Offtop :
Если не заведется , то можно попробовать поднять тот же Elastix (даже на ВМ можно)
http://icluzo.livejournal.com/ - просто шикарнейший сайт по настройке и работе с Elastix.

Спасибо.

Сильно подозреваю, что у вас HiLink модем. Может это поможет http://usenet.su/showthread.php/857443-Huawei-HiLink-E303#post7002481

Google -> IPsec + pfsense.
Об чем вопрос-то ?

перешил модем прошивкой HILINK. Как советовали выше, вроди должно стабильней работать. НО ! Как сетевая он не определяется.. точнее вообще никак не определяется.
Почему usb_modeswitch его не видит ?

[2.1.2-RELEASE][admin@pfsense.localdomain]/root(2): usbconfig
ugen0.1: <ehci root="" hub="" intel="">at usbus0, cfg=0 md=HOST spd=HIGH (480Mbps) pwr=SAVE
ugen1.1: <ehci root="" hub="" intel="">at usbus1, cfg=0 md=HOST spd=HIGH (480Mbps) pwr=SAVE
ugen0.2: <product 0x0024="" vendor="" 0x8087="">at usbus0, cfg=0 md=HOST spd=HIGH (480Mbps) pwr=SAVE
ugen1.2: <product 0x0024="" vendor="" 0x8087="">at usbus1, cfg=0 md=HOST spd=HIGH (480Mbps) pwr=SAVE
ugen0.3: <huawei mobile="" huawei="" technology="">at usbus0, cfg=0 md=HOST spd=HIGH (480Mbps) pwr=ON

[2.1.2-RELEASE][admin@pfsense.localdomain]/root(3): usbconfig -d 0.3 dump_device_desc show_ifdrv
ugen0.3: <huawei mobile="" huawei="" technology="">at usbus0, cfg=0 md=HOST spd=HIGH (480Mbps) pwr=ON
ugen0.3.0: umass0: <huawei 0="" 3="" technology="" huawei="" mobile,="" class="" 0,="" rev="" 2.00="" 1.02,="" addr="">bLength = 0x0012
  bDescriptorType = 0x0001
  bcdUSB = 0x0200
  bDeviceClass = 0x0000
  bDeviceSubClass = 0x0000
  bDeviceProtocol = 0x0000
  bMaxPacketSize0 = 0x0040
  idVendor = 0x12d1
  idProduct = 0x1f01
  bcdDevice = 0x0102
  iManufacturer = 0x0002  <huawei technology="">iProduct = 0x0001  <huawei mobile="">iSerialNumber = 0x0004  <ffffffffffffffff>bNumConfigurations = 0x0001

А тут не находит

[2.1.2-RELEASE][admin@pfsense.localdomain]/root(5): usb_modeswitch -v 12d1 -p 1f01 -V 012d1 -P 014db -M "55534243123456780000000000000a11062000000000000100000000000000" -W
Taking all parameters from the command line

usb_modeswitch: handle USB devices with multiple modes Version 1.2.1 (C) Josua Dietze 2011 Based on libusb0 (0.1.12 and above)

! PLEASE REPORT NEW CONFIGURATIONS !

DefaultVendor=  0x12d1
DefaultProduct= 0x1f01
TargetVendor=  0x12d1
TargetProduct=  0x14db
TargetClass=    not set
TargetProductList=""

DetachStorageOnly=0
HuaweiMode=0
SierraMode=0
SonyMode=0
QisdaMode=0
GCTMode=0
KobilMode=0
SequansMode=0
MobileActionMode=0
CiscoMode=0
MessageEndpoint=  not set
MessageContent="55534243123456780000000000000a11062000000000000100000000000000"
NeedResponse=0
ResponseEndpoint= not set

InquireDevice enabled (default)
Success check disabled
System integration mode disabled

Looking for target devices …
  searching devices, found USB ID 12d1:1f01
  found matching vendor ID
  searching devices, found USB ID 8087:0024
  searching devices, found USB ID 8087:0024
  searching devices, found USB ID 0000:0000
  searching devices, found USB ID 0000:0000
No devices in target mode or class found
Looking for default devices ...
  searching devices, found USB ID 12d1:1f01
  found matching vendor ID
  found matching product ID
  adding device
  searching devices, found USB ID 8087:0024
  searching devices, found USB ID 8087:0024
  searching devices, found USB ID 0000:0000
  searching devices, found USB ID 0000:0000
Found device in default mode, class or configuration (1)
Accessing device 005 on bus 000 ...
Error opening the device. Aborting.</ffffffffffffffff></huawei></huawei></huawei></huawei></huawei></product></product></ehci></ehci>

@werter:

P.s. Повторюсь в к-ый раз. Если в Вашей ситуации возможно оставить только pfsense, избавившись от остальных устройств - избавляйтесь.

P.p.s. И да, вьюноша, не стоит сразу пытаться послать куда по-дальше. Ибо останитесь со своим "огородом" и своей глупостью наедине.

оставить невозможно, слишком мало использую пфсенс что бы ему безусловно доверять.
приходится копать грядки!
если я вас чем то задел, извиняюсь:)
вчера создал правило, могу заходить на веб морду пфсенсы, а теперь осталось разобратся, как из сети пфсенса сделать доступ сети убунты, на один лишь комп, и доступ таким образом, что бы можно было лишь заходить в расшаренную папку убунтового клиента, с машинки под управлением Win7. Вроде как надо открыть доступ к ip xx.xx.xx.122 по портам NetBios и еще чего то там.  Главное что бы широковещательные запросы с другой сети не просачивались, а то создал бридж+интерфейс…ребут компа клиента....вуаля, DHCP сервер бубунты просочился в сеть пфсенсы и давай им там свои IP присваивать ;D
ужс

Как разделить dhcp ? (ну что бы, допустим, server не давал адреса компам за client2, а то он же свой шлюз дает, чего мне не надо )

В настройках Томато на LAN откл. DHCP. Далее , идете в Advanced - > DHCP / DNS Server (LAN) - > Dnsmasq Custom configuration :

interface=br0 dhcp-option=br0,3,192.168.x.x # указание шлюза по-умолчанию для DHCP-клиентов dhcp-range=br0,192.168.x.x,192.168.x.y,255.255.255.0,15m # диапазон адресов для DHCP-клиентов и длительность резервирования адреса dhcp-option=br0,6,8.8.8.8,8.8.4.4 # адреса DNS серверов, выдаваемые DHCP-клиентам

Адресацию и названия интерфейсов, ес-но, исп-те свои. Более подробно о конфигурировании Dnsmasq ищите в гугле.

РЕШЕНИЕ НАЙДЕНО!

надо в строчке local ip address писать 0.0.0.0, ну или хз че, может адрес удаленного сервака к которому подсоединяюсь.

Вообщем, я прописал 0.0.0.0, на эту мысль меня подтолкнуло гугление самой строчки pfsense: local ip address
и авторская статья
http://fk88.blogspot.ru/2012/12/pfsense-pptp.html

спасибо автору статьи огромное:)
всем учавствующим, так же, спасибо.
я сам затупил, никогда этого просто не делал:(
по поводу open vpn надо будет разобраться, так как я по ней делал, но в конце уткнулся
я создал юзера open vnp, pfsens схавал сертификаты, создал интерфейс (OPT1), но в настройках интерфейса нифига не понял что указывать, то ли none, или static, или dhcp;pptp;l2tp :o испробовал все, но так ничего и не заработало. указывал гейтом OPT, иду на 2ip.ru, а там мой реальный IP, т.е. не работает.
вообщем, если есть идеи, прошу высказаться.

@ Alexey2014

Прочтите ЛС.

Если срабатывает Common ACL вместо группового, то значит в групповом Вы не правильно задали Source параметры, и он не видит нужные клиентские компы.

https://forum.pfsense.org/index.php?topic=20984.0

Делайте бэкап конфига, заливайте его на новую машину с pf, переназначьте интерфейсы на этой машине (если требуется), удаляйте VirtBox\VmWare на старой, перезагружайте старую, проверьте\исправьте правильность сетевых параметров на ней.

Cоздать руками правило во Floating Rules с высоким приоритетом, где в Source будет локальный ИП этого терминала, а в Dest. - куда он будет коннетиться.
После этого сделать Reset states.

Вар 1 (с бубном)
1. http://unix.stackexchange.com/questions/117023/expanding-the-disk-size-on-pfsense-under-vmware-esxi

Вар 2 (проще)
2. https://forum.pfsense.org/index.php?topic=52580.0

A fresh install is almost certainly easiest and quickest. Unless you have done extensive custom mods to the system just backup your config and restore it afterwards.

@Anahaym:

Может ли блокировка от "подбора" пароля заблокировать хост с которого идёт подбор?

Может и блокирует. Поправлю dvserg, @37 - это правило именно блокировки, а не антиблокировки

Как выключить эту блокировку 37-ым правилом? кроме перезагрузки PFS?

Очистить таблицу webConfiguratorlockout, Diagnostics->Command:

pfctl -t webConfiguratorlockout -T flush

А вот почему у вас это правило сработало при попытке доступа к сторонним сайтам - это отдельный большой вопрос, как и TCP флаги в логе

Делал я это. Reset states после этого тоже делал. Может быть следовало перегрузить сам pfsense, не знаю, вероятно.

Пояснения по моим интерфейсам: Lan это общие правила LAN10, 20 и 30. Lan60 будущие сервисные компании, которые надо будет ограничить по контрактной полосе. WAN2811 это спутниковый интерфейс (через роутер Cisco), 3G_ETH это 4G маршрутизатор Huawei E5172.

Почему я осерчал и совсем прибил squid. Раньше он неплохо кэшировал всякие обновления программ, антивирусов и windows. Но сейчас увидел что попаданий в кэш 0.0%. "Оно нам надо?".


а как проверить работу NAT ?
сейчас переключили на другой интерфейс этого же провайдера - всё работает?
можно проверить как-нибудь проверить на железные ошибки. Может что случилось с сетевой картой?

@dr.gopher:

Вы можете сделать
1.  резервирование в ДХЦП
2.  в файле usr/local/etc/lightsquid/realname.cfg  лайт сквида прописать имя владельца либо мак адрес с его IP. В отчетах будете видеть имя юзверя.
http://www.thin.kiev.ua/router-os/50-pfsense/495–http-squid-lightsquid-pfsense-20.html

Спасибо за ответ, только руками заполнять там замучаешься - это для гостей вифи.
Руководство боится что могут придти дяди в штатском, и готовятся :). В общем хотят и мак и имя видеть.

Так вот,

в /etc/hosts есть записи вида:

dhcpleases automatically entered

192.168.1.134  android-c521ed66f2024dd.gw android-c521ed66f2024dd            # dynamic entry from dhcpd.leases

В  /var/dhcpd/var/db/dhcpd.leases есть запись, откуда видимо берется все.

lease 192.168.1.134 {
  starts 3 2014/04/23 12:22:25;
  ends 4 2014/04/24 12:22:25;
  tstp 4 2014/04/24 12:22:25;
  cltt 3 2014/04/23 12:22:25;
  binding state active;
  next binding state free;
  rewind binding state free;
hardware ethernet 00:aa:70:7b:b7:13;
  client-hostname "android-c521ed66f2024dd";
}

так вот, где бы поменять по простому, чтобы он ещё и этот  hardware ethernet дописывал?

зарегистрированное доменное имя mail.company.com
необходимо из локальной сети отправлять почту указывая в настройках доменное имя mail.company.com

Если у вас в сети есть свой DNS сервер - создайте на нем A-запись - mail.company.com имеет локальный адрес. Затем для проверки сбросьте на раб. станциях ДНС кэш (ipconfig /flushdns от имени Администратора) и проверяйте тем же ping-ом.