@Igor: Кэш браузера чистил? В Chrome Ctrl+F5 решило проблему! Ура, спасибо, добрый Человек! Кэши - наше всё :-)

@pigbrother: Для доступа к сети клиента из сети за сервером и нужен  iroute или  IPv4 Remote Network/s в Client Specific Overrides. Разобрался Remote network(s) в настройках сервера определяет какие сети могут быть за этим OVPN, соответствует команде route Remote network(s) в Client Specific Overrides определяет какая сеть доступна за этим коннектом, соответствует команде iroute немного сбивает информация в Diagnostics / Routes 192.168.56.0/24 10.0.9.2 UGS 3 1500 ovpns3 192.168.88.0/24 10.0.9.2 UGS 3 1500 ovpns3 хотя по факту 192.168.56.0/24 роутится на 10.0.9.3 Благодарю за помощь.

Мечтательно Вот бы Большую Красную Кнопку с надписью "Сделать всё за…сь". Но нет такой. Информация к размышлению предоставлена. По другому никак.

Правильно ли я понимаю, что "push" это дополнительные команды удаленному клиенту для конфигурирования маршрутизации через канал? да. А route 192.168.1.0 255.255.255.0 - директива для сервера создать маршрут в 192.168.1.0

@httpxss: CSS файл слегка поправьте =) Добавьте margin на одну из кнопок, или вовсе напрямую напишете style="margin-right: 50px;" )) или что-то подобное Спасибо за идею) Действительно - может помочь, так что попробую.

@werter: Доброе. Хм, я мегафоновский hilink-свисток в Win как перекл. в eth - так он в tomato и работает как сетевая. Возможно, что у вас иной случай. Да у меня подобное было с каким то из свистков давно, тоже помогло втыканием в Linux, потом так же в Tomato нормально определялся. Этот Altair Semiconductor кстати в dd-wrt/tomato/openwrt кстати работает без проблем, нужно только модуль 3-и модуля ядра подключить, которые на просторах инета валяются. Не умеет фряха работать с этим Altair, что тут, придется с этим смириться.

Доброе. ping -l 1400 -f -t ip-адрес, где ip-адрес - адрес узла в удаленной сети. Вместо 1400 руками подбираете максимально возможный для себя пакет (mtu). На концах туннеля у ваших провайдеров разный размер mtu (?) Еще раз. Не мучайтесь. Настройте OpenVPN. Зачем вам туннель в туннеле ? Двойные накладные расходы. P.s. Хозяйке на заметку: Есть крайне интересная команда ping -n 1 -r 9 ip-адрес . Показывает (но не всегда) адреса исходящих интерфейсов устройств. И показывает тогда, когда tracert выдает *** * * *** при отрисовке маршрута.

Traffic Graphs  на главной. возможно его надо будет добавить. жмешь на интерфейс и видишь хосты которые качают и с какой скоростью

да работает.

Возможно на втором было правило во вкладке floating

@CheBurashka: Промежуточный итог =) : пока решилось проще - увеличили вдвое каналы между сетями (стало 30мбит/с), пока вполне хватает, если в скором времени вдруг опять упрёмся, тогда буду точно пилить приоритезацию Соглашусь. В свое время при канале 6 Мбит один запущенный с ютуба ролик тормозил интернет для всей сети, удаленные VPN-клиенты жаловались на огромные задержки. С переходом на 25 Мбит и выше явление исчезло само собой. Сейчас канал 60 Мбит, за загрузкой канала можно не смотреть вообще.

Тут еще интересней все оказывается  :o Проверил из вне почтовые порты через телнет - стали доступны, почта вроде стала бегать обращаюсь из вне через firefox с того же компа, с которого все манипуляции и делались - то же окно с ошибкой  >:( на перезагрузки компа, с которого обращаюсь по фиг обращаюсь через хром - нормальный приглос от почтовика и пускает во внутрь…. просто жесть какая-то..... т.е. еще и кэше firefox'а вся эта фигня сохранилась и не отпускала)))

В догонку по теме рекомендую : как то у нас тут проскакивала тема по ДНСам от яндекса вот статейка https://habrahabr.ru/post/196844/ вот детальней https://dns.yandex.ru/ настроил на работе "семейный" - мне очень понравилось :) Адреса Яндекс.DNS: Базовый 77.88.8.1 77.88.8.8 Безопасный 77.88.8.2 77.88.8.88 Семейный 77.88.8.3 77.88.8.7

Здравствуйте, уважаемые форумчане. Поставил я Freebsd 11+ipfw+ipfwnat вместо Pfsense. Вообщем вчера до ночи копал проблему. В итоге проблема оказалась в правиле deny log all any to any. Как только отключитл log all сразу все полетело быстро как надо. На pfsense тоже ставил логирование так что в полне возможно такая же беда. Мне возвращаться на сенс  без надобности теперь вот и не пробовал. Спасибо за ответы!

Доброе. VPN32 - это тот самый провайдерский интерфейс, к-ым связаны 2 сети ? Тогда - да. И во 2-й сети тоже самое проделайте.

Попробовал сделать через конфиг /usr/local/etc/dnscrypt-proxy.conf ProviderName    2.dnscrypt-cert.ns0.dnscrypt.is ProviderKey    EE41:6A83:451C:218F:37B2:B736:78C4:999F:7DE6:89D1:31D2:7866:7C8E:A8BB:1C95:B402 ResolverAddress 93.95.228.87:443 Daemonize yes PidFile /var/run/dnscrypt-proxy.pid User _dnscrypt-proxy LocalAddress 127.0.0.1:54 LocalCache on EphemeralKeys off Forward domains:"ваш домен" to:"ваш днс" BlockIPv6 no Кажется так лучше работает

и в poute PRINT на 10.10.20.5 нет маршрута в 10.10.10.0 а я так понимаю он там должен же появиться? Нет. Шлюзом по умолчанию для каждой подсети каждой VLAN должен, по идее, являться IP соответстующего этой сети OPTx, который обычно задается статически. И именно через этот шлюз по умолчанию конкретная подсеть обращается к другой подсети. Я не использую VLAN, но описанный способ доступа через правила задействован  для взаимодействия LAN<->DMZ. В  Diagnostics-Routes должны быть записи 10.10.х.0**/24**  link#х  U для каждой подсети.

@werter: Безумная идея-костыль. А что, если добавить в cron периодическую перезагрузку пф каждый день в 22.50? И помониторить это дело. как вариант попробую.

разные порты Да. Плюс выбор TCP\UDP. У нас, например, есть провайдер, который ограничивает скорость в UDP,  потому держу отдельный экземпляр  remote access сервера OVPN на TCP. Можно теоретически иметь сколь угодно экземпляров сервера OVPN на одном pfSense.