Оно заработало само как-то :-(

http://www.thin.kiev.ua/router-os/50-pfsense/762-ospf-pfsense.html Версия старая, но принцип понятен Единственное, что хочется добавить от себя: Если есть подсети, отличные от той, в которую смотрит интерфейс, их нужно добавлять в правило Firewall

все выяснил спс. что маршрут нужен я сам знаю, только он не давал мне его сделать. писал такую фигню: pfsense the gateway is a different address family than network. оказалось в интерфейсе надо было вместо л2тп выставить статик ip v4 и там прописать еще раз адрес своего конца тунеля. в данном случае 10.0.0.1. типо один раз в конфиге л2тп его указать не хватает. бред полный. 2 дня на это угробил. :) вот после этого принял без ошибок роут. ОЧ ВАЖНО кто будет еще танцевать с бубном. роут не появился в роутинг таблице пока не зашел в него и не сделал выключить -> apply -> включить. для второго л2тп соединения пришлось на микротике выключить -> включить тунель. только после этого в роутах появилось правило и все заработало. такие танцы с бубном совсем не серьезно. правило должно было появиться после apply а не после включения выключения всего подряд.

Добрый. @KDanat Ответил в пред. сообщении.

@werter По вашему совету разделил задание на 2, 1 при загрузке второе с проверкой каждые 15 минут :)

На клиенте OpenVPN на вкладке FireWall-NAT (outbound) переводим в режим Hybrid Outbound NAT rule generation. (Automatic Outbound NAT + rules below). И руками добавляем правило на интерфейсе openVPN. Где source - сетка 194.0, а destionation - сетка 191.0 @konstanti - благодарю за подсказанное решение.

@afz said in 1 WAN и 3 LAN: оставить у PF два интерфейса WAN и LAN Не совсем. У PF остается 1 интерфейс - LAN. На этом интерфейсе вы создаете VLAN, который и назначаете WAN. Создать VLAN и для WAN нужно до удаления нынешнего WAN, т.к. PF может не дать удалить единственный WAN. Проделать это, возможно, придется в консоли. Вариант без VLAN - докупить сетевую карту, вставить ее в ASRock AD2700-ITX. Одно но - у AD2700-ITX нет поддержики PCIexpress.

@konstanti Пацаны третьи сутки бухаю от радости!

@konstanti said in Доступ по URL: Долго думал над Вашей проблемой По-моему,так , в лоб , решения она не имеет , потому что узнать все адреса поддоменов можно только axfr запросом , а сделать этого никто не даст . Именно по этому (отсутствие решения на поверхности) я и задал вопрос. Проблема по факту была не первый год. И первое время я сквидом ее и решал, но потом появился https повсеместный, 3 сквид был диким костылем лагающим, я перешел на чистый файрвол (либо это разрешено, либо это запрещено, запрещено все). А дальше... возвращаться на скид как-то не вышло. Да и вот опять попробовал, у меня нет логов. скрипт выполняется успешно, права на все есть, пути указан верны, а логов нет. И это видимо был последний раз когда я в него тыкал. И тоже первое время я пользовался правилами по интерфейсам. Но однажды при добавлении очередного "разрешено" я вдруг осознал что я уже 4-й раз вношу одно и тоже правило, и мне надо внести его еще примерно столько же... и флоатинг сильно сократил весь список правил. За это ему хвала )

@guf-rolex-x Доброе утро https://forum.netgate.com/topic/42698/how-to-openvpn-tap-bridging-with-lan [image: 1545367760768-7cb74e46-e26d-44ad-a2be-0620238cff45-image-resized.png]

@sadam112 said in pfsense + openpn: Есть openvpn сервер полностью рабочий Этот сервер где? А поставщика ВПН-услуг? В Вашей LAN? @sadam112 said in pfsense + openpn: нужно чтоб вся локальная сеть выходила в интернет через pfsense pfSense сейчас выполняет роль шлюза в интернет для LAN? @sadam112 said in pfsense + openpn: Если он не поддерживает openvp client pfSense поддерживает любые варианта клиента OpenVPN. @sadam112 said in pfsense + openpn: я не очень понимаю куда вставлять - ca.crt , ta.key , user.crt , user.key Почитайте https://rus.privateinternetaccess.com/archive/forum/discussion/comment/56351/ Вам придется проделать почти все то же самое.

Думал не вернусь к теме но понадобился гигабитный свич, пришлось достать эту коробочку ну и как обычно проверить вафлю а вдруг заработает и тут то я нарыл интересную штуку через короткое время 2-10 минут Циска перестаёт видеть мак адрес wi-fi клиентов ( вот прикол ) и естественно PfSens не видя мак адреса клиента не пускает через WAN в интернет. Временное решение заходишь на веб морду циски и интернет опять начинает работать. В общем PfSense не виноват в глючности циски! Интернет работает [image: 1545101586744-cisco444.jpg] Интернет не работает [image: 1545101588532-clipboard02.jpg]

Похоже, что у вас проблемы личного характера. Личные проблемы решайте вне форума.

Доброго. @Алексей Вы на какую vmware пф взгромождаете? На workstation\player или на vShpere ? Существуют native vmtools и vmtools от самой vmware.

@k0st1k никогда не мониторьте шлюз провайдера (у него может быть запрещен ICMP на него). Мониторьте что-то типа 8.8.8.8, 1.1.1.1 и др.