а можно сделать еще кашерней, на этом же хостинге поднять DNS и все запросы кидать на него, тогда все твои сайты будут резолвится напрямую и не будет постоянно дёргаться нат.

Вертер, ну зачем же так категорично. с DHCP оно понятно, я не заметил, но дополнил.
про тоннельные сессии: а кто говорил что мы отказываемся от L3?
по L3 мы можем выпустить шэйпером на низкой скорости.
зафиксировать логами куда ходили. вычислить мак. ( если коммут управляемый вычислить порт)
даже если коммут не управляемый, всегда можно подёргать шланги =)
нужно же найти злодея, погрозить ему пальчиком и (сказать, что он должен пива за трафф =опционально ) попить с ним пива и включить его в эту сеть за денежку =)
а с моделью OSI я к сожалению знаком… лучше бы не знал... спал бы лучше

поднимать два сервера, один прокся, второй инет с балансировкой

rubic, спасибо, дошло.

@dvserg:

@BBcan177:

@werter:

@ BBcan177
Супер! Спасибо.

В любое время. Теперь я должен научиться читать по-русски!

Maybe it's not as difficult than Chinese. :)

Bez truda ne vytaschish y rybku iz pruda.

I hope that makes sense? lol..

если кому-то интересно, могу полностью описать всю топологию с адресацией и настройками (без картинок)

Да, интересно, выкладывайте.

WiFi - либо отдельный интерфейс либо отдельный VLAN.

Верно.

Прокси на мобильных клиентах прописывать принудительно - автоопределение на андроиде не всегда корректно работает.

Не соглашусь. О каком прописывание вручную может идти речь? Зачем ?
Прокси на pfsense пускай работает в "прозрачном" режиме.

ну и что бы был учет потребленного трафика.

Lightsquid + ipcad в момощь.

Итак благодаря последнему посту определил что нужно вносить изменения в винду, в итоге все подключилось, но есть новая проблема, при подключении VPN перестает работать инет на клиенте, как подправить подскажите..
Все разобрался, внес изменения в правила файрвола как показано на скрине(Destination изменил с Lannet на * т.е. доступ везде)
Всем спасибо за посильную помощь! От меня + в карму)))

6.jpg
6.jpg_thumb

@VVP-63:

Приветствую добрые люди.
Вот решил поставить и поковырять pfsense 2.1.3.
Для моих задач думаю подойдет данное ПО. А именно выступить как интернет шлюз с 2-я WAN для отказоустойчивости + балансировка нагрузки + контроль сайтов и возможно установкой ширины каналов для определенных пользователе. Это же реально реализовать на pfsense?
Какие пакеты посоветуете установить ?

При желании установить пакеты через web интерфес возникает такая ошибка :
Unable to communicate with https://packages.pfsense.org. Please verify DNS and interface configuration, and that pfSense has functional Internet connectivity.

Хотя захожу в диагностику - пинг и пингую предположим какой нить маил то пинги проходят.
В настройках WAN обе галочки стоят:

Block private networks Block bogon networks

А попробуйте снять галочки

Block private networks Block bogon networks
Как без них, ситуация изменилась?

Воспользуйтесь поиском файлов и по /usr и по /var

Сходил в англоязычную OVPN-ветку.
https://forum.pfsense.org/index.php?board=39.0

Желание обновляться как-то уменьшилось - проблем с OVPN в 2.1.х хватает.
Придется тестровать обновление в выходные, с другой стороны - не будет реальной нагрузки.

опытным путем выяснил что это ntp сервер на роутере, причем на 2 разных серверах он работает, на одном гадит на другом нет, настройки ntp идентичные

тему можно закрывать. удалось договориться с ДЦ.

Спасибо, помогло Ваше решение.

@alexUzi:

@dvserg:

@alexUzi:

Ребята все ок! да это глюк вебморды от пфсенса. На машинах сети KOLNET сети нету.
тогда как через - диагностика,пинг,интерфейс колнет - пинг проходит.. живьем же все хорошо как и хотелось) спасибо

Это не глюк.
Пинговать с PFSense и с рабочей машины - это разные вещи.

возможно, я только учусь - я просто предположил что если я выбираю интерфейс то логически что пинг как бы из сети которую я выбрал…

Пинг из pfSense через выбранный интерфейс при этом пакеты идут через один указанный интерфейс.
Если Вы пингуете с клиентского хоста, то пакеты идут через ДВА интерфейса.

Правила fw на LAN и OpenVPN сервера и на LAN клиента покажите.

IPv4 *        LAN subnet        *  < сеть-клиента >  *      *        none #  добавьте на сервере на LAN

IPv4 *      *      *  *    *      *        none # на сервере на OpenVPN

–-----------

IPv4 *        LAN subnet        *  < сеть-сервера >  *      *        none #  добавьте на клиенте на LAN

Спасибо werter за активную помощь в решении проблемы ;) !
Мое решение (как в скринах) подходит только для моих условий, поэтому не рекомендую это нигде повторять на трезвую голову :)