Все работает. У меня в свое время (пока не собрал железку на ITX плате) работало. Две сетевухи + VirtualBox Host-Only Network. Сетевухи работали  бридже.

@werter: Хм..Тогда суем ви-фи карту в пф , создаем в нем AP и рулим правилами на ней. Это дешевле всего выйдет. Я видимо очень плохо формулирую свои вопросы и получается, что мы говорим о разных вещах. СПАСИБО за искренне желание помочь.

У вас в ЛАН2 - Вин-сервер , не так ли? Вы им рулите?

@aleksvolgin: и с разъемом x16  карты x1 Это что за жуткая словестная конструкция? Да, несколько громоздко получилось. Поправил.

Могу помочь так - https://www.google.com.ua/search?client=opera&q=pfsense+voip&sourceid=opera&ie=utf-8&oe=utf-8&channel=suggest P.S. http://www.youtube.com/watch?v=X4lJZ5ntFO4 , http://forum.pfsense.org/index.php?topic=57784.0 , https://doc.pfsense.org/index.php/VoIP_Configuration И когда настроите - объясните, как это сделали, пож-та.

А вы знаете помогло. Действительно оказался принтер с таким адресом в сети. Вопрос закрыт.

огромное спасибо за помощь! все заработало!!!

Господа, ну и балаган Вы устроили. да, организация конечно специфическая, начальству это не нужно, а может и нужно, офис, провайдер  и тд. и т.п. бл* - какая разница? Вопрос стоял КАК и КАКИМ СПОСОБОМ?….. Эт понятно = завести всех в домен, лишить прав, опломбировать системники, отрубить руки по самую шею, лишить кого то премии, уволить и др. Важно найти техническое решение, если его нет, то закончим. В других местах (офисах) эт конечно решается "легким движением руки". ДА, у них можно играть в игры, но не всем. :)))))) коллеги, давайте по существу. Для начала все таки попробую ограничить кол-во тсп. Спасибо всем, кто проникся.

Огромное спасибо за помощь pigbrother, все получилось и прекрасно работает. Очень большое спасибо. Вы знаете, в свое время количество настроек вбитых в виндовый шлюз, для получения приблизительно половины функционала который сейчас настроен на pf шлюзе, отняло у меня столько времени, хотя я прекрасно знал как и что. Постоянные поломки, обрывы связи, дорисовка статических ip и пр…ужас. А сейчас так радует краткость Rules конфига, что просто ах... Еще раз большое спасибо.

На сколько я понял - не влияет.

На сервере в OpenVPN: Server:Advanced configuration- route 192.168.1.0 255.255.255.0; На сервере в OpenVPN: Client: Advanced configuration - iroute 192.168.1.0 255.255.255.0; Плюс что у вас за второе правило в fw на LAN? P.s. Мой рабочий пример конфига для Win 7 в кач-ве клиента. Пляшите от него (обратите внимание на выделенные жирным директивы!) : dev tun keepalive 5 10 ping-timer-rem persist-tun persist-key proto udp cipher BF-CBC tls-client client script-security 2 resolv-retry infinite remote xxx.xxx.xxx.xxx 1195 tls-remote Road Warrior Server CA pkcs12 pfsense2-udp-1195.p12 tls-auth pfsense2-udp-1195-tls.key 1 comp-lzo comp-noadapt route-delay 5 route-method exe ip-win32 netsh pull verb 3 P.p.s. OpenVPN устанавливать и запускать на Vista/Win 7/Win 8 от имени Администратора. Это важно. Если не сделали этого - переустановите опенвпн. И еще.  Если у вас за вин7-клиентом есть сеть и вы хотите , чтобы она была доступна сети за сервером - включите маршрутизацию между интерфейсами - http://how-it.ru/public/root/100-vklyuchaem_marshrutizatsiyu_v_windows_xp_vista_7.html

werter Спасибо, но на два сообщения выше я написал, что нашел проблему на изначальный вопрос: System: Advanced: Miscellaneous надо поставить галочку Allow default gateway switching А теперь вот прокси-сервер сквид не хочет работать через резервнй канал\шлюз (((

И , к тому же, хотелось бы получить доступ  к вебморде пфсенса Б не через паблик адрес =) хотя это и менее критично.

Плюс если вам нужно, чтобы по rdp клиенты цеплялись только в сеть на другом конце ipsec-туннеля (а никуда угодно, как сейчас у Вас разрешено) , то я бы жестко указал еще и destination в вашем правиле.

Спасибо за разъяснения! Действительно сам напортачил с правилами, щас поправил и все ок - на внешке все закрыто.

@Foss: И правда, ничего больше не нужно было. Надо было только перезагрузить pfsense :) Спасибо за помощь в решении проблемы. Быстрее и без перезагрузки это делается в Diagnostics: Show States->Source tracking Фильтруем по нужному IP и жмем крестик

Да, маппинг WAN на сервер 1С. А "объяснить" - это обеспечить видимость и маршрутизацию пакетов к серверу 1С с интерфейса WAN и обратно. То-есть и WAN и 1С должны знать куда слать пакеты. Но тут одно НО - ваш 1С может пытаться ответить на публичный адрес WAN не через туннель, а через интернет. Поэтому нужно слать пакеты на 1С от имени локального интерфейса (например LAN). Пример Удаленный клиент -> WAN PFSense – mapping to 1C --> OPT(10.100.0.15) tunnel -- NAT from any to 1C --> tunnel ---......-->1C

Походу сам наплодил пост вида: "Ничего не работает -помогите"…..."А, все работает спасибо" Чтобы так больше не делать - опишу более подробно что я сделал для решения проблемы. Возможно кому то и поможет :) Итак: Получив пару наводящих вопросов и ни одного дельного совета начал разбирать все подряд. Пару раз снес кальмара. Сношу - инеты летают. Ставлю - тормоза и сайты работают не правильно. Стал читать - чаще всего проблема в dns. Перво наперво открыл на lan интерфейсе 53 порт(dns). Но НЕТ - не помогло. (к слову: схема сети такая - Шлюз+proxy подключены к внутреннему серверу DNS(win2008r2)) Много чего перепробовал крутить в настройках squid от логирования до кеширования - но, естественно, никаких результатов не получил. Далее я решил более подробно разобраться с dns - и вижу, что настройки в /etc/resolv.conf такие: domain "mydomain" nameserver 192.168.0.3 #Сервер внутренних DNS nameserver 8.8.8.8 #Великий Google Я выставил  DNSы прова - не помогло Оставив DNSы прова я включил DNS forwarding enable  в Services: DNS forwarder и все залетало. Но есть 1 нюанс - в dmz находится appache на котором сайт - так вот на этом сайте, при подключении изнутри, не отрабатывают некоторые скрипты. Чтобы все стало "Как надо" привел схему dns к следующему виду: 1.На win dns в forwarders указал DNSы прова + dns гугла 2.Проверил все пользовательские тачки - везде dns - виндовый сервер. 3.На локальной сетевке (вторая сетевка уходит наружу через hyper v) в качестве dns указал петлю - 127.0.0.1 4.На шлюзе в качестве dns - dns виндового сервака 5.Еще раз убедился, что 53 порт на локальной сетевке на шдюзе открыт 6.Открывать 53 порт на wan интерфейсах не нужно. ПС Кто ищет - тот всегда найдет. Спасибо тем, кто хотя бы отписался в теме и наводящими вопросами заставил задуматься:) С новичками всегда тяжело:)