встречал подобную схему..  скорее всего там не роутер, а распределитель для vlan.. для dlink dir100 есть прошивка vlan switch на эту тему, как вариант… при этом провайдер  не разрешает ставить свое оборудование вместо него...  если же там действительно стоит роутер, то пров какой то не правильный получается))) во-первых он не ведет логов кто куда ходил (что по нынешним законам обязан), во вторых как он учет скорости или трафика ведет?... это же геморой жуткий.

В качестве варианта можно предположить атаку ICMP redirect net. Входящий ICMP на LAN pfSense разрешен? Если да и любого типа, запретить, перезагрузиться и смотреть что будет.

Всем спасибо! Проблему решил, пока тестирую.
Решение: Скинул все на дефолт, и заново настроил (PPTP+DHCP, DHCP server, SQUID+Squidguard)
Также решил еще одну проблему, но скорей проблема моего незнания. Может кому пригодится. Вообщем дело в том, что при внесении каких либо изменений на WAN, терялось соединение с сетью провайдера. WAN UP - IP= 0.0.0.0
Как выяснилось DHCP сервер провайдера, обновляется и раздает IP автоматом, каждые 2 часа. И для получения IP, нужно звонить провайдеру, чтоб они запускали скрипт вручную((
Может кому пригодится)
Всем спасибо!

Virtual IP попробуйте.

@ivan_s90:

После перехода на PfSense может подключиться только одна из них, одновременно два PPTP подключения не могут пробиться. Это где можно глянуть?

В доке по ПФ и на форуме неоднократно обсуждалось данное ограничение. Можно и в гугле глянуть https://www.google.com.ua/?gws_rd=ssl#q=%D0%BE%D0%B3%D1%80%D0%B0%D0%BD%D0%B8%D1%87%D0%B5%D0%BD%D0%B8%D1%8F+pfsense++pptp&spell=1

@elman.e:

как отваливается так же запускается самопроизвольно спустя длительное время

HP ML350 G5 1 HDD 4GB RAM 2 ETHERNET 1 PROC

Нужно по смотреть в консоли, когда и какие демон у Вас занимают систему и анализировать Cron.
На вскидку, к примеру, такое может быть с LightSquid, если логи squid разрослись.

@dvserg:

@EndlessNameless:

@dvserg:

Планируете пустить чужаков в свою локалку? Может стоит подумать об отдельной сетке для Wifi ?

ну так то логично… хотя там дети с гаджетами сидеть будут.. вряд ли чего они навертят..
просто отдельную сетку под wi-fi не очень представляю как...точки то будут работать просто в режиме роутера...т.е. контролировать их не выйдет...

Еще один интерфейс на pfSense с отдельной подсеткой для WiFi и все точки доступа в режиме моста. Детки в клетке!

VLAN

Pfsense 1.2.3

Подавился печенькой  А старее ничего нет? Обновиться не пробовали?

Варианты :

Хотелось бы услышать критику
pfSense включаем ПК по расписанию через WOL
Я правильно понимаю если используем crontab -e
то имя не нужно писать в строке, так как правило будет дейстововть на пользователя которым запущено.

Спасибо огромное.
В предыдущем посте у меня ошибка, в правилах "!" не нужны, конечно.
А под подконтрольным трафиком вы имеете в виду только RDP?
Интерфейс GRE (у меня RDPIface, ближний адрес 172.16.50.2, дальний(терминал) 172.16.50.1) - для него также два похожих правила должны быть?
Типа:

RDPIface

Action        Source                    Destination            In\Out
Pass    172.16.50.2              172.16.50.1        qACK\qHighRDP

Action        Source                    Destination          In\Out
Pass    172.16.50.1              172.16.50.2        qHighRDP\qACK

Нужно ли это, если через этот интерфейс однозначно ходит только RDP?

Или вы имеете в виду, что также нужно сделать шейпинг на WAN-интерфейсе, разделив приоритеты для GRE-туннелей?
Уже для GRE-протокола?

Надеюсь, я еще не надоел…

Этот момент не понятен, включение и отключение NAT-T в настройках результата не дает, но в логах упоминается: used for NAT-T

Неверно понимаете. Речь идет о том, что один из концов туннеля смотрит в Интернет не на прямую, а находясь за каким-то устройством.
Роутер не стоИт перед одним из концов вашего туннеля? Провайдер вам случаем не выдает серый "адрес" при подключении ?

Проверьте эти моменты.

P.s. Покажите скрин NAT (Outbound).

P.p.s. И да, прошивка для вашего д-линка не последняя. Смотрите здесь - http://tsd.dlink.com.tw/. И добавьте в закладки.

большое спасибо.

tracert, ping

@RastaYak:

Надо что бы когда пользователь пытается на внешний адрес пфсенса по порту 3392 попасть, пфсенс перенаправлял его на другой внешний адрес.

Попробуйте так.

Портмаппинг INTERNET > WAN > INTERNET
http://www.thin.kiev.ua/router-os/50-pfsense/536-internet-g-wang-internet.html

Думается, что на втором Pfsense придется сделать NAT 1:1. Пробовать надо…

Я и оплачу. За хобби и увлечения нужно платить. Например некоторые радиолюбители выбрасывают по восемь тысяч долларов на один трансивер…

По ходу проблема с портами была из-за горе специалистов провайдера Билайн. Они блокировали порты.
Не раз им звонил и они говорили, что типо это на моей стороне все заблокировано.
Но после того, как мы перешли на другой тариф и нас переставили в свитче билайна на другой порт, то вуаля, все заработало сразу.
Не знаю кто у них там работает, почему они так следят за оборудованием, точнее вовсе отследить не могут.

Короче проблема решена, всем спасибо.

почему дурная?
Пользователей 150. Машина на процессоре i5

@neodiz:

Спасибо. Помогло. Т.е получается правила читаются сверху вниз ?

Угу

@bill_open:

@werter:

3. Насчет token в виртуалке не знаю, но согласен, что проблемы раньше были.

Они не были, они есть до сих пор. Именно у MS Hyper-V.

Не согласен, есть опыт у моих коллег прикручивания token от 1с8 в hyperv c использованием remoteFX

Вот и поговорили werter)))