Наметился определенный прогресс! :)
Создал VLan2 и VLan3, создал и привязал к VLan3 интерфейс Lan, назначил айпишник, включил, проверил, что в фаерволе есть разрешающее правило. Вроде, все должно быть Ок, но ни зайти по этому IP на веб-морду pfSense, ни пингануть как клиента с pfSense, так и pfSense с клиента я не могу.
В тестовой сети сейчас 3 устройства:

1. Неттоп с pfSense. WAN->re0 (10.99.0.101/24); LAN->VLan3 (192.168.8.5/21)
2. PC под управлением Win7. Адреса на сетевушке: 10.99.0.20/24 и 192.168.8.20/21
3. Коммутатор DLink пока без настроенных VLan

В итоге, доступ к web-морде pfSense с виндовой машины есть только по адресу Wan-интерфейса: http://10.99.0.101. И пинг от pfSense идет только на адрес 10.99.0.20/24
Я где-то ошибся или и правда дело в Realtek-e?

@Pashka:

@dvserg:

Поднимите последнее правило на 2 место.

поднял… эффекта нет. ???

Вышлите текущие скриншоты и файл /tmp/rules.debug мне на мыло.

Оно, спасибо. Поиском я ее не нашел, в следующий раз буду искать тщательнее.

@aleksvolgin:

В смысле Mikrotik тебе в руки?

Там вообще-то про Centos речь.
Ну а микрот, он для знающих, там порог входжения прилично выше, многим просто не по зубам.

Да, похоже гуманоиды Mikrotik разрабатывали!
Кстати, кто-то с ним работал, как отзывы?
В одной конторе стоит, возможно придётся разбираться с этой железякой.

@aleksvolgin:

так и напишите, предлагаю помочь мне за N вознаграждение.

Да они, походу, админа уволили, чтобы не платить ему вознаграждение, всё ведь и так работатет. :-) а то сидит панимашь, тунеядец.

Это не относится к теме.
Наша задача помочь и посоветовать, а что там у них и как - это их личное дело.
Навязывать свои подходы и решения неблагодарное.

уважаемый, если стоят такие задачи, то что мешает установить почтовый сервер у себя?
пользуйте корпоративные ресурсы. а на левые почтари нини.
если вопрос стоит об инсайдерских угрозах, то эта часть политики информационной безопасности применяется уже более десятилетия.
обсудите это с вашим руководителем или владельцем организации. владелец бизнеса будет заинтересован в таком решении.
паралельно придется заблокировать ещё много чего…

NAT Reflection mode for port forwards вот ответ на мой вопрос. Выставил для правил 8888 порта enable (Pure NAT) для остальных оставил по умолчанию NAT + Proxy. Убрал галку Allow default gateway switching. Теперь работает перенаправление и на wan1 и на wan2. осталось сделать openvpn и автоматическую смену wanов, чтобы wan2 был недоступен при активном wan1.

По прерываниям все нормально, проверял:

vmstat -i interrupt                          total      rate irq1: atkbd0                        189          0 irq19: uhci4+                      96965          0 cpu0: timer                    678170290      1996 irq256: igb0:que 0            2257082844      6645 irq257: igb0:que 1            2273901619      6695 irq258: igb0:que 2            2252781543      6632 irq259: igb0:que 3            2239417498      6593 irq260: igb0:link                      3          0 irq261: igb1:que 0            2247433132      6617 irq262: igb1:que 1            2256606046      6644 irq263: igb1:que 2            2234475077      6579 irq264: igb1:que 3            2228791382      6562 irq265: igb1:link                      2          0 irq266: re0                        9877          0 cpu3: timer                    678214676      1996 cpu1: timer                    678170203      1996 cpu2: timer                    678214675      1996 Total                        20703366021      60958

Уже идея поставить систему с нуля крутилась в голове, просто мало желания в ночь на работу переться.
Железо не очень древнее: Intel Quad Core, 8Gb оперы - для бордера более чем, считаю, с моим pps.
Спасибо за советы.

Может таки почитать немного про нат и как он работает? Ну хоть пару листиков а ?
Да, все должно работать.

Что вам мешает в виртуалке поднять 3-4 машины и извращаться с ними ?
Я именно так обкатываю
А то что порт не тот, дык это нат так работает. Какая вам разница с какого порта он отправлен? В правиле нат-а есть галка статик порт. Попробуйте с ней

Всё, два дня уже интернет работает как часы.
Проблема в самом деле, похоже, была в связке с внешним лог-сервером.

Спасибо!

Сетевое поддерживает до 12К
я боюсь, что может быть не стыковка между серверами. сервера будут отправлять чуть чуть больше чем нужно и это плохо.
точнее еще хуже, потому, как шлюзовое и схд не смогут столько принять одним пакетом

Включите логирование и посмотрите.

@nikolay:

Возможно я не прав, но насколько я понимаю он идёт как wan .
сильно не ругайтесь я во всём этом еще новичок.

На сайте производителя описывается TL-WR740N
http://www.tp-linkru.com/products/details/?categoryid=&model=TL-WR740N#/specifications

4 10/100 Мбит/с LAN порта
1 10/100 Мбит/с WAN порт

Если это ваша модель -  у вас 4 LAN-порта (не забываем  отключить в tplink DHCP).
И да, "из коробки" LAN-порты могут быть заклеены специальной бумажкой.

Проблему решил, тему можно закрывать.

Все, проблема решена. В Английской ветке подсказали. Надо было в настройках клиента филиала в remote networks добавить сеть vpn по которой ноутбук подключается к главному оффису…

@savannah1991:

Всем спасибо,особенно dvserg, проблема решилась как я и описал выше,исключил нужную подсеть в сквиде и добавил NOT to destination в правиле подсеть!

Приятно, когда человек схватывает на лету.
Но я бы сделал слегка по другому.
В squid есть свой способ ограничения скоростей (общий и на-клиента).
И можно настроить для клиентов ограничение в SQUID, а в правилах файрвола с шейпером ничего не делать (если задача только такая).

Полазив по интернету нашёл программу Bat To Exe Converter на сайте www.f2ko.de,
которая позволяет создавать из батников exe-шку, в которую запихивается и сам bat-файл и
и plink.exe и приватный ключ. При работе всё это распаковывается, после отработки удаляется.
В принципе то, что надо, не защита от хакеров, но что-то.