@werter: В гугле static ip openvpn P.s. Если у Вас клиенты вер. 2.3.х, можно на сервере поставить галку на Topology , чтобы при подкл. получали один ip , а не подсеть из 4-ех адресов. Благодарю!

как минимум поставить галку Enable Access Logging и дорогу к логам посмотри Log Store Directory /var/squid/logs ну и подождать пока на собираются логи.

Transparent - это когда трафик принудительно и без ведома клиента направляется в прокси. Explicit - это когда клиент знает о наличии прокси и с помощью специальной магии договаривается последним, чтобы он за него запрашивал странички. Если вы прописываете прокси в браузерах, то trasparent режим вам не нужен.

но это мне не подошло ибо бегать и менять на 50 машинах TTL ttl меняется один раз - на шлюзе. И ссылки на 4pda как раз об этом. Далее Свисток вставляется в железный роутер. На роутере шаманите с ttl. Пакеты уходят с правильным ttl. Какая разница у кого какой ttl до этого был в локальн. сети, если пакет уходит с правильным ttl от роутера ? Пробуйте с железным роутером. P.s. Вот готовое решение по модемам - http://4pda.ru/forum/index.php?showtopic=582284&st=19820#entry46975186 Раз сделали - и всё. А для страховки вместо файла hosts исп. dnsmasq на пф, вбив туда адреса для блокировки.

Мониторьте. Вам там виднее на месте.

@Dmitriy: @werter: Шта ?! А как же виртуализация ? Ее скоро кофеварки поддерживать будут. Какие еще "железки" ? https://www.proxmox.com/en/ же. Зачем к словам придираться. Не важно где биндец сидеть будет: на виртуалке или реальной железке, а важно то, что надо будет его админить отдельно от pfSense, а хотелось бы OOB. Я за язык не тянул - сами сказали, что "железка". Мне уже лень в шеле мучиться, хоца тыкать мышой. Старею наверное.  Вот в чём соль. Как вариант - Zentyal, Nethserver, Webmin (?) P.s. А что , если bind установить в jail на пф ? http://ghanima.net/doku.php?id=wiki:pfsense:creatingjails http://ghanima.net/doku.php?id=wiki:pfsense:samba4jail http://ghanima.net/doku.php?id=wiki:pfsense:packagebind9forsamba4 P.p.s. Подумалось, что в 2.3 bind не будет, но есть же unbound  https://calomel.org/unbound_dns.html  ?

файл /var/dhcpd/dev переполнен на 100%. И везде там DHCP сервер работает нормально. Более того, на pfSense, где DHCP не поднят вообще - тоже заполнение 100%.

@pigbrother: вот это похоже поможет,т.к WAN 192.168.100.232 Не очень яcно, как вы получите доступ к pfSense снаружи из интернета. pf для попробовать в этой сетке,на нее порт проброшен,еслиб сразу на внешку поставил данный затык не возник бы

Удалял не помогает

Могу ошибиться, но я вижу со стороны  pf 2.2.6 (HOME) только gre (192.168.5.0/24    192.168.31.2    UGS            351            1400    gre0), ipsec не вижу. Cо стороны pf 2.1 (ZAVOD) вижу два gre : 192.168.1.0/24    192.168.30.1    UGS            0    24                    1400    gre0    192.168.2.0/24    192.168.31.1    UGS            0    4                    1400    gre1 P.s. И не пингуйте концы туннелей или адреса пф за ними. Пингуйте адреса лок. машин за туннелями. Только у всех машин за пфсенсами шлюзами\gw в настр. сетевых  должны быть  ip-адреса их пфсенсов.

Это конечно выход из ситуации не спорю, но искал решения через сам шлюз. Если форвардеры в DNS(AD) направлены на pfSense, то как раз сработает вариант с Host Overrides в DNS-Advanced на pfSense.

@werter: Доброе. У меня WANы - untagged каждый своим VLAN ID, а порт LAN pf - tagged всеми VLAN ID WAN-ов + untag VLAN ID общим. Но у меня свитч HP + pf как вирт. маш. на ms hyper-v. Tagged порт 3 свитча подключен к pfSense, созданы интерфейсы VLAN2 и VLAN3 VLAN ID у WAN портов должны быть разные и untagged.  Порт WAN pfsense должен быть tagged обеими VLAN ID WAN-ов. LAN pfsense должен untagged отличным от предыдущих VLAN ID или вообще его VLAN не трогать. Может стоит сменить сетевые на что-то прилично-гигабитное, типа intel, broadcom ? Ну и 3com superstack 3 switch 4200 firmware download в гугле. Только внимательно, т.к. их там целое семейство. Вроде как по моей схеме (см конфигурацию со свитча) все именно так - оба WAN (порты 1 и 2) на свитче - каждый в своем VLAN со своим  VLAN ID и оба untagged. Порт 3 свитча - tagged и подключен к WANp fSense. Lan порт unatagged и входит в дефолтный VLAN1 (порты  4-26). Адаптер fxp0 - как раз intel. Прошивки видел, их действительно много, надо не ошибиться моделью\версией железа и пр.

Здесь в ветке подробно описал и проблему, и как его решил: https://forum.pfsense.org/index.php?topic=107633.0

Вебморда переписывает конфиг сквида заново. Все ручные изменения теряются.

Нет , графики взяты с моего провайдера, для него это входящий трафик, для меня исходящий. Я связался с ним, они говорят что-то не правильно в конфигурации BGP. Спасибо все таки.  :( :( :( :( :( :( :( :(

Я уже писал, что в режимах SSL/TLS topology subnet обязательна для использования OSPF. В новых версиях она, похоже, будет топологией по умолчанию.

где можно увязать версию протокола SSL\TLS к каждой версии библиотеки OpenSSL Еще отвечая на первый пост пробежался по openssl.org. Прямого указания на на соответствие версий OpenSSL и "официальной" версии не нашел. Может оказаться, что такой информации не существует вовсе. Тут https://ru.wikipedia.org/wiki/OpenSSL Указывают, что OpenSSL 1.0.1 поддерживает TLS v1.2 Вдогонку. Из клиентского лога (verb 3): Fri Feb 26 20:07:52 2016 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA

к сожалению ключевое слово, здесь "Pretty sure" так я попробовал с самого начала.  не работает. пишет неверное имя пользователя или пароль.

@werter: А то что к этим серверам он по защищенному каналу подкл ? С этим никак не связано ? Или к нестандартным портам ? У меня НЕ прозрачный прокси. Секция SSL Man In the Middle Filtering - не задействована насколько я понимаю squid дает подключиться, squidguard даже с добавленными в белый список темиже адресами что и в сквиде - это все дело блочит. т.е дело все в пакете сквидгуард. как ему дать понять что пропусти к этим адресам - мне не понятно, разьясните у меня есть шлюз pfsense 2.0.1 со сквидом 2.9.7 и сквидгуардом - так тот без проблем все пропускает поэтому делаю вывод что дело в пакете squidguard именно в новой конфигурации если есть дельные предложения как решить вопрос - предлагайте попробую

Можно обойтись и без pfSense. Кинетик (любой другой роутер с кастомной прошивкой OpenWRT/Tomato) + сервис фильтрации DNS (ЯндексDNS, SkyDNS) с фильтрацией по категориям.