Спасибо, большое… И как сам не додумался??? В Bypass proxy for these source IPs хватило ума поставить свой ip ? а про destination не подумал.

@rubic:

Пропишите route 192.168.248.0 255.255.255.0 в Advanced сервера OpenVPN на pfSense, а в Client Specific Overrides уберите все и вставьте: iroute 192.168.248.0 255.255.255.0

!!!!!!!!! СПАСИБО!!!!!!!!!!!!!!!!!!!!!!!!
ЧУВАК ТЫ ЛУЧШИЙ!!!!!!!!!!!!!!!
Заработало!!!!
Я совсем забыл про опцию iroute
СПАСИБО! огроменное!

Прим. переводчика: "чувак - уважаемый коллега"

Вот что на роутере DIR-615 и OPT pfSense. Корректная формулировка проблемы на сайте принесла ясность в понимание работы провайдера.

То есть вот такая связка, примерно.

Общая же задача pfSense: два провайдера, ISP_2 — Ростелеком, который работает по описанной мною выше схеме - private ip через DHCP + статическая подсеть. Необходима для обхода NAT, иначе пропихнуть мимо своего NAT они не могут.

scheme.png
scheme.png_thumb

Понятно. Спасибо за помощь!

1. DHCP. Да, pfSens раздает в центре, хотя основная массв адресов - статические. На филиалах адреса тлолько статические.
2. В общем проблема разрешилась.  Ик прошёл. Прошел, как я уже писал раньше после пререканий с провайдером. Подробностей от них (северен) получить не удалось по сю пору. "разгрузили канал к вам" - всё.  Наличие птички Static route filtering: Bypass firewall rules for traffic on the same interface в  System: Advanced: Firewall and NAT никаких видимых изменений не дает(странно).
Спасибо всем откликнувшимся.

2 Scotch

На последнем скрине (интерфейс OpenVPN) - оставьте только одно разрешающее всё и всем правило (хотя бы временно). Остальные - лишние.

@jackley:

Трассировка любых адресов показывает "старый" маршрут, а 2ip и speedtest показывают что я хожу через новый.

Перезагрузить свою машину , перезагрузить pfsense.

Дефолтным шлюзом для Ф1 должен стать IPSec туннель в Ф2.  Далее русуете правила NAT и правила fw.

В зависимости от модели оборудования.

у меня седующий вопрос..стоит прозрачный прокси сервер.. внутри локальный трафик считает(LAN 192.168.20.0/24), настроил опенвпн, выдал им адреса 192.168.16.0/21 с авторизацией через сторонний сервер ldap…
Вопроса два. вопервых можно ли как то отслеживать кто что скачал через этот самый опенвпн (через lightsquid) с внутренних ресурсов.. вопрос номер 2  где можно или вообще можно ли указать соответствие имени - ип .. (что то  наподобие hosts в виндоус) че то по имени никого не находит(( хотя первым днс по раздаче указан внутренний сервер, который впоследствии все находит...

Ой ребят сори))) запарился. Трафика 10Мбит входящего и 2.5 исходящего, 50 клиентских машин. Куча правил на фаерволе. В данный момент(именно сию секунду) загрузка такая - процессор 41%, озу 25% при загрузке 8.2 Мбит входящего 0.4Мбит исходящего трафика.
Почему я заморочился, иногда прыгает загрузка проца 100% и опытным путем выяснил что при юзании спеедтеста с машины без ограничений(с моей, для проверки канала), загрузка проца подскакивает до 100% примерно 1 из 3 раз проверки.

Начать лучше с проверки ната. Если стоит автоматически то переставить на ручной

@Zaraz:

А есть ли возможность в одном правиле  разрешительном  перечислить сразу несколько протоколов или диапазонов портов?

Протоколов - вряд-ли.
Портов - можно, создав для них алиас в Firewall: Aliases

все заработало после присвоения адреса, RDP конектятся и логинятся но вот с админкой самого pFsense ошибка после ввода пароля

An HTTP_REFERER was detected other than what is defined in System -> Advanced (http://******.no-ip.info:10001/index.php). You can disable this check if needed in System -> Advanced -> Admin.

@3vs:

Предлагается использовать squidGuard.
Но для версии pfSense 2.1 релиза в списках не значится.
В списке есть среди пакетов только squidGuard Beta 1.4_4 pkg v.1.9.5 platform: 1.1.
Как-то стрёмно ставить бету и для другой платформы на рабочую систему.

А средствами самого pfSense как-то можно реализовать похожий функционал?

Бета относится к webGUI, и в таком состоянии он уже давно, так как туда постоянно вносятся изменения. А сам SG stable.

группу шлюзов создал. возможно глюк какой. на днях буду железо переделывать. заодним переставлю пф сенсе.

Что вы подразумеваете под "внутренними ресурсами"? Это адреса в вашей локальной сети  или локальные адреса провайдерской сети за WAN роутера?
Уточните этот момент.

1. Рисуете Limiter-ы :

-  внутренние ресурсы провайдера - 80-90 мбит\с вход\выход

Тас-Икс - 8-9 мбит\с вход\выход внешка интернет -  до 800 кбит\с мбит\с вход\выход

2. Создаете алиасы :

адреса внутренних ресурсов провайдера; адреса Тас-Икс;

И затем в fw создаете правила с этим лимитерами . Причем для "чистого" Инета в правиле нужно будет указывать только Limiter - в Destination не надо указывать ничего.

мое имхо 32 бит. куда стабильнее идет