@alexandrnew: адреса у них меняются…. Наверное да. Диапазоны ipшников у них внушительные. Но у меня перебор шел именно по этим адресам.

@dvserg: Ручное правило обычного ната требуется для инета. Спасибо. Добавил уже.   :) Оформил статейку http://thin.kiev.ua/index.php?option=com_content&view=article&id=456:222&catid=50:pfsense&Itemid=81

Огромное спасибо dvserg и rubic!!! Все заработало, проблема в сучарском Провайдере. Никогда не подумал бы, что у пров. работают такие неаккуратные админы. Зато я научился благодаря Вашей помощи диагностировать проблему. Будете в Узбекистане, позвоните, вы будете моими гостями. Можете меня найти по агенту hika@bk.ru и скайпу hikauz. Через 2-3 дня я напишу инструкцию - как я все выполнил, чтобы другие не парились как я и выставлю на этом форуме. Очень прошу всех, если там будут ошибки, помогите мне это отредактировать потом, чтобы мирные люди вроде меня не страдали. P.S. Все таки я устный выговор получил, но хотя бы не лишился премии, так как смог доказать что вина не моя, и показал распечатку с форумов шефу. Таким образом, форум http://sysadmins.ru/ и http://forum.pfsense.org/ помог мне в работе.

прекрасно.не беда. cделйте ещё вот что: -установите links на машину с PF - Это браузер командной строки, зайдите через него -а ещё проще выберите в меню 4) Reset to factory defaults после  Reset to factory defaults Он вообще любой доступ по сети заблокировал,пришлось заново переустанавливать.

Про пункты 1 и 2 спасибо, обязательно попробую. Воспользоваться визардом для создания правил шейпера. По окончание удалить ненужные правила и добавить необходимые. Весь трафик , неотклассифицированный вами, попадет в трубу с наименьшим приоритетом. Для такого трафика выставить в Queue limit - 2000. В принципе так и делаю. Вот только "ненужные" правила - это понятие относительное. Queue limit - 2000 - это что означает? P.s. Сорри за оффтопик, но отличная статья по настройке биллинга на фре и старгейзере - http://habrahabr.ru/blogs/sysadm/130937/ Читаю хабр, было желание попробовать данную связку, но биллинг пока не нужен…

Да я уже заметил, спасибо. Теперь всё работает.

UP

@dvserg: Темы от а до я уже были. Поиск по форуму поможет. Про торренты была одна тема от а до я , но там не средствами вебморды. По поиску , вопросов много , ответов однозначных нет.

Еще хочу рассказать как я криво-косо распределил юзеров по каналам. Балансировка каналов, когда вместо WAN1FailsToWAN2 вы ставите LoadBalance, не есть хорошая идея, т.к. некоторые сайты (яду им!) такого не переносят. В частности mail.ru не дает скачать вложения из письма. Ну понятно, вы зашли с одного IP, а вложение тянете с другого. Тут-то у mail.ru и происходит короткое замыкание и паралич головного мозга. Так вот, решил я тогда рассадить юзеров по каналам, чтобы оба канала работали в полную силу. Половину юзеров пустить через WAN1FailsToWAN2, а другую - через WAN2FailsToWAN1. Проблема тут в том, что после squid'а никаких юзеров уже нету, а запрос в инет летит от имени localhost (tcp_outgoing_address 127.0.0.1). Кто из юзеров попросил squid залезть на этот сайт не ясно от слова "совсем". Решение придумал такое: Сделал в /var/squid/acl два файла: w1w2.acl и w2w1.acl. В первый запихал все нечетные адреса локалки, во второй - все четные. В Services -> Proxy server -> General -> Custom Options в самое начало вместо tcp_outgoing_address 127.0.0.1 вставил такое: acl w1w2 src "/var/squid/acl/w1w2.acl"; acl w2w1 src "/var/squid/acl/w2w1.acl"; tcp_outgoing_address 127.0.0.1 w1w2; tcp_outgoing_address 127.0.0.2 w2w1; (переносы строк только не нужны) т.е. половина локалки из squid'а вылетает с адресом источника 127.0.0.1, вторая - с 127.0.0.2 ах да, 127.0.0.2 нету, надо сначала завести: ifconfig lo1 create 127.0.0.2 И вот (смотрим рисунок во втором посте топика) что-то делать с летящими из squid'а пакетами мы можем только в блоке nat и блоке filter. Причем, - опять беда - в nat никак не воткнешь policy routing, а filter, который policy routing умеет, после ната уже не видит ни 127.0.0.1 ни 127.0.0.2, а видит только WAN1 IP в адресе источника пакета. Т.е. надо добиться, чтобы после блока nat пакеты от 127.0.0.1 и 127.0.0.2 были еще хоть как-то различимы. Ну я не нашел ничего лучшего чем различать их по диапазону портов источника. В Firewall -> NAT -> Outgoing у нас было: WAN1  127.0.0.0/8 * * * * 1024:65535 WAN2  127.0.0.0/8 * * * * 1024:65535 а стало: WAN1  127.0.0.1/32 * * * * 1024:33279 WAN1  127.0.0.2/32 * * * * 33280:65535 WAN2  127.0.0.0/8 * * * * 1024:65535 Половине локалки натом порт источника выбирается из диапазона 1024:33279, второй - из диапазона 33280:65535. Это по честному, по пионерски. Теперь в блоке filter мы можем их различить и отправить по разным каналам. Идем в Firewall -> Rules -> Floating, где у нас уже есть правило: TCP WAN1 address * * 80 (HTTP) WAN1FailsToWAN2 none открываем его для редактирования и в Source port range делаем from:1024, to:33279, сохраняем и принимаем изменения кнопочкой "+" дублируем правило и ставим в Source port range from:33280, to:65535, а в Advanced features -> Gateway выбираем WAN2FailsToWAN1, сохраняем и снова принимаем .5 Grolsch Premium Lager

FirewallRules для Wan разрешить доступ на 80(443) порт WAN интерфейса.

при IPSecе работает роутинг а не нат . а вот что нужно конкретно вам не очен поняатно IPSec соединяет 2 локалние сети друг к другу и сервера реализуют роутинг между сабой если туннел заработала то клиент с вашей стороны должен видеть сеть с другой стороны опишите ситуацию по пдробней и жиложите конфигурацию вашу и удаленного сервера если можно

u menya ta je problema lejit nashol kakoy to variant dlya freebsd s zamenoy rc.conf a no poka ne proboval napishi mail vishlyu skripti mojet ranshe menya poprobuesh :)

Никаких мыслей? Пойду на инглише спрошу.

Разобрался)))