to  anzak84 Немного не так. Ты только изменишь правила файервола. А для того чтобы клиенты получали правильный отбой при соединении у меня стоит squid. Суть проблемы заключается в том, что некоторые клиенты не могут правильно обработать приглашение Captive Portal, и поэтому начинают создавать новые соединения, а squid корректно говорит, что соединения нет. Я в правиле 65529 дописал только один адрес, по которому будет авторизация. После удачной авторизации разрешается any to any, или как описано в правилах.

Не то. Логин/пароль должен транслироваться из винды. В общем, отказался я от этого варианта.

после нормального выключения через кнопку/shutdown не включается Просто система такая получилась. Система это в данном случае БП+мать. Нередко замена БП решает данную проблему, но не всегда. В самом тухлом случае (если необходимо, чтобы системник всегда работал) делается принудительный "always power on"  - перемычка между проводом "power on"+GND. Но в таком случае системник придётся выключать или тумблером на БП (если он там имеется) или вилкой из розетки. А если мать позволяет (двойное питание) замена ATX БП  на АТ стандарт.

1. в интерфейсах добавление отсутствует 2. в /dev  ue0 отсутствует, и пока непонятно как привязать "его" к какому нибудь OPT1, без веба 3. темы эти видел, там вроде совсем о другом Подождем реальных владельцев Yota, может что подскажут.

Спасибо Всем за ссылки, и отдельно спасибо rubic'у за импульс по направлению. К сожалению пока не осилил iptables. Почемуто после внесения правил натирования в DD-WRT (и соответствующем изменении роутов на pfSense сервере на новые подсетки) пинг вообще перестает ходить между подсетями (при этом ходит между самими клиентами OVPN). Так же странно, что в таблице маршрутизации DD-WRT не появляется маршрут на новую натированную сеть (хотя может и не должен, пока не раскурил этот вопрос). В последней ссылке на хабрахабр по беглому взгляду описан вроде мой случай, только с поправкой на мои несколько сетей, но думаю это не проблема. Изучу поподробнее. Вобщем принцип и методология решения задачи ясны. Осталось устроить мозговой штурм и более подробнее углубиться в доку по iptables.

@1qoot1: как правельно настроить эту связку? Девятый топик вниз, от вашего http://forum.pfsense.org/index.php/topic,53215.0.html

@gr0mW: У Вас симметричный канал? А то у меня на ассиметричном канале клиенты подключаються как 10 мбит. И какое железо на шлюзах (какая загрузка проца при передаче).Возможно мощности не хватает. Спасибо за ссылки - прочту. Канал до прова ассиметричный (25 мб\с - входящий, 80 исходящий.) Железки - одна VM ESXi с Intel Xeon 5520, 1Гб RAM., а вторая - Intel Celeron 1.5 Ггц, 1Gb DDR (это сервер OpenVPN). Вообще это checkpoint http://forum.pfsense.org/index.php/topic,51361.0.html  на который накатили pfsense, раньше тоже VM была с Intel Xeon 5520, 1Гб RAM, но там тоже такая же проблема была. Нагрузку нормально держит: Вот top при перекачке трафика: last pid: 36973;  load averages:  0.18,  0.06,  0.02  up 0+01:12:38    17:05:31 86 processes:  2 running, 71 sleeping, 13 waiting Mem: 35M Active, 16M Inact, 50M Wired, 1000K Cache, 48M Buf, 886M Free Swap:  PID USERNAME PRI NICE   SIZE    RES STATE    TIME   WCPU COMMAND   10 root     171 ki31     0K     8K RUN     68:40 93.99% idle    0 root     -16    0     0K    88K sched    1:56  0.00% {swapper}    0 root     -68    0     0K    88K -        0:20  0.00% {em3 taskq}    0 root     -68    0     0K    88K -        0:14  0.00% {em0 taskq} 60719 root      45    0  6140K  4488K select   0:11  0.00% openvpn   11 root     -64    -     0K   104K WAIT     0:07  0.00% {irq14: ata0} 48363 root      76    0 54784K 21244K accept   0:04  0.00% php   11 root     -32    -     0K   104K WAIT     0:04  0.00% {swi4: clock} 48224 root      47    0 53760K 18940K piperd   0:04  0.00% php   13 root     -16    -     0K     8K -        0:03  0.00% yarrow    0 root     -68    0     0K    88K -        0:03  0.00% {em1 taskq}    4 root      -8    -     0K     8K -        0:03  0.00% g_down   11 root     -68    -     0K   104K WAIT     0:02  0.00% {irq16: em0 uhci0} 18109 root      44    0  4948K  2400K select   0:02  0.00% syslogd    0 root     -68    0     0K    88K -        0:01  0.00% {dummynet} Тут скорее всего и правда дело в шейпинге. Еще такой вопрос: OpenVPN настроен в режиме tun. В интерфейсах можно сделать assign ovpn1 - тогда появится интерфейс OPT4. Вот на него можно выставить отдельную полосу, но как только он появляется openvpn падает. Так зачем он нужен - для tap соединений? **UPD:**Впринципе решилось. Настроил HBCQ в качестве шейпера (раньше CBQ использовал), трубке p2p поставил upperlimit 60%. Трафик кое-как да побежал, пинги на уровне, правда и торренты теперь открыты, но хоть скорость внутри VPN будет более - менее. Будет ли правильным шаг - отказ от tun и заменой на tap интерфейсы? Или может как-то в правилах можно прописать, чтобы отдельные подсети не шейпились, ведь получается, что даже использовав tap интерфейс, на пользователей с LAN интерфейса все равно будет действовать шейпер, в какой бы интерфейс и в какие бы подсети не отправлялись пакеты?

2 schmel Была такая же фигня, решилось так: Вы бы листанули тему, а не только последние сообщения, прежде чем писать своё особое мнение и мутить воду. Указано же: разрывов связи нет! И заметьте, это не сенс! А проблема, тем не менее есть. [image: m0n0-down.jpg] [image: m0n0-down.jpg_thumb]

@1qoot1: Нет немного не то что надо, имелось ввиду несколько подсетей на одном интерфейсе. Эка задача… Интересно, чем отличается наличие трех четырех ip на одном интерфейсе? 192.168.0.1/24 192.168.1.1.24 192.168.2.1/24 Единственное отличие, что вы не сможете получить IP адреса по DHCP во всех подсетях, только в одной. Формулируйте вопрос правильно! @1qoot1: Просьба убрать с вашего сайта вредоносные обьекты… касперыч буянит. Каспр я давно не считаю нормальным антивирусом! Смотрим http://antivirus-alarm.ru/proverka/?url=thin.kiev.ua После просмотра - Открываем для себя и окружающих: Adblock Plus :: Дополнения Firefox, или Chrome - AdBlock

http://www.yotapiter.ru/catalog/antenns_yota/

Ух емаё, ну парой тем же ниже было.. http://forum.pfsense.org/index.php/topic,53152.0.html

По задаче, как она поставлена в 1-ом посте топика, всё, что вы написали в Advanced configuration не имеет никакого смысла. push "route 10.5.0.0 255.255.255.0" - не нужно, клиент и так знает этот маршрут push "route 10.0.1.0 255.255.255.0" - не нужно, вы просто дублируете то, что прописали в Tunnel Settings -> Local Network route 10.5.0.0 255.255.255.0" - не нужно, сервер как бы в курсе (см. Diagnostics -> Routes) route 10.0.1.0 255.255.255.0" - хорошо, что сервер умный и игнорирует это client-to-client - не нужно, этим вы дублируете галку в чекбоксе Tunnel Settings->Inter-client communication Руководство, по которому вы настраивали, предполагает, что есть 2 локальных сети (одна за сервером, вторая - за клиентом), которые надо соединить. В случае с одиночными "подвижными" клиентами ничего этого не нужно. Убирайте всё из Advanced configuration сервера и все рукописные маршруты с клиента, подключайтесь. На клиенте у вас должны появиться маршруты: 10.5.0.0 255.255.255.0 10.5.0.n 10.0.1.0 255.255.255.0 10.5.0.n

@alexandrnew: а может наоборот так задумано, что бы юзед ваучеры были таки юзед…а не чистые после ресторе Очень даже логично

Спасибо. попробую настроить.

[image: 0da3299832d9.gif]

Сразу не обратил внимание что в режиме AP не работает… ;D Проблему решил заменой карты. На ASUS-PCI-G31

Проблема в английской ветке присутствует тоже. Тут английские товарищи туториал предлагают Проверьте все настройки еще раз

Подниму тему. Все практически тоже самое. Перезагружаемся по несколько раз на день. Вот мои логи - http://forum.pfsense.org/index.php/topic,53074.0.html. Мечтаю уйти с pfSense  ;D