Добрый. Cisco ASA http://www.networkstraining.com/site-to-site-ipsec-vpn-between-cisco-asa-and-pfsense/ Mikrotik OpenVPN https://forum.pfsense.org/index.php?topic=88001.msg489189#msg489189 http://forum.ru-board.com/topic.cgi?forum=8&topic=41722 IPSec http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense-m0n0wall-firewall-fritzbox-und-shrew-u-iphone-client-software-115798.html http://www.gavioli.net/ipsec-vpn-pfsense-2-1mikrotik-routeros/ https://www.youtube.com/watch?v=0-ITzy2Ms-E https://www.youtube.com/watch?v=kkLOj1ILbwE P.s. Много статей по туннелям на МТ - http://mikrotikroutersetup.blogspot.ru/ P.s2. И добро пожаловать ) P.s3. Коллеги, сохранил оффлайн копию http://mikrotikroutersetup.blogspot.ru/. Если кому надо - могу выложить. Сохранял с пом. дополнения для FF scrapbook  (фильтр по строке mikrotikroutersetup).

Из обсуждения поста по ссылке: Выпуск демона, запуск демона… экзорциста на вас нет! :)

@werter: Ну и самое главное : Там точно должна быть другая цифра  :'( Вот эта - > 0 (нуль) Вот это натолкнуло меня на мысль. ТОлько проблема была не тут (это просто скрин делал в момент экспериментов). Короче, я когда виртуальный IP добавлял, то на маску подсети не обратил внимание. А там она была 31. Исправил на 24 и всё завелось. Короче, спасибо за помощь. Карму, увы, поправить не получается.

2 klexo И обновите bios до самой последней версии.

Добрый. Какой тип ОпенВПН исп-ся - p2p или клиент-серверный ? На ОпенВПН сервере (192.168.2.0/24) добавить route до 192.168.100.0/24. Плюс на нем же явное правило fw на LAN - * LAN subnet * *  192.168.100.0/24 * и поставить его первым\повыше. А на клиенте (192.168.21.0/24) у Вас и так маршрут до 192.168.2.0/24 имеется.

TAG: icp_port Этот тэг определяет номер порта, который Squid будет использовать для отправки и приёма ICP запросов к соседским кэшам и от них. По умолчанию, номер порта 3130. Чтобы выключить использование ICP, установите значение этого тэга в "0", без кавычек. http://break-people.ru/cmsmade/index.php?page=translate_squid_reference_tag_icp_port Вероятно, нужно гуглить связку %ваш_суровый_прокси%+сквид Хотим мы этого или нет - сквид де-факто промышленный стандарт.

Может кому то будет полезным. Обновил работающую систему с версией 2.1.5 до 2.2.5 при обновлении переустановились все пакеты, а проблемный snort появился в списке пакетов предложенных для установки, я его установил и он подтянул старый конфиг сам. Всем спасибо.

так как если перезагр. пф с ненажатой Аппли, то после загрузки он всё также просит нажать эту кнопку. Именно!

Если в логах криминала нет (точно ?), то попробуйте почистить кэш сквида. Если не поможет - слейте бэкап пф, установите начистую и подгрузите бэкап. Как вариант - установить только сквид и помониторить. Далее ставить необходимые Вам пакеты по одному и снова мониторить.

и это, что то будет пересекаться с его локалкой. то вообще фиолетово =) В общем - да. Но pfSense может придти в недоумение, зачем его заставляют делать трансляцию белых адресов. ;)

@Odin2009: Можно ли и как временно разрешить отклик на tracert с WAN интерфейса? ICMP разрешены, на ping отзывается. (pfSense 2.1) И Вам доброе время суток. https://en.wikipedia.org/wiki/Traceroute Т.е. разрешать ICMP,TCP,UDP - смотря с какой ОС будете трасер запускать. А лучше , разрешите (временно!) на WAN всё-всем, вкл. логирование этого правила fw, пускайте трасер извне (!) на WAN и смотрите логи. Так будет понятно что разрешать.

@werter: Обратите внимание на 10.212.14.23. И на порт , в к-ый он подключен. это брудкаст этой подсети. которая никак не пересекается ( 10.212.14..17\19 висит в другом vlan и смотрит на этот же шлюз) проблема точно не железная, потому, что это абсолютно зеркально повтораяется на другом шлюзе.

Если через squid то установка дополнительных пакетов невозможно, так как в этот момент pfsense не запрашивает авторизацию на допуск в интернет через корпоративную сеть, соответственно появляется ошибка о недоступности пакетов

дело было не в бабине =) а свич то хоть  vlan умеет?

если из коробки не стартануло, то ищи другой =) я так же когда то дрова под свои сетевухи искал…. вышла новая версия и они там были. я и компилил и модулями скармливал и каких только танцев с бубном не делал. это урезаный дистр и здесть есть то, что есть, впихать ,что то это очень геморойно

В общем сбросил все по умолчанию и пепрописал заново. Заработало.

@werter: Вся "конструкция" у ТС дома. ахаха.. да живёт он в офисе)

@werter: @pigbrother: @werter: @deem73: Заработало!!! Плюсы в карму! http://habr.mirtesen.ru/blog/43844514982/Seti-dlya-samyih-malenkih.-CHast-desyataya.-Bazovyiy-MPLS Сам пользую и всем рекомендую. Что-то с вашей с ссылкой не так, открывается во фрейме непонятного сайта с рекламой. Вот правильная http://habrahabr.ru/post/246425/ uBlock Origin + NoScript Это, конечно, выход. Но чем это лучше, чем читать статью на странице первоисточника? P.S. И да, чем поможет ТС статья про MPLS? Вероятно это отсылка ко всей замечательной серии "Сети для самых маленьких".