Спасибо вам большое! Обязательно попробую, сейчас юзверы работают а после включении этой опции необходимо перегрузить машину, так что в обеденное время попробую и отпишусь. А по поводу что pfsense древний, ну не знаю, он работает стабильно и меня устраивает, на предыдущей работе тоже он же стоял и не разу не подводил, поэтому и решил его поставить. А вообще конечно на днях решил испробовать новую версию, т.к. очень хотелось посмотреть дополнительные пакеты, включая статистику (в этой версии не совсем прозрачная на мой взгляд) и сделал update до 2.3.2, естественно сделал перед обновлением backup которым воспользовался почти сразу, т.к. упал прокси сервер, по шлюзу можно было ходить а прокси просто перестал работать, при чем все настройки были применены от старой до новой версии. Копать было некогда в чем беда, т.к. пользователи подняли кипишь (без инета жизни нет), поэтому было решено опять по быстренькому поставить старенькую но проверенную версию.

@Karollo: У меня был установлен релиз 2.1.5, точно так же пробрасывал на нужный адрес в локальной сети. А потом переустановил на новый релиз, 2.3.2. Всё точно так же работает. В точности та же история. Все так же работает со времен 2.0, но давно как запасной VPN. Однако все равно не ясно, чего же ТС хочет получить.

Нет, не даёт.

@Forseprox: Рекомендую исп. пф как единственный роутер. Такой возможности нет, NAT собственно не нужен Больше собственно интересует вопрос: почему с отключенным натом так проблемно все работает? Если в сети несколько маршрутизаторов рекомендую почитать о State Full Firewall и ассиметричной маршрутизации.

читайте тут http://pro-ldap.ru/art/levintsa/20140626-squid/index.html#overview Почему картинка от настройки авторизации на pfsense? 1. Настроить авторизацию на squid. Можно ldap. Проверить конфиг squid /usr/local/etc/squid/squid.conf должно быть что-то вроде того auth_param basic program /usr/local/libexec/squid/basic_ldap_auth -v 3 -b "DC=my,DC=domen,DC=spb,DC=ru" -D username@my.domen.spb.ru -R -w password -f ""sAMAccountName=%s"" -u cn -P 192.168.1.1:389 Проверяем работу хелпера из консоли на ввод имени и пароля должен сказать ок 2. Далее настраиваем верефикацию. //внешний ацл external_acl_type ldap ttl=90 children=10 %LOGIN /usr/local/libexec/squid/ext_ldap_group_acl -R -b "dc=my,dc=domen,dc=spb,dc=ru" -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf=cn=%a,ou=domainkontainer,dc=my,dc=domain,dc=spb,dc=ru))" -D username@my.domain.spb.ru -w password -K -d 192.168.1.1 //создаем acl тех кто входит в группу ад FullAccess acl acl_ldap_fullaccess external ldap FullAccess // разрешаем им ходить в инет. http_access allow acl_ldap_fullaccess // остальным запрещаем. http_access deny all

Остается еще один вариант - почти любое устройство от Mikrotik, даже самое недорогое. В Mikrotik любой порт может быть LAN\WAN Потенциальная трудность - мультиван на Mikrotik возможно организовать множеством способов, у каждого из которых свои сторонники.

А может это паранойя? А ежели к вам в квартиры приходят гости/родственники и начинают пользоваться вашими вайфаями сети же у них запоминаются в смртфонах, планшетах…? Если физического доступа извне к свичам нет, видимо как-то взламывают вайфай... А не проще отказаться от DHCP, назначить компам/ноутбукам/роутерам статические айпишники, сделать в pfSense группу "посвящённых" (алиасом) с этими айпишниками, которым всё разрещено, остальным адресам обрезать всё? И, таки, да, почему роутеры включены как свичи, наверное разумнее в каждой квартире иметь свою собственную сеть а не общественную, это и безопаснее, да и шпиёна будет проще выявить!

@Buch: @Azazello: unbound: [92403:0] fatal error: could not complete write: /root.key: No space left on device Похоже закончилось место на диске. Если есть squid проверить ротацию логов. Точно! Диск заполнен на 104% Удалил некоторые файлы, перезагрузил и все заработало! Спасибо.

@MasterMad: Сделал, как вы написал, и как назло(счастье), у провайдера закончились проблемы с оборудованием…. вот теперь даже не знаю что думать... Да, не повезло. :) Главное, что сделали то, что можно и нужно было сделать.

@magdenbt: … заодно организовал DLNA сервер и PXE-сервер Доброе. Можно ли по выделенному подробнее - как настраивали ? Пригодится многим.

@magdenbt: @sweep4: @magdenbt: Вопрос решился очень просто - пакеты нужно было брать не из  http://pkg.freebsd.org/freebsd:10:x86:64/release_3/ , а из http://pkg.freebsd.org/freebsd:10:x86:64/latest/ , т.к. с тех пор сама PfSense обновилась Как на 2.3.2 репозиторий FreeBSD подключить на постоянной основе ? Я что-то разобраться не смог. Выложу заметку, которую сделал для себя Добавить репозиторий для Фри Для этого редактируем файл /usr/local/etc/pkg/repos/pfSense.conf следующей командой У меня получилось ещё проще. В каталоге два файла: /usr/local/etc/pkg/repos/pfSense.conf /usr/local/etc/pkg/repos/FreeBSD.conf В обоих в первой строчке поменял "no" на "yes": FreeBSD: {enabled: yes } Остальное не трогал, оставил as is. Не знаю, на котором из них сработало, но официальный репозиторий подцепился и обновился.

Все заработало ни с того ни сего. Странно конечно, но главное работает. Также в Phase 2 прописана подсеть kerio клиентов. В kerio прописаны подсети удаленных подсетей 10.1.5.0 и 10.1.3.0. Всем большое спасибо!!!! [image: %D0%A1%D0%BD%D0%B8%D0%BC%D0%BE%D0%BA3.PNG] [image: %D0%A1%D0%BD%D0%B8%D0%BC%D0%BE%D0%BA3.PNG_thumb]

Доброе Почему выбрано первое ? Гипер-в какой (версия) ? Физ. сетевые не интересуют. Интересует какой тип вирт сет. исп-ся в настр вирт. маш. с пф - legacy или паравиртуальная ? Аппаратное управление потоком\разгрузка выкл в наст сет карты на пф? - где это выключается на пф? Точно не скажу - нет пф перед глазами. Где-то в Адвансед.

@werter: https://forum.pfsense.org/index.php?topic=101116.0 80-ый порт на WAN должен быть открыт, но проброс делать явно не надо. Понятно. А на приведенную вами ссылку я сам и ссылался.

Ну, в окно все же придется лазить, а не ходить, да и аналогия приведенная вами лишена аргументации. Остаемся каждый при своем мнении.

Спасибо. Хорошие ссылки.

@pbx: После обновления скорее всего будут проблемы с HAVP+squid. А переносить - довольно таки много. Крайне не рекомендую исп. это связку. Куча проблем - и нуль толку. Вы теперь попробуйте избавиться от этого "антивируса". Ибо в старых вер. пф оно таааак плотно связано, что прото ужас. Даже удаление и переустановка сквида не помогает иногда. Только глубокая чистка.

Версия была 2.1.5, squid как я понял не был настроен. Место на диске, не знаю точно, диск на 80 гигов. Ротация логов тоже была выключена. Когда устанавливали, поставили squid и squid3, и там же squidGuard. И ничего не настроили. Оно 1 год проработало, и вот недавно всё упало.

@werter: Доброе. Схема с адресацией. Лучше один раз увидеть. P.s. Появилась надобность в автоматическом переключении IPsec туннеля на другой WAN для обеспечения бесперебойности. А если поднять два туннеля одновременно и исп. ospf ? Или (если это возможно) создать 2 явных ipsec-интерфейса, создать из них группу инт-сов и исп. в правилах fw на ЛАН для доступа в удаленную сеть (с опенвпн такое получалось) ? Да, IPsec невозможно добавить в интерфейсы. Поэтому невозможно ни добавить NAT через IPsec, ни добавить маршрут, доступный через IPsec в OVPN и т.д. Был бы рад, если кто-то подскажет, как это сделать.