Спасибо, большое… И как сам не додумался??? В Bypass proxy for these source IPs хватило ума поставить свой ip ? а про destination не подумал.

@rubic: Пропишите route 192.168.248.0 255.255.255.0 в Advanced сервера OpenVPN на pfSense, а в Client Specific Overrides уберите все и вставьте: iroute 192.168.248.0 255.255.255.0 !!!!!!!!! СПАСИБО!!!!!!!!!!!!!!!!!!!!!!!! ЧУВАК ТЫ ЛУЧШИЙ!!!!!!!!!!!!!!! Заработало!!!! Я совсем забыл про опцию iroute СПАСИБО! огроменное! Прим. переводчика: "чувак - уважаемый коллега"

Вот что на роутере DIR-615 и OPT pfSense. Корректная формулировка проблемы на сайте принесла ясность в понимание работы провайдера. То есть вот такая связка, примерно. [image: index.php?action=dlattach;topic=67361.0;attach=36353] Общая же задача pfSense: два провайдера, ISP_2 — Ростелеком, который работает по описанной мною выше схеме - private ip через DHCP + статическая подсеть. Необходима для обхода NAT, иначе пропихнуть мимо своего NAT они не могут. [image: index.php?action=dlattach;topic=67361.0;attach=36355]       [image: scheme.png] [image: scheme.png_thumb]

Понятно. Спасибо за помощь!

1. DHCP. Да, pfSens раздает в центре, хотя основная массв адресов - статические. На филиалах адреса тлолько статические. 2. В общем проблема разрешилась.  Ик прошёл. Прошел, как я уже писал раньше после пререканий с провайдером. Подробностей от них (северен) получить не удалось по сю пору. "разгрузили канал к вам" - всё.  Наличие птички Static route filtering: Bypass firewall rules for traffic on the same interface в  System: Advanced: Firewall and NAT никаких видимых изменений не дает(странно). Спасибо всем откликнувшимся.

2 Scotch На последнем скрине (интерфейс OpenVPN) - оставьте только одно разрешающее всё и всем правило (хотя бы временно). Остальные - лишние.

@jackley: Трассировка любых адресов показывает "старый" маршрут, а 2ip и speedtest показывают что я хожу через новый. Перезагрузить свою машину , перезагрузить pfsense.

Дефолтным шлюзом для Ф1 должен стать IPSec туннель в Ф2.  Далее русуете правила NAT и правила fw.

В зависимости от модели оборудования.

у меня седующий вопрос..стоит прозрачный прокси сервер.. внутри локальный трафик считает(LAN 192.168.20.0/24), настроил опенвпн, выдал им адреса 192.168.16.0/21 с авторизацией через сторонний сервер ldap… Вопроса два. вопервых можно ли как то отслеживать кто что скачал через этот самый опенвпн (через lightsquid) с внутренних ресурсов.. вопрос номер 2  где можно или вообще можно ли указать соответствие имени - ип .. (что то  наподобие hosts в виндоус) че то по имени никого не находит(( хотя первым днс по раздаче указан внутренний сервер, который впоследствии все находит...

Ой ребят сори))) запарился. Трафика 10Мбит входящего и 2.5 исходящего, 50 клиентских машин. Куча правил на фаерволе. В данный момент(именно сию секунду) загрузка такая - процессор 41%, озу 25% при загрузке 8.2 Мбит входящего 0.4Мбит исходящего трафика. Почему я заморочился, иногда прыгает загрузка проца 100% и опытным путем выяснил что при юзании спеедтеста с машины без ограничений(с моей, для проверки канала), загрузка проца подскакивает до 100% примерно 1 из 3 раз проверки.

Начать лучше с проверки ната. Если стоит автоматически то переставить на ручной

@Zaraz: А есть ли возможность в одном правиле  разрешительном  перечислить сразу несколько протоколов или диапазонов портов? Протоколов - вряд-ли. Портов - можно, создав для них алиас в Firewall: Aliases

все заработало после присвоения адреса, RDP конектятся и логинятся но вот с админкой самого pFsense ошибка после ввода пароля An HTTP_REFERER was detected other than what is defined in System -> Advanced (http://******.no-ip.info:10001/index.php). You can disable this check if needed in System -> Advanced -> Admin.

@3vs: Предлагается использовать squidGuard. Но для версии pfSense 2.1 релиза в списках не значится. В списке есть среди пакетов только squidGuard Beta 1.4_4 pkg v.1.9.5 platform: 1.1. Как-то стрёмно ставить бету и для другой платформы на рабочую систему. А средствами самого pfSense как-то можно реализовать похожий функционал? Бета относится к webGUI, и в таком состоянии он уже давно, так как туда постоянно вносятся изменения. А сам SG stable.

группу шлюзов создал. возможно глюк какой. на днях буду железо переделывать. заодним переставлю пф сенсе.

Что вы подразумеваете под "внутренними ресурсами"? Это адреса в вашей локальной сети  или локальные адреса провайдерской сети за WAN роутера? Уточните этот момент. 1. Рисуете Limiter-ы : -  внутренние ресурсы провайдера - 80-90 мбит\с вход\выход Тас-Икс - 8-9 мбит\с вход\выход внешка интернет -  до 800 кбит\с мбит\с вход\выход 2. Создаете алиасы : адреса внутренних ресурсов провайдера; адреса Тас-Икс; И затем в fw создаете правила с этим лимитерами . Причем для "чистого" Инета в правиле нужно будет указывать только Limiter - в Destination не надо указывать ничего.

мое имхо 32 бит. куда стабильнее идет