Спасибо за разъяснения!

@l2grom:

огромное спасибо за подсказку,  получается придется всех юзеров  перебивать…  это жестока..  3886 юзара ))),  и о чем я думал когда решил перейти на PF

А импорт с помощью скрипта написать?

Мне нужно, чтобы было разрешение в интернет исключительно по маку (По умолчанию никому нельзя,  разрешено только списку именно МАС, а не IP). Это позволит не пускать в интернет никого лишнего, даже с подменой МАКа или вручную вбитого чужого IP. У нас секретарша МАК меняет за 12 секунд, вбивая от балды 12 цифр в соответствующее поле  в настройках сетевой карты. Что уж говорить о гостях в комнате, где прямо из стены висит RJ-45 розетка.

вариант
Настройте DHCP на выдачу только зарезервированных по маку статических IP адресов.
Deny unknown clients V
Enable Static ARP entries V
В файрволе разрешите выход в интернет только для указанных IP адресов.

вариант
Используйте возможности CaptivePortal  ( PassTrought MAC )

@dvserg:

Это?
Enable RADIUS accounting
RADIUS Accounting Update (RADIUS accounting update period in seconds)

Всё это сделано.
Enable RADIUS accounting - галочка стоит
RADIUS Accounting Update - каждые 60 секунд.
Но присылается accounting только в самом начале сессии и в завершении. В логах радиуса во время сессии ничего не присылается. Смотрел tcpdump-ом никаких пакетов с Pfsense во время сессия также не наблюдается.

пинги для поддержания работы тунеля пускаете внутри тунеля? попробуйте снаружи, пров может не понимать что это нужный трафик.
также почему бы не попробовать опенвпн?

А что в логах squid и squidguard?

@tim2000:

@zar0ku1:

винты стоят недорого

[оффтопег]
у нас цены взлетели в 3 раза на хдд :(
[/оффтопег]

все вкурсе, но кто держит серв без запасного винта в тумбочке?

как говорится есть кто делает бэкапы и кто уже делает

@bloodninja:

При чем тут фаервол? Я спросил на Postfix Forwarder , и его настройку. Что бы вся почта шла на него , а он ее сразу на локальный сервер.

Я так понял, что человек даже не смотрел что оно такое.
По большому счету это антиспам+антивирус с кучей настроек.  :)

Управление через pfctl

pfctl -t spammers -T add 218.70.0.0/16 pfctl -t spammers -T show pfctl -t spammers -T delete 218.70.0.0/16

Спасибо, всем кто откликнулся.
Задействовал шейпер и получил результат близкий к желаемому(down/up 20/18), при этом заметно возросла нагрузка на процессор.
Вывод: желательно использовать более "интеллектуальные" сетевые карты, менее нагружающие процессор. Советовали Intel, 3Com. Какие кто еще использовал?(только указывайте модель, чтобы легче было ориентироваться.)
Еще раз спасибо.

Итак, похоже действительно проблема с маршрутами:
l2tp ну никак не хочет подниматься, но стоит написать

route add 85.21.0.253/32 10.87.8.1 85.* - адрес l2tp сервера 10.* - gateway для WAN

как все начинает работать.

Вот только при падении WAN маршрут удаляется. Встал вопрос автоматизации. Как сделать так чтобы при подключении WAN - писался бы маршрут.
Если его прописать через pfSense (System routing -> routes) то хоть l2tp и поднимется, после его падения вместе с WAN получаю петлю.
Пробовал ppp-linkup, но не то, т.к. если WAN не падает, то последующее соединение с l2tp происходит нормально. Есть ли какой-нибудь wan-linkdown wan-linkup? )))

@DasTieRR:

@wbl_samara:

@DasTieRR:

@wbl_samara:

@werter:

@wbl_samara:

При устанвке Pfsence 2.0 нет строчки выбора ядра с 1 процессором, можно выбрать только мультипроцессорный режим, однако pfsence работает с ним на обычной одноядерной машине, это нормально?

Вторая строчка, не ?  :'(

да именно так, второй строчки вообще нет.

это не мой скрин, из инета взял с букваря по установке, как раз именно у меня его и не было. Я выдрам мультипроцессорный режим, вроде все работает, только ipsec отваливается, вот пытаюсь сопоставить факты.

А как же ваш скриншот (там же строчка есть)?, или это была не ваша установка?
P.S. Ставил мульти и на однопроцессорную систему, работает.

в моей установку было так же как из букваря только этой строчки не было, выбрал мультипроцессорный режим…

Спасибо! попробую
Кажется, я перепутал насчет Source когда настраивал. :)

@snioo:

может туплю но где этот список посмотреть?

http://mirrorlist.freebsd.org/FBSDsites.php

Охота к proftpd добавить модуль, но в pfSense нет команды make, как быть?

werter, нет, это не помогло. всеравно в один туннель все пихает..