Кажется я разобрался на домашнем лаб.стенде, завтра попробую реально где нужно. Поделюсь.

Получается необходимо ввести команду с -ManagementOS:
Set-VMNetworkAdapterVlan -ManagementOS -Trunk -NativeVlanId 1 -AllowedVlanIdList 21-27 -VMNetworkAdapterName "wan1-network" ?
не могу понять смысл флага -ManagementOS, да и команда не проходит, не правильно составлена, говорит что нет такого интерфейса…

ясно, т е физический сделать так нельзя?
на линуксе достаточно включить ip forwarding и все пробрасывается, думал может тут так сработает proxy ARP

я просто даже не знаю как внести эти настройки.
Lan настроил на айпи 10.88.58.1 gateway 10.90.0.65
Wan 10.91.1.130 а вот gateway ?
и в роутинге вношу один gateway 10.91.1.129, но как на него назначить два айпи  10.38.136.0 и 10.91.0.0 я не знаю.

Именно. Такой провайдер. У нас по области несколько площадок и везде, где ростелеком, такая конфигурация. )(

@werter:

…. Советую.

Я вроде таких советов не просил… Но все равно спасибо. Как только мне это понадобиться - воспользуюсь. А сейчас ни к чему  ;)

А ТС пропал что-то (

да, дома я из под роутера (192.168.1.1) захожу

сейчас такой вот роут:

F:\Tyrant>route print =========================================================================== Список интерфейсов 13...00 ff c3 21 ff a0 ......TAP-Windows Adapter V9 12...00 00 00 00 00 10 ......Сетевая карта Realtek RTL8168C(P)/8111C(P) Family PCI-E Gigabit Ethernet NIC (NDIS 6.20)   1...........................Software Loopback Interface 1 =========================================================================== IPv4 таблица маршрута =========================================================================== Активные маршруты: Сетевой адрес          Маска сети      Адрес шлюза      Интерфейс  Метрика           0.0.0.0          0.0.0.0      192.168.1.1    192.168.1.23    266         127.0.0.0        255.0.0.0        On-link        127.0.0.1    306         127.0.0.1  255.255.255.255        On-link        127.0.0.1    306   127.255.255.255  255.255.255.255        On-link        127.0.0.1    306       192.168.1.0    255.255.255.0        On-link      192.168.1.23    266     192.168.1.23  255.255.255.255        On-link      192.168.1.23    266     192.168.1.255  255.255.255.255        On-link      192.168.1.23    266       192.168.2.0    255.255.255.0      192.168.8.5      192.168.8.6    20       192.168.5.0    255.255.255.0      192.168.8.5      192.168.8.6    20       192.168.8.1  255.255.255.255      192.168.8.5      192.168.8.6    20       192.168.8.4  255.255.255.252        On-link      192.168.8.6    276       192.168.8.6  255.255.255.255        On-link      192.168.8.6    276       192.168.8.7  255.255.255.255        On-link      192.168.8.6    276         224.0.0.0        240.0.0.0        On-link        127.0.0.1    306         224.0.0.0        240.0.0.0        On-link      192.168.1.23    266         224.0.0.0        240.0.0.0        On-link      192.168.8.6    276   255.255.255.255  255.255.255.255        On-link        127.0.0.1    306   255.255.255.255  255.255.255.255        On-link      192.168.1.23    266   255.255.255.255  255.255.255.255        On-link      192.168.8.6    276 =========================================================================== Постоянные маршруты:   Сетевой адрес            Маска    Адрес шлюза      Метрика           0.0.0.0          0.0.0.0      192.168.1.1  По умолчанию

в IPv4 Remote network 192.168.1.0/24 добавил, перестало пинговаться даже 192.168.10.1 (правда когда я добавил в IPv4 Local Network/s OPENVPN  - 192.168.10.0/24 - стало пинговаться, но 10.2 - нет)

по поводу камеры - ничего там не стоит, да и в любом случае должно на 192.168.5.1 заходить… а ничего из этого не пингуется...

openvpn.png
lan.png
wan.png
pptp.png
openvpn_.png
ooo.png
openvpn.png_thumb
lan.png_thumb
wan.png_thumb
pptp.png_thumb
openvpn_.png_thumb
ooo.png_thumb

А попробуйте в англоветке спросить.

в чанжлог попадает ~30% от изменений.
Мне очень часто приходилось обновляться ради проблемных вещей.
Я уже привык к политике микротика - "не сломается сейчас, значит сломаем завтра". Ещё ни 1 безпроблемной прошивки не встретил :)

Ага, спасибо!)) Буду пробовать..

у меня редирект вообще пустой, где то читал что при прозрачном прокси он не будет отрабатывать

@XenonRaite:

текущую схему рисовал на скорую руку(((
В нутри тунеля всё супер.

Но немного другое имел в виду.
Чтобы клиент не находящийся в впн сети, имел доступ через pfsense к одному порту определённого ПК находящемуся в впн сети сервером которой является pfsense

Подобная задача решалась. Но быстрый поиск ничего не дал  :'(
Советую настроить клиент-серверный вариант\второй OpenVPN-сервер, подключаться внешними клиентами и рулить этим делом правилами fw.

А былобы не плохо)))
все никак не запущу, pptp по всем инструкциям как не настраивал не идет и все….

Ради интереса попробовал поднять на freebsd 8.4 и pfSense 2.2 сквид 3.4, все работает уже двое суток, ни каких проблем, но на pfSense 2.1.5 хелпер у этого сквида вылетает так же как и у 3.1, 3.3. :-[ :-[

На сенс 2.2 пока не хочу переходить.

@werter:

В обоих направлениях используется пассивный режим ftp (как самый удобный).

Направление только одно - это режим работы ftp-сервера.

В "обоих направлениях" у меня имеется в виду следующие противоположные относительно шлюза pfSense направления:
1. ftp клиенты из LAN на ftp серверы в Интернете
2. ftp клиенты из Интернета на мой ftp сервер в DMZ
Для каждого направления в 2.1.x было одно автоматическое решение (модуль трассировки ftp), в 2.2 разные решения.
А если в п.1 внешний ftp сервер работает в активном режиме, пусть идет в пень, не собираюсь в фаере вручную настраивать/разрешать ему проход ко мне в LAN к ftp клиентам. Никто еще не жаловался.

Насчет модуля трассировки ftp в моем предыдущем посте - в дистрибутиве pfSense 2.1.4 в файле usr\local\share\protocols\ftp.pat упоминается его необходимость (tracking module):

Usually runs on port 21.  Note that the data stream is on a dynamically assigned port, which means that you will need the FTP connection tracking module in your kernel to usefully match FTP data transfers.

Первым же делом все это пробовал. И настройки и логин пароль пользователя и ip.
Завел всех в каптивный портал сделал там авторизацию по мак и сделал привязку ip-mac в DHCP сервере, чисто что бы резать скорость индивидуально и фильтровать сайты через squidguard. pppoe сервер вообще отключаю. Вопрос закрыт.

@werter:

Попробуйте сменить прерывания. Можно путем перетыкания в др. разъемы на мат. плате.

Забил. С интелом начало тормозить. Поставил третий 3COM, который 3с905С, с малюсеньким чипом и без дополнительных внешних чипов. Завёл LAN через него. Вот уже несколько часов - полёт нормальный.

Промежуточный результат обсуждения с разработчиками (ветка https://forum.pfsense.org/index.php?topic=88215.0):
сказали, что сеть 100.64.0.0/10 будет исключена из автоматически обновляемого файла /etc/bogons (Should be removed from there - https://redmine.pfsense.org/issues/4379)

@derwin:

русские соц сети и русские аномайзеры в списке есть? есть такая информация?

Соц сети точно блочит и блочит неплохо, думаю и анонимайзеры тоже. Вообще легко глянуть, пробежавшись по списку в скачанном блеклисте.

То есть Groups ACL создаю группу для пользователя и там блокирую всё кроме какого то сайта? или я неправильно понял.