@dvserg:

А со своей машины заходите на RDP 192.168.110.78 ?

Был-бы скриншоты, было-бы легче
На WAN Block private networks и Block bogon networks отключены? ( с учетом, что у вас везде приватные адреса).

Спасибо огромное отключил и проброс сработал!!!!3 дня голову ломал!!!!

@dvserg:

@intronet:

@dvserg:

Что и откуда пингуете?

А это важно? Пингую "внешний" интерфейс pfsense. pfsense на виртуальной машине vmware player.

Важно. Если пингуете с самого pfSense, то на нем все исходящие разрешены. Рулятся только входящие.

Я знаю.

проблема как была так и осталась.
по приколу если в систему добавить OpenVPN интерфейс (только тогда появляются траблы) потом интерфейс удалить то траблы остаются… эх

"PPP-assigned DNS server problem"?

http://blog.pfsense.org/?p=676
http://redmine.pfsense.org/issues/2728
http://forum.pfsense.org/index.php/topic,57940.0.html

@nomeron:

А что тут непонятного ? Подключится к тому pppoe-серверу, к-ый быстрее ответит. Если же указать service name в настройках , то подключится к конкретному серверу. Проверьте, если не верите.

Вопрос был про два подключения. Первое подключится к самому быстрому. Что будет со вторым ?

Хм, как насчет - подключится к оставшемуся ? Если на pppoe-сервере (ах) установлено ограничение на множественные подключения с одного IP и\или с одной учетной записью, конечно.

@basta63:

Спасибо, но там решения нет.

Что значит нет решения ? Читаем и переводим :

If you really want to bypass both the rules and the states, you could try adding floating rules to pass the traffic from that machine in and out on lan and wan with a state type of "no state"

Если кому интересно, могу попробовать вредоносы на wifi сети на база http://www.ubnt.com/unifi
Коммутаторы Dlink (самые простые управляемые)
На них есть
ARP Spoofing Prevention (фиксирует ip=mac шлюза)
DHCP Server Screening (отключает dhcp на портах)

По идее, в схеме, когда pf является dhcp и nat, должно очень помогать.

Методика тестирования несколько другая должна быть
1. С самого pf делаем ping вначале одного шлюза через первое подключение, потом второго через второе
2. Тестируем балансировку отключая интерфейсы
Делаем вывод, что с сетевыми интерфейсами и правилами фаервола на wan все в порядке
3. Тестируем NAT и правила фаервола на LAN пингуя с клиентов любимый ip и через tracert смотрим через какой шлюз идет
4. Через nslookup смотрим, что у нас с dns

Я  днем  сделал  видео,на видео установка с  нуля. И  голая  система, если не сложно взглянуть, посмотрите. А  дома  буду, уже  по вашим методам проверю

https://mega.co.nz/#!LMQlWB4R!b0OCWmDrgiX6vYaZBHj4tEAjBF9uLl5R95495E5PJu8

@pigbrother:

Сотрудник вернулся из командировки в Львовскую область.
Не знаю, какого провайдеоа он использовал, но обычный PPTP блокировался 100%.

С PPTP достаточно запретить GRE. OpenVPN же может работать по любому свободному TCP\UDP порту. Чтобы его запретить необходим L7-фильтр на стороне прова (?)

Поищите посты от пол-ля с ником goliy. У него неплохие объяснения были по шейперу. Например, http://forum.pfsense.org/index.php/topic,26220.0.html, http://forum.pfsense.org/index.php/topic,41947.0.html.

P.s. Для очереди с мусорным трафиком (в т.ч. и торренты) Queue limit выставите большим числом (например, 2000). И не забывайте после изменения правил шейпера ВСЕГДА делать Reset States!
P.s.s. Почитайте статьи по алгоритму HFSC для понимания , как оно все работает - http://www.probsd.net/pf/index.php/Hednod's_HFSC_explained, https://calomel.org/pf_hfsc.html, http://dreamcatcher.ru/2009/11/30/Использование-hierarchical-fair-service-curve-hfsc-в-openbsd/

Сделать хочу жесткое ограничение скорости каждому абоненту

У меня 2.0.2 на сайт microsoft.com не пущал. Говорил, не могу имя разрешить и хоть ты лопни. Пришлось к 2.0.1 откатываться.

Для начала включите логирование и посмотрите логи fw.

@MIXa-sp:

забавно как он в браузере искал вирусы, в моем комьютере хоя у меня в системе такого нет :)))

Забавно, что люди которые ставят pf, не используют Adblock

@nomeron:

Сделать ярлык для putty.exe
putty.exe -ssh user@192.168.0.1 -pw pass -m script.ssh
в script.ssh то что нужно выполнять
или батник
http://rootadmin.org.ua/?p=73

Или использовать plink
Так, например
plink.exe root@192.168.1.1 -pw pfsense kill pgrep openvpn

pfsense - пароль.

@Vlad_Gaponik:

Уточнение вся сеть начинает тормозить.
На Pfsense  в логах как бы все нормально.
интерфейс LAN поднят, но он никого не видит.

Окончательное подозрение, что ноут при выключении (спящий режим), что то творит со свичами, что они зависают.
Лечится перезагрузкой всех свичей. ::)

В сети есть пара ноутбуков, который при выключении зажигают на своем  порту на свитче (старинный 24-х портовый Intel) лампочку Collision.
Однако это не приводит ни к каким деструктивным действиям. Пробовал манипулировать в БИОС  опцией Wake on LAN - Collision не гаснет.
Как вариант - попробуйте другой свитч.

@1qoot1:

Средний конфиг шлюза: core i3, 2-4 gb ram, 500 gb HDD.

Неплохой шлюзик.
Однозначно - ставим гипервизор (Proxmox, Xen), поднимаем ВМ с pfsense и опять же в ВМ уже готовый Elastix (http://www.elastix.org/, http://blog.plastilin.org.ua/search/label/citrix%20xenserver) или TrixBox (Установка корпоративного голосового VoiceIP сервера на базе TrixBox решения (Подробная инструкция)  - http://inhibitz.ucoz.ru/publ/9-1-0-9). Плюсы виртуализации - бэкап и восстановление полностью готовой машины за минуты + поле для экспериментов практически ограничено только вашим воображением и мощностью железа. Так что, советую.

@nomeron:

А на втором уровне все равно  все vlan остаются в одном домене широковещательной рассылки ?

Нет конечно, я просто думал, что товарищ путает vlan с простыми подсетями. На форуме ведь никогда не знаешь имеет ли кто-то ввиду именно то, о чем он говорит))