Правилами с роутингом направить нужный трафик на нужный шлюз.

Поднял канал, все подключается все работает, только вот теперь сетей не видно ни со стороны сервака ни со стороны клиента
подсети лан сервер 192.168.0.0/24 и клиент 192.168.2.0/24
опенвпн поднят на виртуальном интерфейсе
tracert при обращении к 192.168.2.10 выдает только первую строку что ушло с 192.168.0.10 не могу понять почему запрос идет через ЛАН и на этом обрывается

@dvserg:

Хабр: http://habrahabr.ru/post/168853/

Экспериментируем. Нашли новую причину отказа клиента - теперь клиенту не понравилось, что файл не в UTF-8…а раньше в ANSI типа все устраивало... Б#я!  :)

Скорее всего не настроили время для блокировки или не выставили права для блокировки по этому времени. Либо стоит allow на ваше правило. Вобщем либо много, поэтому сделайте все сначала по мануалу выше и убедитесь что службы сквид и сквидгвард запущены и прокси настроен.

pfSense 2.0.1, шифрование присутствует судя по логам (на виндовом серваке PPTP настраивал не я). Вообще задача была с существующего интернет подключения сделать туннель до сервака с дешевым интернетом и раздать оный в LAN. Между pfSense и этим серваком какой-то льготный тариф. На pfSense принципиально не стал лезть в дебри, все строго через ГУИ. Без плясок с бубном не обошлось, но плясать не мне пришлось. В конце-концов взлетело. Затык был в аутентификации на память. Сейчас MSCHAP2, шифрование MPPE.

Попробуйте
System: General Setup
Allow DNS server list to be overridden by DHCP/PPP on WAN
Do not use the DNS Forwarder as a DNS server for the firewall

Если подключение к провайдеру рррое или pptp и версия pf 2.0.2 то ставте фикс http://forum.pfsense.org/index.php/topic,57020.0.html или качайте пофиксенный pf отсюда http://files.nyi.pfsense.org/jimp/foo/shiny/ehrmagerd/

Для пассивного режима работы
Firewall: NAT: Port Forward
WAN TCP * * WAN address 21 (FTP) 192.168.X.Y 21 (FTP)
Firewall: Rules
WAN

TCP * * 192.168.X.Y 21 (FTP) * none TCP * * 192.168.X.Y 40000 - 40050 * none   (пример:порты для передачи данных настроенные в ftp servere)

Активный режим
Firewall: NAT: Port Forward
WAN TCP * * WAN address 21 (FTP) 192.168.X.Y 21 (FTP)
Firewall: Rules
WAN

TCP * * 192.168.X.Y 21 (FTP) * none
LAN TCP 192.168.X.Y 20 * * * none   ( если на отдачу открыто все то это правило не надо)

Еще одна ссылка для понимания работы FTP http://thetech.com.ua/?p=1668

Всем спасибо Разобрался, всему виной Исходящий NAT!

Всем спасибо, разобрался сам. Были не правильные настройки исходящего НАТ

Свои 5 копеек по поводу PortForward: если у адресата в локальной сети все нормально со шлюзом и маршрутами (т.е. есть выход во внешний мир) то все работает. Это единственное из 10 работающих.

Сделал…
Вобщем проблема заключалась в том, что надо было в настройках гейтвея назначить по дефолту и WAN и наш виртуальный интерфейс... Тогда получается что ван просто подрублен к коммутатору управляемому, а из коммутатора идет инфа на виртуалку, дак вот, если в роутингах гейтвей стоит ван по дефолту, то весь трафик будет стучаться в ван у которого нет ип (это я так понял), а если по дефолту стоит наш виртуальный интерфейс, то все по нему и летает...

@gr0mW:

NAT – src addr --any, Dest. addr --WAN address
На firewall: Rules WAN-- source port ---any

Заработало! Спасибо за помощь!

Спасибо за хороший ответ. Покупалась данная карта для другов, а конкретно эта вообще про запас.

Ещё 1 вопрос чтоб не подымать новую темму:
Установил настроил я, фишка в том что шлюз который по адресу 192.1.1.1 он видит Wan интерфейсом, а вот пингануть гугл или я ндекс не получаеться, nslookup тоже отвечает исправно.
На шлюзе стоит обычный 2003 сервер с тупым NAT ом.

@rubic:

Только все это мартышкин труд. Не нужны эти директивы. Все это делается автоматом. Автору, прежде чем писать что-то в advanced, надо найти в /var/etc по-моему конфиг OpenVPN и посмотреть не дублирует ли он своими директивами уже существующие
Директивы ifconfig-push - лишние.

Не дублируються … Директива ifconfig-push имеет более высокий приоритет над  ifconfig-pool и перекрывает его настройки
Используеться для назначения статических IP адресов клиентам.
Мое мнение что рулить правилами проще на статике.

ау! :)

что, нет решения?

@dvserg:

А в ifconfig что в этот момент? Может встроенная сетевая умничает? У меня все статусы на дискретных картах четко отрабатывает.

Понял, ifconfig - это команда.
(В линуксах я новичек.)

все как обычно.

дело было в линии..
было провайдер-одномод-медь-многомод(полудуплекс)-медь-сервер
стало провайдер-одномод-сервер

и вуаля, все работает, кроме моих потраченных нервов.
пойду отпаивать себя кофе с коньяком.

Спасибо, переустановка пакета помогла. Непонятно только, из-за чего произошла такая ошибка. Хотя, может быть, была какая-нибудь проблема раньше, т.к. ставил пакет около 2 недель назад.