1. нет, тут нет ничего необычного - если режим сервера выбрать пир2пир, тогда пфсенс не даст поставить галочку "bridge dhcp" и не пропишет в конфиге нужный мне режим сервера. проблема решилась, когда искал инфу по работе мостов. самое главное я не указал в описании проблемы - один из роутеров крутится на vmware, а там по умолчанию для сетевого адаптера стоит настройка "promiscuous mode disabled". включил и все закрутилось. заодно сразу проверил - для файрвола включать правила для адаптера ovpns/ovpnc совершенно не нужно, достаточно только для openvpn. может быть где-нибудь в факе забить, что для корректной работы любого моста в виртуальных машинах (проверил в vmware esxi и oracle virtualbox) надо не забывать в настройках сети вирт машины разрешить promiscuous mode.

ну дык посмотрите кто кушает память либо через Diagnostics - System Activity, либо как то иначе

https://redmine.pfsense.org/issues/7479 быстро ответ дали )

Адресами сети туннеля в случае site-to-site без необходимости пользоваться не стоит.

@oleg1969: А если так http://www.thin.kiev.ua/router-os/50-pfsense/600-scriptsh.html да не пойму? ./restart-vpn-client.php Usage: restart-vpn-client.php <full or="" partial="" vpn="" client="" name="">теперь запушен? как проверить?</full>

@werter: Ув. kobzar. "Можно человеку дать рыбу, а можно - удочку, леску и научить ловить" древняя притча . Я - сторонник второго. С вер. 99% ув. Karollo и далее будет работать с pf. Вопросы задавать. Вы готовы на постоянной основе настраивать pf вместо него? P.s. Отличный цикл по сетям для всех http://linkmeup.ru/tag/сети%20для%20самых%20маленьких/ Рыбу дал oleg1969 Я всего лишь показал место куда забросить удочку ! У нас рыбак которой не знает когда "клюет" даже :)

Получилось наоборот - множество серверов и на основном сервере несколько поднятых туннелей до каждого. Пака с задачей справился. Доступ между шлюзами не нужен. Спасибо всем за уделенное внимание!

@Hvist: А какие сетевые карты ставить ?? Intel или можно обойтись tp link с гигабит или обычный изернет 100 мб Опять же - зависит от трафика\скоростей\нужного числа портов. Не нужен Гигабит - ставьте 100 мб карты. Идеальный вариант - (серверные) карты Интел. Если нужно много портов - на развалах за рубежом стоят копейки. http://www.ebay.com/sch/i.html?_from=R40&_trksid=p2050601.m570.l1311.R1.TR5.TRC0.A0.H0.Xintel+dual++port.TRS0&_nkw=intel+dual+port+nic&_sacat=0 http://www.ebay.com/sch/i.html?_odkw=intel+dual+port+nic&_osacat=0&_from=R40&_trksid=p2045573.m570.l1311.R2.TR2.TRC0.A0.H1.Xintel+wuad+port+nic.TRS0&_nkw=intel+quad+port+nic&_sacat=0

Все понятно, спасибо за ответы )

у вас 80 порт не редиректит часом никуда?

@Scodezan: @deem73: Может просить у провайдера другой Айпи шлюза? И тогда оно аккуратно ляжет в pf? Может, но 99% откажут. Открой тайну, почему у тебя 2 физических интерфейса для одного провайдера? Был у провайдера, разговаривал с директором, он поручил главному сисадмину поспособствовать. Сисадмин выслушал мои доводы и с пониманием к ним отнесся, после чего дал мне другой айпи из другой подсети. Прописал и сразу всё заработало. Правда в браузере внешний айпи совсем не тот, что он мне дал, но это уже детали. Тайна простая, нужны два айпи адреса для двух юрлиц.

@werter: Устанавливайте на др. конце еще один pf . Вирт. или реальн - на ваш выбор. Но если этот pf не будет шлюзом по умолчанию - все радости добавления маршрута(ов) в сети филиала останутся.

Спасибо, дорогой человек, вы всегда помогаете!

@dirar: Т.е. если к моему FTP подключается всего один клиент, хватает открыть 21 порт и еще один из диапазона динамических портов? Нет. В  Filezilla омечаете галкой Passive mode settings и задаете диапазон портов. Можете вписать свой белый IP в Use the following IP В pfSense в port forward открываете порт 21 TCP одним правилом, и вторым правилом - заданный в Passive mode settings диапазон. Клиент и Filezilla сами договорятся, какой порт займет клиент.

вообщем решилось так. исключил совсем ipV6 и все заработало. Видимо у провайдера или у этого сайта что то через этот протокол настроено криво.

Доброе. У 10.207.13.*** шлюзом должен быть ip пф 10.207.15.254 У всех машин во всех Ваших лок. сетях шлюзом должен быть соответ. локальн. ip пф. Руками марш-цию добавлять клиентам не надо (если это не оговорено отдельно, конечно)

На Lan интерфейсе в pf должно быть правило: IPv4 TCP    *    *    Lan address    80 (HTTP)      *      none

@PbIXTOP: Если вы ставили samba из пакетов, то должен был создаться файл для запуска samba в /usr/loca/etc/rc.d pfSense запускаети из этого каталога все, что оканчивается на .sh rc.conf, в котором обычно прописывается разрешение на автозапуск — в pfSense следует воспринимать как rc.conf.local, оригинальный переписывается при загрузке. спасибо разобрался вроде, файл sabma3.sh присутствовал но тем не менее не запускалась samba автоматом, помогло удаление и переустановка, теперь запускается автоматически. только после перезапуска pf у всех начинает просить логин и пароль для выхода в интернет, а по сути не должно, пока не выключишь samba и заново не включишь или не перезапустишь тогда пропадает форма запроса логина и пароля, т.е начинает работать прозрачная аутентификация.

@werter: Доброе. Я бы не открывал в мир стандартные порты. Смените на что-то отстраненное (типа 34523). И используйте, где возможно, VPN. Это поможет сократить проброс 100500 портов до одного - для ВПН. Была бы корпаративная сеть так и сделал а для баловства и этого хватит.