Поддерживаю. Нужный мануал получиться может.

Спасибо учасникам: werter, pigbrother Все заработало путем добавление и удаление правил фаервола и режимов подключения mode = phase1_mode_aggressive; mode = phase1_mode_idp;

Все установил как обычно, с настройками по умолчанию. На workstation нет никаких проблем, с настройками по умолчанию. Не понимаю, почему на ESXI не работает.

Спасибо покопаю!

@bill_open: И не говорите, нужно, нужно. ;) Да! В данный  момент у меня нерешенных вопросов как бы нет, но то, что они могут  возникнуть - несомненно.

Тогда должно работать. На скриншоте не виден пункты: OpenVPN Server Client Connection Behavior Certificate Export Options Их нет или они не попали на скриншот?

@werter: У NVR шлюзом должен быть лан-адрес пф. Это важно. Проверьте. У NVR настройка lan 192.168.20.50/24; gw 192.168.20.1 dns1192.168.20.1 dns2 8.8.8.8 забыл указать что у него прописан шлюз собственно с выходом в инет у него нет проблем, да и нужно лишь доступ к серверу времени, что отлично работает @werter: Доброе. Откл. блокирование серых сетей на ВАН прежде всего. отключил. с сети 192.168.17.0 не проходит все равно. с машины с адресом 192.168.17.90 сделал трасировку на адрес 192.168.20.50 вторым пунктом был тамошний ван интерфейс и попытка уйти дальше в инет. да, 192.168.17.1 тот который на схеме Р3 тоже на сенсе я так понимаю там таки стоит прописать еще один шлюз с адресом моего ВАН3 интерфейса только для какого интерфейса тот самый шлюз указывать? если для LAN то не пойдут ли ВСЕ пакеты на моего пациента? а вообще я могу дать доступ по тимвиеру, если вдруг кто то альтруистически настроен

Если Windows 10 находится за NAT, то на обычном l2tp/ipsec не выйдет, хотя с mikrotik при похожих настройках почему-то получется. на wiki это явно прописано на самом верху. Users have reported issues with Windows L2TP/IPsec clients behind NAT. If the clients will be behind NAT, Windows clients will most likely not function. Consider an IKEv2 implementation instead.

С радостью, но пока сама теория говорит, что этот способ не панацея, а именно в том, что не только динамическими портами можно захламить канал. С уважением ко всем гуру.

@werter: Стоп. А что сквид в пф уже так умеет ? Или у вас сквид отдельно установлен ? Если вы про мою запись “в 2.1 без squid” то я имел ввиду, что всего лишь нужно исключить локальный ip из обслуживания сквида(Bypass Proxy for These Source IPs). Извините, если запутал вас( Дополню. Ну а если вы все таки про ssl bump,  то я не пробовал, но на голом сквиде по инструкции с хабра все работало.

Спорить не буду, как корпоративный гипервизор устраивает ms.

Сталкивался. Помогло толькл добавить в сквиде  исключение, а так как ip у сберабанк много, то исключал локальные ip. P.S. проблему наблюдал на пф2.1.х P.s.s. более того, со сквидом не работали и другие сервисы, точно помню, что перископ не работал.

Спасибо большое за информацию, очень кстати полезная!!!!

Да, проблема решилась удалением OPT1 и установкой PPPoe соединения на WAN порт. Спасибо werter :)

изначально поставил всю связку! Сквид + гвард + статистика! Понял что- что то не работает - удалял по одному пакету! потом плюнул удалил все! удалил руками папки сквида! Ребутнул ос. С нуля поставил сквид! И пробую уже на нем! Никаких доп опций не включал. разница только в одной галке - прозрачный или нет.

Странно. Пф же не может ничего блокировать внутри сети. Проверьте логи на вашем сервере антивир. Зы. Попробуйте добавить адрес сервера антивир. в искл. (dest) в настройках сквида.

Доброе. Переводить в другую подсеть тоже не лучшая идея. Как бы так провернуть, чтобы и ip не менять и соединение было VPN клиентов с сервером. Может virtual ip поднять или vlan? Попробуйте proxy arp: http://xgu.ru/wiki/Proxy_ARP http://olivier.cochard.me/reseaux/pfsense/case–solving-problem-with-nat

Использую со времен pfSense 2.0 Последние версии требуют наличия в системе NET Framework Version v4.6