да по барабану. если мне не изменяет память, эта фишка появилась в OVPN чуть ли не в версии 1.8
ОП 3g. вполне реально. если канал нестабилен, или большие задержки, будет происходить ситуация, когда OVPN будет казаться что пинг не прошел. Следовательно-рестарт. И так все время, пока канал не стабилизируется.
но у меня на 3g "keepalive 10 60" работает стабильно. Единственное, я на 3G, добавляю еще вот это:

Эти параметры подбирались опытным путем… Единственное, в логах будет появляться ругань на некорректные размеры пакетов, фрагментации и т.п. Я-забил.
На стабильных каналах keepalive стоит в значении "3 9", а то и "2 6". Но последнее-совсем жестко...

@dvserg:

Зачем на 500 адресов еще одна сетевая?
Ставим на LAN подсеть /16 = 255.255.0.0 и применяем
Затем в DHCP указываем нужный диапазон адресов - будет доступен 192.168.0.1 - 192.168.255.254

Спасибо большое!

Благодарю, заменил, все установилось!

Вызывается командой /etc/rc.initial

ERROR: failed to pre-process ph2 packet [Check Phase 2 settings, networks] (side: 1, status: 1).
такое еще появилось

Собственно все решилось установкой 2.0.1 и таки галочкой "System: Advanced: Miscellaneous:Load Balancing -> Allow default gateway switching".

@roman01:

Вопрос такой: как средствами pfsense контролировать с какого IP адреса на какой есть соединение.

Если в реальном времени:
80 порт что то мелькало squidstat кажись, или iftop -i eth0

@roman01:

статистика - кто (с каких адресов) куда ходил, на какие сайты.

Настройте ipcad на нужные вам порты и будет вся статистика по порта, откуда и куда ходил данный юзверь.

@roman01:

Сейчас у меня прозрачный прокси (статистика на lightsquid) - но это только 80 порт. Нужно контролировать 443 и другие порты.

Читаем http://forum.pfsense.org/index.php/topic,21394.0.html

aggregate 20-21 into 21;
aggregate 22-23 into 22;
aggregate 25 into 25;
aggregate 443 into 443;

squid.JPG
squid.JPG_thumb

Никак не связан. адресация в туннеле поддерживается средствами OpenVPN.
Я веду к тому, что для понимания ситуации, рекомендую, в локальной сети поднять клиент-сервер OpenVPN (тупо под винду) и понять какие настройки должны быть в конфигах (я так разбирался)
Потом это перекладывать на сенса, т.к. не все настройки есть в GUI, часть опций придется вписать в "Custom options"

я неправильно написал, у меня работало на версии 1.2.3 . Подскажите как реализовать в версии 2.0

Вопрос на засыпку - откуда при включении галки IPSec и сохранении берутся правила на вкладке Status:IPsec:SPD ? Их можно только удалить, после удаления и перевключения IPSec они появляются снова.

rubic
Спасибо большое! Все работает! Надо было всего-то добавить в NAT правило, разрешающее LAN -> any -> destination port blank и ftp proxy заработал. Как все просто оказалось. Спасибо еще раз : ))

@chernyshov_ip:

пробрасываю firewall -> NAT

цель чтобы заработал ящик через outlook (smtp/pop) но обращение шло по внутреннему ip

Правила понимают только IP адреса и порты. Можно попробовать прокси для почты http://forum.pfsense.org/index.php/topic,43687.0.html либо тот же 3proxy.

вообщем решил. Если устанавливать Виртуалку на интерфейс Влана бриджем, но прописывать этот Влан на виртуалке и не нужно. Она и так сбриджевая. Все завелось. Сенсе увидел сетку, но сетка не может достучатся до Сенса. Маки приходят, а вот все осталльное нет. Че делать?Может чето заблочено?

@werter:

После нескольких лет работы с продуктами и от цитрикса и с вмваревскими (именно на всфере у меня 2-ой год крутится пф) могу сказать , что 99 % осей ,от никсов с виндой до сановской оси, работают если не отлично, то очень и очень прилично и почти без потери произ-ти (маааленький такой процент потерь :) ).
Выбирать гипервизор нужно не только от того , какую ось крутить собираешься (крутятся они и у цитрикса и у вмвари отлично), а , в случае с вмварей, с оглядкой на БЕЛЫЙ СПИСОК ОБОРУДОВАНИЯ , поддерживаемой гипером . Официально у вмвари - желательно брендовое (НР, Делл, Асер и т.д.) , неофициально и с допиливанием дистрибутива гипера - остальное, но далеко не всё. В первую очередь поддержка касается рейд-контроллеров и контроллеров НЖМД, сетевых карт и т.д. У цитрикса с этим  проще - становится без танцев и на обычное , не серверно-брендовое железо.
В достоинства вмваревского гипера, например, можно отнести бОльшие возможности по работе с сетью. Ну и сам по себе он по-серъезнее выглядит в сравнение с конкурентами. Но у цитрикса есть очень большое преимущество "из коробки". Это бесплатная и простая(!) возможность бэкапа гостевых машин встроенными средствами, т.е. буквально одной строкой. С вмварей в этом плане всё намного сложнее.
Так собирайте машину и пробуйте.

P.s. Пардон за оффтоп  ::)

ты ушел не в те дебри про которые я говорил имея ввиду Xen

@zekivan:

nfs клиент в pfsense 2 случайно не убрали?

ядро смотреть надо

@Fahrenheit:

что может быть?

Кривые руки.

Проделал описное выше. Единственное исправил в доке - ./build-key "имя клиента"
В остальном всё создалось без ошибок!

System: Advanced: Admin Access: DNS Rebind Check: Disable DNS Rebinding Checks попробуйте
squid установлен?

в Packages есть OPENVPN 2.0 FIX TAP, с ним всё на ура, только вот при коннекте  виртаульный ип не назначается , и идет через мой инет трафик(

Да, на все пункты установлена галочка..В таком случае при выдаче адреса статикой, сервер о нем ничего не знает и имя я его не увижу?