Спасибо , что отписались о решении. P.s. https://community.openvpn.net/openvpn/wiki/Topology

Спасибо за помощь, вроде разобрался

@Skorpikus: просмотрел все по ссылке, честно говоря ничего не понял Если вы хотите выделить каждому пользователю определенную скорость http://www.thin.kiev.ua/router-os/50-pfsense/865-pfsense-limiter.html С динамическим распределением скорости сложнее http://www.thin.kiev.ua/router-os/50-pfsense/589-pfsense-20-nat.html https://forum.pfsense.org/index.php/topic,47168.0.html

блокируйте по доменному имени. например в днс-сервере укажите что домен привязан к 127.0.0.1

решил все переустановить.

http://www.linuxspace.org/archives/5667

да хттпс, просто оказалось в самом клиенте стояла галка прокси-сервера (а службу сквида пока остановил), ну и потом когда запустил сквид и стояла галка на прозрачный прокси - почему то не работала прозрачность, надо было указывать на хостах прокси (настройки выкладывал выше)… возможно в нате надо заворачивать вручную 80 порт на 3128 чтоли... времени не было пока разбираться, пока что переустановил сквид, кстати настройки подтянулись, а хотел я чистую установку пакета... кто-нибудь знает как настройки сквида скинуть в дефолт? и ещё, быстрое гугление показало, что отдельного файлика squid.conf в pfsense нет, это так да?

Добавлено, спасибо.

https://doc.pfsense.org/index.php/NAT_with_IPsec_Phase_2_Networks эта статья все решила)

@zga029: Здравствуйте, помогите пожалуйста разобраться! Как известно pfSense не способен поднять больше одного GRE туннеля, … на один и то-же хост. Поднимаете в удаленном офисе VPN сервер и подключаетесь из-вне. Если менеджеры находятся в одном офисе, то стройте один туннель с роутера на удаленный офис и кидайте всех менеджеров через него. Если менеджеры в разных местах с разными белыми IP, то настраивайте им VPN с рабочих компов и подключайте RDP как обычно.

@werter: Логи то читали FW? IP проблемного прова посмотрите там и что PfSense с ним делает. Пакеты, адресованные на проблемные порты pfsense до него не доходят, потому как рубятся чудо-провайдером. Судя по словам ТС, когда у него был Керио, то не рубился. И у меня есть подозрение, что его пров ответил про возможность подключения извне к клиентам этого прова, т.е. про блокировку портов от клиента прова в Сеть я ничего не увидел. Пусть смотрит логи Сенса и прямо спросит у провайдера про фильтрацию портов (и каких).

В англофоруме целая ветка hyper-v+pfsense отдана. Как бы намек где искать спец. дистрибутив pfsense для hyper-v. Поправят (может быть) к весне-лету след. года к 2.2 версии. P.s. Присмотритесь к Proxmox (KVM). Настоятельно рекомендую.

Я так понимаю, что вашим пол-ям разрешены любые порты(и протоколы?) во вне ? Нехорошо это - разрешите только необходимое.

Вот не понятно, можно на пальцах объяснить, на русском мануал есть? И что делать если величина MBUF Usage достигла 100%?

@werter: Какой тип соединения OpenVPN исп-ся ? 1. Директива push route на сервере или route на клиенте до нужных вам адресов. 2. Перевод NAТ на сервере в ручной режим и создание правила NAT (WAN). Тип соединения client-server. site1 - client. Какое именно правило нужно создать?

Пожалуйста. P.s. Качайте скил Внимательность :)

LinkSYS E3200, прошивкой от Tomato by Shibby v121 Обновляйтесь до v123. Сперва бэкап конф-ции! там маршрутизатор ASUS WL500W с прошивкой от Олега http://tomato.groov.pl/?page_id=69 Asus WL500W R1 264 100 Mbps 8/32MB K24 or K26 Меняйте на Tomato. Будет проще. Только сперва бэкап конф-ции сохраните Олеговский, т.с. на всякий случай. Узнайте КАК вещает провайдет - http://habrahabr.ru/post/61466/ Если по http - оч. хорошо (проще). Или покажите список каналов из тамошнего плей-листа. P.s. И да, локальная адресация в ваших сетях (за роутером) должна быть разной.

Создаю правила для WAN интерфейса: . Применяю, перезагружаю, но яндекс почему-то не блокируется… Все верно. Только наоборот - правила на LAN. Адреса для блокировки - в Destination.