спасибо буду читать

Добрый. PfSense 2.1.5 А оно не ляжет? Там же шифрование. И весь трафик туда завернуть  :'( Уж оч. древнее.

@pigbrother: Сертификат сервера нужен серверу. Клиента - клиенту. Неясно, правда,  зачем вашему Grandstream нужен серт. CA. Для спокойствия? Для ВПН на сертификатах CA нужен клиенту. Любому. Потому как серт-ты и сервера и клиента подписаны одним СА. И сервер и клиент это проверяют. Попробуйте зайти в настр. впн клиента на пф. Или выгрузить online-конфу для любого клиента. Там 100% будет СА.

@werter: И то и др. - куплено же, да ?  ;D На случай проверок ПО.  Потому как версия у вас самая дорогая. И для работы Veeam нужна Win? Вообще да, она куплена. Нужна, но меня не напрягают затраты на нее около 4GB RAM.

Добрый. Static route зачем задавать ? WAN_DHCP1\2 - Билайн поднимает двойное соединение: сначала DHCP, а потом поверх него VPN. Откуда и Би сеть 192.168.x.x на внешке ? Там как минимум 10.x.x.x . Или у вас там еще что-то железное перед пф стоит ? Линк в Сеть на адсл по pppoe работает? Да - перевести adsl-модем в режим bridge\мост. И пусть pf поднимает сессию. Это сделано? Я бы использовал Loadbalancing только. Не просто так написал. Не мудрите с кучей Групп. С одной разберитесь.

Добрый. Смотрите логи. Всегда.

@pigbrother: Думал - не доживу до внедрения IPV6 ;). Заработало идеально! Скажите, с правилами PF по умолчанию как обстоит дело с доступностью извне по IPV6 хостов внутренней сети ? Проверять удобно этим: https://www.subnetonline.com/pages/ipv6-network-tools.php Прошу прощения за долгий ответ. Я тут в поисках идеального дистрибутива ушел сначала на opnsense, а потом вернулся на vyos. По умолчанию к хостам внутри сети не пускает. Я настраивал правила, разрешающие пинговать все машины и для отдельного сервера разрешил доступ по 80 и 443 порту. В остальном, граница на замке  :)

@Str7: Хотя бы понять, что так сделать невозможно в принципе. То ли я тупой, то ли ограничения протокола? Такое ограничение было у pfSense с исходящими PPTP. Предположу, что дело в особенностях работы L2TP/IPSec через NAT со стороны этих 2-х клиентов. Возможно - с их стороны двойной NAT и т.д. Потому и спросил про Open VPN, который безразличен к подобного рода ограничениям.

Добрый. с пом. правил Port forward на ЛАН с пом squid + гвард.

Добрый. Поставить галку на DNS Server enable в настройках впн и вписать адреса днс-серверов. Для Вин-клиентов поставить галку на Force DNS cache update. Если у вас исп-ся только Вин-серверы как ДНС - этого хватит. В случае же использования пф как сервера имен и dns resolver-а, у последнего в настройках есть какие интерфейсы слушать, плюс в настройках dns resolver есть Access List - добавить разрешенные сети клиентов туда. Также, возможно, потребуется создать в fw на впн-интерфейсе правило, где в src - *, dst -  LAN addr, proto - TCP\UDP, dst port -53

Путей два 1. Через веб-интерфейс. Неудобно. В плюсах - можно завести пользователя и деоегировать ему права на выключение.2. 2. Через SSH. Решение для Windows, думаю легко перенести на смартфоны, клиенты SSH для Андроид естьво множестве, для iOS - думаю тоже. https://forum.pfsense.org/index.php?topic=70197.0 Как делегировать права неадмину вроде описано тут: http://www.pfsenseitaly.com/2013/05/pilotare-lo-shutdown-di-pfsense-tramite.html Промежуточный вариант - запускать yes | /etc/rc.initial.halt https://forum.pfsense.org/index.php?topic=121458.0

Спасибо, попробую Успехов. Отпишитесь о результатах.

@_valentin_: В общем все запустилось! Спасибо большое за Вашу помощь! Теперь хоть мануал написать могу ))) Будьте добры поделитесь маньюалом, темболее в версии 2.3.4

Пока писал, придумал очевидное решение (с высоты моих знаний :D ). Изменил правило №2 в соответствии с логикой "разрешить всё на GW_WAN2, кроме сетей ЛВС и богон". Судя по логам, всё чудно. )))  

Добрый. Вкл. логирование fw и смотрите что у вас на WAN происходит.

Сидел на 2.4.2.p1, два Сенса в КАРПе. Началось на первичнике. В логах была эта ошибка, но причина - Aliases. Пробовал заходить в алиасы, и делать Edit -> Save -> Apply. Это не только не помогло, но и потянуло за собой следующие ошибки. В результате пришлось из бекапов доставать конфиги недельной давности и полностью ставить новый Сенс. На тот момент как раз вышел 2.4.3

Как я раньше писал у меня интеловская I350-T4, драйверы IGB, однопортовая интловская (надо в корпус  лезть, но довольно старенькая) EM, и несколько разных RE-шных карт на реалтовских чипсетах.