to  anzak84
Немного не так. Ты только изменишь правила файервола. А для того чтобы клиенты получали правильный отбой при соединении у меня стоит squid. Суть проблемы заключается в том, что некоторые клиенты не могут правильно обработать приглашение Captive Portal, и поэтому начинают создавать новые соединения, а squid корректно говорит, что соединения нет. Я в правиле 65529 дописал только один адрес, по которому будет авторизация. После удачной авторизации разрешается any to any, или как описано в правилах.

Не то. Логин/пароль должен транслироваться из винды. В общем, отказался я от этого варианта.

после нормального выключения через кнопку/shutdown не включается

Просто система такая получилась. Система это в данном случае БП+мать. Нередко замена БП решает данную проблему, но не всегда. В самом тухлом случае (если необходимо, чтобы системник всегда работал) делается принудительный "always power on"  - перемычка между проводом "power on"+GND. Но в таком случае системник придётся выключать или тумблером на БП (если он там имеется) или вилкой из розетки. А если мать позволяет (двойное питание) замена ATX БП  на АТ стандарт.

1. в интерфейсах добавление отсутствует
2. в /dev  ue0 отсутствует, и пока непонятно как привязать "его" к какому нибудь OPT1, без веба
3. темы эти видел, там вроде совсем о другом

Подождем реальных владельцев Yota, может что подскажут.

Спасибо Всем за ссылки, и отдельно спасибо rubic'у за импульс по направлению. К сожалению пока не осилил iptables. Почемуто после внесения правил натирования в DD-WRT (и соответствующем изменении роутов на pfSense сервере на новые подсетки) пинг вообще перестает ходить между подсетями (при этом ходит между самими клиентами OVPN). Так же странно, что в таблице маршрутизации DD-WRT не появляется маршрут на новую натированную сеть (хотя может и не должен, пока не раскурил этот вопрос).
В последней ссылке на хабрахабр по беглому взгляду описан вроде мой случай, только с поправкой на мои несколько сетей, но думаю это не проблема. Изучу поподробнее. Вобщем принцип и методология решения задачи ясны. Осталось устроить мозговой штурм и более подробнее углубиться в доку по iptables.

@1qoot1:

как правельно настроить эту связку?

Девятый топик вниз, от вашего
http://forum.pfsense.org/index.php/topic,53215.0.html

@gr0mW:

У Вас симметричный канал? А то у меня на ассиметричном канале клиенты подключаються как 10 мбит. И какое железо на шлюзах (какая загрузка проца при передаче).Возможно мощности не хватает.

Спасибо за ссылки - прочту.
Канал до прова ассиметричный (25 мб\с - входящий, 80 исходящий.) Железки - одна VM ESXi с Intel Xeon 5520, 1Гб RAM., а вторая - Intel Celeron 1.5 Ггц, 1Gb DDR (это сервер OpenVPN). Вообще это checkpoint http://forum.pfsense.org/index.php/topic,51361.0.html  на который накатили pfsense, раньше тоже VM была с Intel Xeon 5520, 1Гб RAM, но там тоже такая же проблема была.
Нагрузку нормально держит: Вот top при перекачке трафика:

last pid: 36973;  load averages:  0.18,  0.06,  0.02  up 0+01:12:38    17:05:31 86 processes:  2 running, 71 sleeping, 13 waiting Mem: 35M Active, 16M Inact, 50M Wired, 1000K Cache, 48M Buf, 886M Free Swap:  PID USERNAME PRI NICE   SIZE    RES STATE    TIME   WCPU COMMAND   10 root     171 ki31     0K     8K RUN     68:40 93.99% idle    0 root     -16    0     0K    88K sched    1:56  0.00% {swapper}    0 root     -68    0     0K    88K -        0:20  0.00% {em3 taskq}    0 root     -68    0     0K    88K -        0:14  0.00% {em0 taskq} 60719 root      45    0  6140K  4488K select   0:11  0.00% openvpn   11 root     -64    -     0K   104K WAIT     0:07  0.00% {irq14: ata0} 48363 root      76    0 54784K 21244K accept   0:04  0.00% php   11 root     -32    -     0K   104K WAIT     0:04  0.00% {swi4: clock} 48224 root      47    0 53760K 18940K piperd   0:04  0.00% php   13 root     -16    -     0K     8K -        0:03  0.00% yarrow    0 root     -68    0     0K    88K -        0:03  0.00% {em1 taskq}    4 root      -8    -     0K     8K -        0:03  0.00% g_down   11 root     -68    -     0K   104K WAIT     0:02  0.00% {irq16: em0 uhci0} 18109 root      44    0  4948K  2400K select   0:02  0.00% syslogd    0 root     -68    0     0K    88K -        0:01  0.00% {dummynet}

Тут скорее всего и правда дело в шейпинге.
Еще такой вопрос: OpenVPN настроен в режиме tun. В интерфейсах можно сделать assign ovpn1 - тогда появится интерфейс OPT4. Вот на него можно выставить отдельную полосу, но как только он появляется openvpn падает. Так зачем он нужен - для tap соединений?

**UPD:**Впринципе решилось. Настроил HBCQ в качестве шейпера (раньше CBQ использовал), трубке p2p поставил upperlimit 60%. Трафик кое-как да побежал, пинги на уровне, правда и торренты теперь открыты, но хоть скорость внутри VPN будет более - менее. Будет ли правильным шаг - отказ от tun и заменой на tap интерфейсы? Или может как-то в правилах можно прописать, чтобы отдельные подсети не шейпились, ведь получается, что даже использовав tap интерфейс, на пользователей с LAN интерфейса все равно будет действовать шейпер, в какой бы интерфейс и в какие бы подсети не отправлялись пакеты?

2 schmel

Была такая же фигня, решилось так:

Вы бы листанули тему, а не только последние сообщения, прежде чем писать своё особое мнение и мутить воду. Указано же: разрывов связи нет! И заметьте, это не сенс! А проблема, тем не менее есть.

m0n0-down.jpg
m0n0-down.jpg_thumb

@1qoot1:

Нет немного не то что надо, имелось ввиду несколько подсетей на одном интерфейсе.

Эка задача…
Интересно, чем отличается наличие трех четырех ip на одном интерфейсе?
192.168.0.1/24
192.168.1.1.24
192.168.2.1/24
Единственное отличие, что вы не сможете получить IP адреса по DHCP во всех подсетях, только в одной.
Формулируйте вопрос правильно!

@1qoot1:

Просьба убрать с вашего сайта вредоносные обьекты… касперыч буянит.

Каспр я давно не считаю нормальным антивирусом!

Смотрим http://antivirus-alarm.ru/proverka/?url=thin.kiev.ua
После просмотра -
Открываем для себя и окружающих:
Adblock Plus :: Дополнения Firefox, или Chrome - AdBlock

http://www.yotapiter.ru/catalog/antenns_yota/

Ух емаё, ну парой тем же ниже было..
http://forum.pfsense.org/index.php/topic,53152.0.html

По задаче, как она поставлена в 1-ом посте топика, всё, что вы написали в Advanced configuration не имеет никакого смысла.
push "route 10.5.0.0 255.255.255.0" - не нужно, клиент и так знает этот маршрут
push "route 10.0.1.0 255.255.255.0" - не нужно, вы просто дублируете то, что прописали в Tunnel Settings -> Local Network
route 10.5.0.0 255.255.255.0" - не нужно, сервер как бы в курсе (см. Diagnostics -> Routes)
route 10.0.1.0 255.255.255.0" - хорошо, что сервер умный и игнорирует это
client-to-client - не нужно, этим вы дублируете галку в чекбоксе Tunnel Settings->Inter-client communication

Руководство, по которому вы настраивали, предполагает, что есть 2 локальных сети (одна за сервером, вторая - за клиентом), которые надо соединить. В случае с одиночными "подвижными" клиентами ничего этого не нужно. Убирайте всё из Advanced configuration сервера и все рукописные маршруты с клиента, подключайтесь. На клиенте у вас должны появиться маршруты:

10.5.0.0 255.255.255.0 10.5.0.n
10.0.1.0 255.255.255.0 10.5.0.n

@alexandrnew:

а может наоборот так задумано, что бы юзед ваучеры были таки юзед…а не чистые после ресторе

Очень даже логично

Спасибо. попробую настроить.

Сразу не обратил внимание что в режиме AP не работает… ;D

Проблему решил заменой карты.
На ASUS-PCI-G31

Проблема в английской ветке присутствует тоже.
Тут английские товарищи туториал предлагают
Проверьте все настройки еще раз

Подниму тему.
Все практически тоже самое. Перезагружаемся по несколько раз на день.
Вот мои логи - http://forum.pfsense.org/index.php/topic,53074.0.html.
Мечтаю уйти с pfSense  ;D