Все работает. У меня в свое время (пока не собрал железку на ITX плате) работало. Две сетевухи + VirtualBox Host-Only Network. Сетевухи работали  бридже.

@werter:

Хм..Тогда суем ви-фи карту в пф , создаем в нем AP и рулим правилами на ней. Это дешевле всего выйдет.

Я видимо очень плохо формулирую свои вопросы и получается, что мы говорим о разных вещах.
СПАСИБО за искренне желание помочь.

У вас в ЛАН2 - Вин-сервер , не так ли? Вы им рулите?

@aleksvolgin:

и с разъемом x16  карты x1

Это что за жуткая словестная конструкция?

Да, несколько громоздко получилось.
Поправил.

Могу помочь так - https://www.google.com.ua/search?client=opera&q=pfsense+voip&sourceid=opera&ie=utf-8&oe=utf-8&channel=suggest

P.S. http://www.youtube.com/watch?v=X4lJZ5ntFO4 , http://forum.pfsense.org/index.php?topic=57784.0 , https://doc.pfsense.org/index.php/VoIP_Configuration

И когда настроите - объясните, как это сделали, пож-та.

А вы знаете помогло. Действительно оказался принтер с таким адресом в сети.
Вопрос закрыт.

огромное спасибо за помощь! все заработало!!!

Господа, ну и балаган Вы устроили.
да, организация конечно специфическая, начальству это не нужно, а может и нужно, офис, провайдер  и тд. и т.п. бл* - какая разница?
Вопрос стоял КАК и КАКИМ СПОСОБОМ?….. Эт понятно = завести всех в домен, лишить прав, опломбировать системники, отрубить руки по самую шею, лишить кого то премии, уволить и др. Важно найти техническое решение, если его нет, то закончим.
В других местах (офисах) эт конечно решается "легким движением руки".
ДА, у них можно играть в игры, но не всем.
:))))))

коллеги, давайте по существу.
Для начала все таки попробую ограничить кол-во тсп.

Спасибо всем, кто проникся.

Огромное спасибо за помощь pigbrother, все получилось и прекрасно работает. Очень большое спасибо. Вы знаете, в свое время количество настроек вбитых в виндовый шлюз, для получения приблизительно половины функционала который сейчас настроен на pf шлюзе, отняло у меня столько времени, хотя я прекрасно знал как и что. Постоянные поломки, обрывы связи, дорисовка статических ip и пр…ужас. А сейчас так радует краткость Rules конфига, что просто ах... Еще раз большое спасибо.

На сколько я понял - не влияет.

На сервере в OpenVPN: Server:Advanced configuration- route 192.168.1.0 255.255.255.0;
На сервере в OpenVPN: Client: Advanced configuration - iroute 192.168.1.0 255.255.255.0;

Плюс что у вас за второе правило в fw на LAN?

P.s. Мой рабочий пример конфига для Win 7 в кач-ве клиента. Пляшите от него (обратите внимание на выделенные жирным директивы!) :

dev tun
keepalive 5 10
ping-timer-rem
persist-tun
persist-key
proto udp
cipher BF-CBC
tls-client
client
script-security 2
resolv-retry infinite
remote xxx.xxx.xxx.xxx 1195
tls-remote Road Warrior Server CA
pkcs12 pfsense2-udp-1195.p12
tls-auth pfsense2-udp-1195-tls.key 1
comp-lzo
comp-noadapt
route-delay 5
route-method exe
ip-win32 netsh
pull
verb 3

P.p.s. OpenVPN устанавливать и запускать на Vista/Win 7/Win 8 от имени Администратора. Это важно. Если не сделали этого - переустановите опенвпн.

И еще.  Если у вас за вин7-клиентом есть сеть и вы хотите , чтобы она была доступна сети за сервером - включите маршрутизацию между интерфейсами - http://how-it.ru/public/root/100-vklyuchaem_marshrutizatsiyu_v_windows_xp_vista_7.html

werter Спасибо, но на два сообщения выше я написал, что нашел проблему на изначальный вопрос:

System: Advanced: Miscellaneous надо поставить галочку Allow default gateway switching

А теперь вот прокси-сервер сквид не хочет работать через резервнй канал\шлюз (((

И , к тому же, хотелось бы получить доступ  к вебморде пфсенса Б не через паблик адрес =) хотя это и менее критично.

Плюс если вам нужно, чтобы по rdp клиенты цеплялись только в сеть на другом конце ipsec-туннеля (а никуда угодно, как сейчас у Вас разрешено) , то я бы жестко указал еще и destination в вашем правиле.

Спасибо за разъяснения!
Действительно сам напортачил с правилами, щас поправил и все ок - на внешке все закрыто.

@Foss:

И правда, ничего больше не нужно было. Надо было только перезагрузить pfsense :)

Спасибо за помощь в решении проблемы.

Быстрее и без перезагрузки это делается в
Diagnostics: Show States->Source tracking
Фильтруем по нужному IP и жмем крестик

Да, маппинг WAN на сервер 1С. А "объяснить" - это обеспечить видимость и маршрутизацию пакетов к серверу 1С с интерфейса WAN и обратно.
То-есть и WAN и 1С должны знать куда слать пакеты.

Но тут одно НО - ваш 1С может пытаться ответить на публичный адрес WAN не через туннель, а через интернет. Поэтому нужно слать пакеты на 1С от имени локального интерфейса (например LAN).

Пример
Удаленный клиент -> WAN PFSense – mapping to 1C --> OPT(10.100.0.15) tunnel -- NAT from any to 1C --> tunnel ---......-->1C

Походу сам наплодил пост вида: "Ничего не работает -помогите"…..."А, все работает спасибо"
Чтобы так больше не делать - опишу более подробно что я сделал для решения проблемы. Возможно кому то и поможет :)

Итак:
Получив пару наводящих вопросов и ни одного дельного совета начал разбирать все подряд. Пару раз снес кальмара. Сношу - инеты летают. Ставлю - тормоза и сайты работают не правильно. Стал читать - чаще всего проблема в dns. Перво наперво открыл на lan интерфейсе 53 порт(dns). Но НЕТ - не помогло. (к слову: схема сети такая - Шлюз+proxy подключены к внутреннему серверу DNS(win2008r2))
Много чего перепробовал крутить в настройках squid от логирования до кеширования - но, естественно, никаких результатов не получил.
Далее я решил более подробно разобраться с dns - и вижу, что настройки в /etc/resolv.conf такие:
domain "mydomain"
nameserver 192.168.0.3 #Сервер внутренних DNS
nameserver 8.8.8.8 #Великий Google
Я выставил  DNSы прова - не помогло
Оставив DNSы прова я включил DNS forwarding enable  в Services: DNS forwarder
и все залетало.
Но есть 1 нюанс - в dmz находится appache на котором сайт - так вот на этом сайте, при подключении изнутри, не отрабатывают некоторые скрипты.
Чтобы все стало "Как надо" привел схему dns к следующему виду:
1.На win dns в forwarders указал DNSы прова + dns гугла
2.Проверил все пользовательские тачки - везде dns - виндовый сервер.
3.На локальной сетевке (вторая сетевка уходит наружу через hyper v) в качестве dns указал петлю - 127.0.0.1
4.На шлюзе в качестве dns - dns виндового сервака
5.Еще раз убедился, что 53 порт на локальной сетевке на шдюзе открыт
6.Открывать 53 порт на wan интерфейсах не нужно.

ПС Кто ищет - тот всегда найдет. Спасибо тем, кто хотя бы отписался в теме и наводящими вопросами заставил задуматься:) С новичками всегда тяжело:)