Доброго. Проверка где? В сквиде? Как настроен он - прозрачно или явно? Какие настройки (скрины)? Телепаты на морях.

@werter Пока не ясно ,в чем проблема ))) Виден только кусок лога 1 фазы и задача , стоящая перед ТС , тоже не понятна P.S. для ТС попробуйте настроить вот по этой инструкции https://www.netgate.com/docs/pfsense/vpn/ipsec/l2tp-ipsec.html и обратите внимание про текст для клиентов Windows за NAT . Возможно , это Ваш случай

Статья https://github.com/PiBa-NL/pfsense-haproxy-package-doc/wiki/haproxy_pass_clientip_to_webserver Тема закрыта спасибо

В итоге разнес веб сервера на несколько vlan/пустил через haproxy по локальным адресам. Спасибо!

Добрый. @CrazyMax https://www.netgate.com/docs/pfsense/book/

@toxansk На WAN (не важно какого типа) разрешающие правила создавать не нужно. По умолчанию создются 2 правила для IPV4 и IPV6 Default allow LAN to any И запись в Outbound NAT. Этого достаточно для доступа в интернет. Ну и работающий DNS конечно.

@pigbrother Плюс чистый IPSEC не маршрутизирует трафик . Т е все что попадает под понятие "интересный трафик" молча загоняет в туннель . Для исправления этой ситуации я использую GRE OVER IPSEC. Или можно использовать VTI . Но в 2.4.4 он реализован немного странно . Чтобы исправить эту странность , надо Или править INC файлы или ipsec.conf ( в общем , надо разбираться ) GRE OVER IPSEC в PFSENSE тоже реализована немного "криво" Но выигрыш в скорости превышает все эти минусы )

Доброго. @oleg1969 О прикручивании к пф разговора не было. Речь об отдельном интересном решении. Информация дана для размышления. @millenium Нет. Учите язык потенциального противника. Пригодится.

Доброго. Настроенные под кого? Если конкретно под Вас, то в параллельной вселенной.

@pigbrother хм.. если бы не было нетграфа - то ядро бы вычистили от огромного количества модулей (остался бы только кусок МПД наверное) и управлялка есть и в непрописанном if нормально всё хукается, но вот принцип или/или - мне не понятен. в обычном серваке у мя стабильно собирало отчёты нетфлоу на нескольких интерфейсах и никак не влияло на всё остальное (фаерволы, подсети, маски...) а тут - как будто свет выключают, бдынь - и нету сетевухи... ладно, "будем искать" (С)

@farmadelkin said in Pfsense openvpn mikrotik: 10.41.24.0/24 Да был статический маршрут, все заработало, БОЛЬШОЕ СПС, обязательно напишу мануал с картинками.

@deadlymic said in OpenVPN на андроид.: Убрал comp-lzo - сразу все заработало и на вин и, в последствии, на андроиде. Вы конфиг клиента сами сочиняете? Если установлен пакет Client Export Utility, то экспорт конфига из него обычно всегда корректен. @deadlymic said in OpenVPN на андроид.: . И сервер Remote Access (SSL/TLS) без юзер auth, поэтому, я так понимаю, экспорт работать не будет. По идее оно не будет работать только для режимов сервера peer to peer, а для Remote Access - должен. Проверьте.

@electricshock said in MultiWAN: чтобы люди не чувствовали вообще разрыва основного канала и продолжали работать в инете с теми же ресурсами (открытыми вкладками в браузере) Чтобы открытые вкладки продолжали работать без обновления содержимого\реавторизации - INHO, невозможно. Старые стейты не работают (недействительны или прибиты) новые - не созданы. Браузер\ПО должны реиницировать соединение.

@werter said in Настройка приоритета трафика OpenVPN: Для блокирования чего-либо в туннеле создавать явно интерфейс для него не нужно. Это понятно. Это был просто эксперимент, переходный к настройке трафик шейпера. А, я так понимаю, для трафик шейпера явный интерфейс обязателен.

@werter said in Зомби-пользователи OpenVPN: Опенвпн уж неск. лет как устанавливает службу. Кстати, последние версии клиента почему-то по умолчанию всегда используют исходящий порт 1194. Что в свете последних событий легко позволит ISP\тем кому это нужно легко его блокировать. Чтобы клиент всегда использовал рандомный порт надо добавить nobind в конфиг клиента.

Добрый. @negorox Вежливее. Я с Вами на брудершафт не пил. Есть др. способ? Вперед. В студию.

@werter Запретили? А как с обновлением тех же браузеров быть?