большое спасибо.
я  первым делом  так и сделал, но допустил одну  ошибку которая и сыграла  главную роль
вместо proto=all  оставил proto=tcp и в итоге трассировка у меня ходила по старому маршруту.
проблема решена.
огромное спасибо.  комментарий в личке.

ну так в одной области крутимся ;)

На моем объекте, зарезав по скорости социалку и *тубы, освобожу приличную полосу…

Если адреса ресурсов в сетях провайдеров не совпадают, то можно воспользоваться явным заданием маршрутов к интересующим Вас адресам.

Нашел сам ответ. Драйвер сетевой карты должен поддерживать ALTQ. Поэтому usb сетевые карты не поддерживаются. Тема закрыта.

Кроме того, при наличии usb-сетевой карты, у меня значительно возрастала нагрузка на процессор. pfSense пинговался вместо 0-2 мс до 200 мс. В логах постоянно появлялись строчки:
pfsense kernel: Bump sched buckets to 256 (was 0)

pfSense 2.1.2 x86 @VMWare ESXi 4.1

Services: DNS forwarder -> Host Overrides и/или Domain Overrides

Это если у ТС в кач-ве первого DNS стоит адрес Pfsense. Но та же Win "смотрит" сперва hosts , а только потом опрашивает указанные в настройках DNS.

У меня вообще 2.1.1 зачастую графики не рисует…

3.0.6 на днях обновился. Перечитайте список плагинов, правда не знаю как  ::)

squid и торренты и неправильная настройка фаервола = мегазло. установил на новой машине минимум, ipcad + lightsquid + cron + Open-VM-Tools. установленный заранее squid squidguard снесены, ибо увидел что попаданий в кэш чуть больше 0%. В прошлой реализации моего сквида попадание было под 30-40%, за счет обновлений всяких программ.

торренты отловил snort-ом на прошлой машине. (после непонятно чего, перестала идти маршрутизация; откат на бекапы не помог.)

Вопрос. ipcad в такой настройке только входящий трафик считает? У отловленных пользователей мной были прибиты торренты со стоящими на раздаче файлами, т.е. актуальноть подсчета всего трафика велика.

tolog.sh

#!/bin/sh net1="10.0.0" net2="10.0.1" net3="172.31.8" ttime=`/usr/bin/rsh localhost sh ip acco | grep 'Accounting data saved' | awk '{print ($4)}'` rsh localhost clear ip accounting rsh localhost show ip accounting checkpoint | grep $net1 | awk -v vtime=$ttime '{if ($5 != 0) print (vtime".000",1,$2,"TCP_MISS/200",$4,"CONNECT",$1":"$5,"-","DIRECT/"$1,"-")}' >> /var/squid/logs/access.log rsh localhost show ip accounting checkpoint | grep $net2 | awk -v vtime=$ttime '{if ($5 != 0) print (vtime".000",1,$2,"TCP_MISS/200",$4,"CONNECT",$1":"$5,"-","DIRECT/"$1,"-")}' >> /var/squid/logs/access.log rsh localhost show ip accounting checkpoint | grep $net3 | awk -v vtime=$ttime '{if ($5 != 0) print (vtime".000",1,$2,"TCP_MISS/200",$4,"CONNECT",$1":"$5,"-","DIRECT/"$1,"-")}' >> /var/squid/logs/access.log chown proxy:proxy /var/squid/logs/access.log

ipcad.conf

# # Simple configuration file for ipcad. # Copyright (c) 2001, 2002, 2003, 2004 # Lev Walkin <vlm@lionet.info>. # # Please see ipcad.conf.default file or ipcad.conf(5) manual page for # complete file format explanation. #  /usr/local/etc capture-ports enable; # Enable ports capturing for RSH (no effect on NetFlow). interface "em2_vlan10" filter "ip and dst net 10.0.0.0/24 and not src net 10.0.0.0/24"; interface "em2_vlan20" filter "ip and dst net 10.0.1.0/24 and not src net 10.0.1.0/24"; interface "em2_vlan30" filter "ip and dst net 172.31.8.0/24 and not src net 172.31.8.0/24"; # Specify interfaces. #interface eth0; # Listen on Ethernet interface... #interface eth1; # ...and another onw. #interface ppp*; # Listen on all PPP interfaces. # Preserve internal IP ranges, aggregate external ones. aggregate 10.0.0.0/24 strip 32; /* Don't aggregate 192.168.0.0 */ aggregate 10.0.1.0/24 strip 32; /* Don't aggregate 192.168.0.0 */ aggregate 172.31.8.0/24 strip 32; /* Don't aggregate 192.168.0.0 */ aggregate 0.0.0.0/0 strip 32; /* Drop the last octet of all other IPs */ # Aggregate port numbers. #aggregate 1024-65535 into 65535; /* Aggregate wildly */ #aggregate 3128-3128 into 3128; /* Protect these ports */ #aggregate 150-1023 into 1023; /* General low range */ rsh enable at 127.0.0.1; rsh root@127.0.0.1 admin; /* Can shutdown ipcad */ rsh root@127.0.0.1 backup; /* Can dump/restore/import accounting table */ rsh root@127.0.0.1; /* Can view and modify accounting tables */ rsh 127.0.0.1 view-only; /* Other users can view current tables */ # Uncomment this to export NetFlow information to specified destination. # netflow export destination 127.0.0.1 9996; chroot=/var/log/ipcad; pidfile = ipcad.pid; # Will be created under /tmp memory_limit = 80m; # Dump file for -r and -s command line options. dumpfile = ipcad.dump;</vlm@lionet.info>

@werter:

Если использовать tap , то можно даже мост сделать между LAN - и OPENVPN - интерфейсами. При этом адреса OpenVPN клиентам будут выдаваться по DHCP, работающему на LAN. Могу ошибаться , поправьте, если что.

P.s. А зачем вам адреса из LAN-диапазона ?

остался на tun. добавляю изменения к созданным юзерам типа: ifconfig 10.0.0.6 10.0.0.5. раздавать айпи из LAN прадва бессмысленно  ;D

Директивы route, push "route …", iroute смотрите\изучайте.

http://forum.ixbt.com/topic.cgi?id=14:40906 , http://forum.ixbt.com/topic.cgi?id=14:49976 читать до просветления (сам штудировал).

Спасибо за ответ. Теперь есть некоторая ясность )

Сертфикаты - в Certificates.

@ zar0ku1

1 . squid + multiwan - https://forum.pfsense.org/index.php/topic,48870.0.html
2. Если же нужно конкретно кого-то выпустить через  сквид, то в его настройках есть возможность это указать и кого пропускать мимо тоже.

Обновляться видимо нужно.
Критическая уязвимость в OpenSSL 1.0.1 и 1.0.2-beta

@dr.gopher:

@Zyo:

и понял, что проблема не только у меня. Но так и не вычитал, есть ли какое-то решение.

Вы решить ничего не сможете.
Читаем -
Ограничения PPTP
www.thin.kiev.ua/router-os/50-pfsense/569-pptp-vpn.html

@Zyo:

Может ли кто-то подсказать решение сией беды?!

1. Используйте - OPENVPN
2. Используйте программное обеспечение на основе Linux (Mikrotik, Vyatta)

Спасибо. Про ограничения я читал, но все таки надеялся, что может есть путь обхода. А по поводу использования других типов VPN - я бы с удовольствием…но это же уже инфраструктура арендаторов. Придется им объяснять с глазами шрека, что им надо перенастраивать свое оборудование))
Спасибо большое за ответ!)

below не оно?
не знаю, у меня нет squid3

нтересная ситуация. Я отключил резервный канал интернета и шлюз начал нормально пропускать меня в сеть 10.7.13.1.( за роутером).

Получается проблема в мультиване.
Возможно это как-то решить? С чего начать?

512 kbit вниз и 128 наверх.

Как насчет Гугла ?

https://doc.pfsense.org/index.php/QinQ_Interfaces

In pfSense 2.0, you can create QinQ interfaces that have nested 802.11q VLAN tags.

You must have a card that properly supports 802.11q VLANs, or the reduced MTU from using such an interface may be problematic.
QinQ is used in various places such as Metro Ethernet, or more complex VLAN setups.

When adding a QinQ interface, you select the physical (parent) interface, the top-level tag, optionally add it to a QinQ interface group, a description, and then select the member VLAN tags.

Member VLANs are added by clicking "+", and typing in a VLAN tag number. To add more, click "+" again and enter another tag. Repeat as often as needed. Members can be assigned one by one or using ranges such as 99-101.

Выделил жирным условия работоспособности. Карта ваша поддерживает данный механизм ?

P.s. Судя по MAC карта у вас от Intel (http://hwaddress.com/?q=Intel%20Corp) , но какая ?

Во время работы большинства поль-лей мониторьте нагрузку на процессор. Попробуйте отключить на PPTP шифрование.