap), некоторые работают как router в обоих вариантах правила которые применяются для wifi клиентов отрабатывают не правильно