@sir_analgin: Взаимосвязь тут прямая, поскольку по-идее, фриоснованные системы позволяют разбирать по частям что называется пересылаемые ими пакеты. Так и тут как мне кажется должно быть  это доступно. Вопрос остается за малым, где… забьем что прошел год, pfsense - построен на PF собственно из чего следует название ну а теперь задаем свой вопрос правильно ;)

Vlan через модем адсл прокидывается в режиме моста, вам нужно поставить между сервером и модемом свич аля des 2108, а на pfsense без всяких vlan на порту WAN прописать данные на подключение к провайдеру. либо создаете отдельный opt с vlan который вам прокидывает провайдер и так же прописываете данные для подключения. работать будет и в том и другом случае. насчет сетевок, для PFsensa они все пропускают и распознают vlan. протестил на куче сетевок.

1. Выключи  DNS forwarder. 2.поставь галочку  в General Setup  - Do not use the DNS Forwarder as a DNS server for the firewall 3.создай правило на ване, что бы рубило все на 53 порт. у меня подобное было, запросы валили  с 6-7 ip, только так вылечил, правда еще сутки после долбили. но трафик уменьшился на ети запросы. как и загрузка проца.

@smils: этого хватило. перегрузить нужно было. /etc/sysctl.conf: append:      kern.timecounter.hardware=TSC [РЕШЕНО] в теме поставьте , пож-та.

Совет нормальный, но возможности такой нет.

@werter: Может что-то из этого поможет ? http://forum.pfsense.org/index.php?action=printpage;topic=25615.0 http://forum.pfsense.org/index.php?action=printpage;topic=8239.0 http://forum.pfsense.org/index.php?action=printpage;topic=39811.0 Спасибо за ссылки, но немного не то. Кому может будет интересно, проблема следующим образом решена. Через костыль правда.. Пока все работает, буду следить. kill_voip.sh #!/bin/sh local_voip_ip='' provider_voip_ip='' # Write phone states to file /sbin/pfctl -s state | grep $local_voip_ip > /tmp/statetmp.status # Kill VOIP phone states if in wrong state awkrepley3=`awk '/'$local_voip_ip'/ && /'$provider_voip_ip'/ && /SINGLE/ {print "down"}' /tmp/statetmp.status`   if [ "${awkrepley3}" = "down" ] ; then     /sbin/pfctl -k $local_voip_ip -k $provider_voip_ip     echo "states frozen kill them" | logger    fi В крон каждые 5 минут. Почему то не отваливаются самостоятельно "NO_TRAFFIC:SINGLE" соединения. Хотя в опциях галочка стоит. Может в следующих ветках пофиксят.

@dr.gopher: @dvserg: При большом желании - есть скрипт, который не сложно добавить в Cron. Я готов потестить. Он уже есть - формируется в '/temp' после ручной загрузки. Можно скопировать куда-нить и запускать. В англоязычной ветке была тема.

В автосогласование карточки поставьте, не надо выдумывать там, где уже подумали за вас.

оставил мониторить все те же гугловые сервера, но как и советовали поменял местами правила и все сразу заработало. ВСЕМ спасибо, вопрос решен )

@o00oalex: Провайдер дает 2 внешних IP по одному кабелю (маска, шлюз и днс у них одинаковые). Где и как в pfSense можно прописать диапазон IP из двух штук на одном порту WAN. Прописать можно в Firewall: Virtual IP Address Вопрос - как вы будете использовать второй WAN? Может вам подойдет один из вариантов. http://thin.kiev.ua/router-os/50-pfsense/515-c-qq-pfsense.html http://thin.kiev.ua/router-os/50-pfsense/608-portforward-nat.html Упс.. Пока писал, вы сами все нашли. :-)

У меня в сети и так куча VLAN с одним - двумя хостами (для изоляции от любопытных, т.с.), а поскольку от получившейся схемы мне уже отходить не хочется, пусть будет всё как есть. PPtP сервер я поднимал, и сам на него коннектился со своей линуксовой машины, Что творит у себя Би - не знаю, там иногда такие "знатоки" попадаются, что хоть стой хоть падай. Если правильно сконфигурять сервер, он будет спокойно передавать сам всё, что нужно подключившемуся клиенту, причем и PPP и OpenVPN сервера это делают одинаково. И "стандарта" на это нет :) Я например своим юзверям отдаю маршрут только в 21й VLAN, где живут сервера. Моя машина существует во всех VLAN'ах предприятия, для простоты. А сейчас на домашнем компе я могу прописать маршрут в любую VLAN вручную и попасть туда куда нужно без лишних маршрутов в таблицах хостов. Это и есть побочные эффекты решения.

А есть возможность добавить пакеты куда нить на диск, чтобы не перекачивать каждый раз?

Всем спасибо все работает. Как описано в FAQе. Проблемы были на маршрутизаторе провайдера-как только видел пакет о нат трансляции обрывал сессию… так что Pfsense по прежнему лучший))

@dvserg: А можно схему предполагаемой инфраструктуры посмотреть? 50|50            30|30 –----/pfsens/======                     20|20 Уже реализовано на cisco, но вопрос актуален.

Скриншоты правил fw (LAN, PPTP) , NAT и настроек PPTP-сервера более чем приветствуются. Телепаты в отпуске.

долбанная моя невнимательность, не тот файл загружал на сервак !!! Все работает огромнейшее спасибо !!!!

Спасибо большое :).

@lothan: Про разделения с маками видел что-то в пакете ipguard-dev. Да, есть такой пакет: Ipguard слушает в сети пакеты ARP. Все разрешенные MAC-IP пары, перечисленных в конфигурационные файлы. Если получена одина из пар MAC-IP, которая не указана в файле конфигурации, он будет посылать ARP ответ с настроенным фальшивым адресом. Это не допускается хост для правильной работы в сегменте локальной сети Ethernet. На сколько я понял из http://local.com.ua/forum/topic/19432-ipguard/ : для Вашего случая достаточно добавить пару MAC/IP -  00:00:00:00:00:00 / 0.0.0.0 для разрешения всея и всего, а так-же пары MAC/фейк_IP для бана. Фейк_IP - это один и тот-же заранее выбранный IP адрес (к примеру 192.168.1.13 - "не повезло"), для которого в файрволе создано запрещающее правило.