Возможно тут вы найдете рациональное зерно http://forum.pfsense.org/index.php/topic,23843.0.html

попробовал увидеть разницу между правилами, кто подскажет правильно или нет, разница при снятой галочке и установленной
смотрел ответ команд pfctl -s rules и pfctl -s nat:

pass in quick on tun0 all flags S/SA keep state label "let out anything from firewall host itself openvpn"
anchor "pptp" all
pass in quick on WAN inet proto gre from any to 83.XX.2XX.253 keep state label "allow gre pptpd"
pass in quick on WAN inet proto tcp from any to 83.XX.2XX.253 port = pptp flags S/SA modulate state label "allow pptpd 83.XX.2XX.253"

pass out quick on WAN inet proto udp from any to 10.X.X.1X port = isakmp keep state label "IPSEC to 804dlink admin - outbound isakmp"
pass in quick on WAN inet proto udp from 10.X.X.1X to any port = isakmp keep state label "IPSEC to 804dlink admin - inbound isakmp"
pass out quick on WAN inet proto esp from any to 10.X.X.1X keep state label "IPSEC to 804dlink admin - outbound esp proto"
pass in quick on WAN inet proto esp from 10.X.X.1X to any keep state label "IPSEC to 804dlink admin - inbound esp proto"
pass out quick on em2 inet proto udp from any to 10.X.X.1X port = isakmp keep state label "IPSEC to 804dlink admin - outbound isakmp"
pass in quick on em2 inet proto udp from 10.X.X.1X to any port = isakmp keep state label "IPSEC to 804dlink admin - inbound isakmp"
pass out quick on em2 inet proto esp from any to 10.X.X.1X keep state label "IPSEC to 804dlink admin - outbound esp proto"
pass in quick on em2 inet proto esp from 10.X.X.1X to any keep state label "IPSEC to 804dlink admin - inbound esp proto"
pass out quick on em4 inet proto udp from any to 10.X.X.1X port = isakmp keep state label "IPSEC to 804dlink admin - outbound isakmp"
pass in quick on em4 inet proto udp from 10.X.X.1X to any port = isakmp keep state label "IPSEC to 804dlink admin - inbound isakmp"
pass out quick on em4 inet proto esp from any to 10.X.X.1X keep state label "IPSEC to 804dlink admin - outbound esp proto"
pass in quick on em4 inet proto esp from 10.X.X.1X to any keep state label "IPSEC to 804dlink admin - inbound esp proto"
pass out quick on em0 inet proto udp from any to 10.X.X.1X port = isakmp keep state label "IPSEC to 804dlink admin - outbound isakmp"
pass in quick on em0 inet proto udp from 10.X.X.1X to any port = isakmp keep state label "IPSEC to 804dlink admin - inbound isakmp"
pass out quick on em0 inet proto esp from any to 10.X.X.1X keep state label "IPSEC to 804dlink admin - outbound esp proto"
pass in quick on em0 inet proto esp from 10.X.X.1X to any keep state label "IPSEC to 804dlink admin - inbound esp proto"

pass in quick on WAN proto udp from any to any port = isakmp keep state label "IPSEC: Mobile - inbound isakmp"
pass in quick on WAN proto esp all keep state label "IPSEC: Mobile - inbound esp proto"
pass in quick on WAN proto ah all keep state label "IPSEC: Mobile - inbound ah proto"
pass in quick on em2 proto udp from any to any port = isakmp keep state label "IPSEC: Mobile - inbound isakmp"
pass in quick on em2 proto esp all keep state label "IPSEC: Mobile - inbound esp proto"
pass in quick on em2 proto ah all keep state label "IPSEC: Mobile - inbound ah proto"
pass in quick on em4 proto udp from any to any port = isakmp keep state label "IPSEC: Mobile - inbound isakmp"
pass in quick on em4 proto esp all keep state label "IPSEC: Mobile - inbound esp proto"
pass in quick on em4 proto ah all keep state label "IPSEC: Mobile - inbound ah proto"
pass in quick on em0 proto udp from any to any port = isakmp keep state label "IPSEC: Mobile - inbound isakmp"
pass in quick on em0 proto esp all keep state label "IPSEC: Mobile - inbound esp proto"
pass in quick on em0 proto ah all keep state label "IPSEC: Mobile - inbound ah proto"

в частности есть несколько вопросов:
1 затрагивает эта "галочка" нат правила? так как разницу не обнаружил
2 создает динамические правила для каждого клиента впн (не обнаружил, клиентов много, сразу с десяток подцепились) или только глобальные, то что обнаружил?

@Polosaty:

Установил 2.0 beta 5.  Не уж то я 1 сталкнулся с это проблемой. SOS

Нет вы не первый.
В бета какой то прикол с НАТом был, у меня. Последующие бета, просто перестали инсталиться.

Надо запустить мастер установки, либо ручками создать правило НАТ.

В Firewall: NAT: Outbound выберите Manual Outbound NAT rule generation (Advanced Outbound NAT (AON))
нажмите + чтобы создать новый mapping
Interface: WAN
Source: Type: Network
Address: 192.168.0.0 / 24
больше тут ничего трогать не надо

В Firewall: Rules на вкладке LAN создайте правило
Pass *     *    *    *    *    *
если там его еще нет (просто добавьте новое правило со всеми значениями по умолчанию, ничего в них не меняя)

http://forum.pfsense.org/index.php/topic,32360.0.html

у меня рртр без проблем заработал

вообще никаких вариантов или идей?
перейти на 1.2.3 не вариант, так как все равно надо отключать автоматическое создание правил впн..
Disable Automatic Rules

The automatic VPN rules must be disabled because that process also adds an 'allow all' rule to all OpenVPN interfaces, which is counter to our goal for this process. If you don't uncheck this box, your rules for the opt interface will not be used.
Go to System > Advanced
Check "Disable all auto-added VPN rules"
Save

мне на данном этапе не подходит, так как есть еще более 300 ipsec тунелей lan-to-lan….

Кто-то думает, что я не знаю, что такое мультикаст?

Если не секрет, расскажите как это у вас так организовано?

Сервера у вас в локальной сети и имеют локальные IP?
Что вам мешает использовать один реальный IP адрес и редирект потров?

volag
"Delay pools" давно исправлено -=> http://redmine.pfsense.org/issues/688#change-2288

@DasTieRR:

Как делал - добавил в DNS forwarder: host-пустое, Domain-днс_имя_сайта, ip-локальный ip www сервера. Всё, остальные поля пустые и сайт открылся в локалке.

Скрин настроек можно в тему?

M@kcumk@ а на какой версии работаем? В новых сборках в файерволе появляется раздел для прописывания правил pppoe?
А то начиная примерно с сентября вкладка users ушла в низ страницы с настройками pppoe сервера (было как в pptp, кому интересно - посмотрите) и исчезла вкладка с правилами файервола для pppoe.

@alexandrnew:

а можно про нагрузки\сервер узнать и что в основном используется?
а также - чего в 1.2.3 не хватило?

Использую свою домашнюю сеть как тестовую площадку. Сервисы помимо http и т.д.: VoIP, DC++, torrents, IP-TV. На pfsense почти все пакеты (unbound, Jails, bandwidthd, squid, havp, arpwatch, iperf, FreeRADIUS, nut, cron, ntpd, dhcpd, bsnmpd, miniupnpd, openvpn) + transmission и samba. Трафик ок. 6TB на отдачу в месяц. В локалке девайсов много, если интересно - перечислю. До декабря железо было ASUS Pundit-S p4-2.8GHz RAM - 1G + Intel GLAN (em) + WiFi Atheros. Сейчас Zotac Nvidia ION U2300 1.2GHz 4GB RAM WiFi Atheros на борту + Intel GLAN (em).

В 1.2.3 не хватило отдельного управления OPTx интерфейсами и маршрутами на них. Нужны независимые от WAN VPN (PPTP, L2TP) клиенты. Так же нужна свежая ОС - люблю гонять unix не на помоечном железе.

На работе сложилась дурная конфигурация сети с несколькими каналами на разношёрстных кошках. Есть мысль собрать приличное железо, поставить pfsense и проверить жизнеспособность этого в виде корневого маршрутизатора, вместо покупки Cisco ASR.

Свалка ссылок на биллинги и т.п. http://thin.kiev.ua/index.php?option=com_content&view=article&id=249:billings&catid=39:linux&Itemid=63

@h82:

Помогите решить проблему как убрать эту страничку, потому что если сервер ресается то приходится опять нажимать "Continue" а это не очень удобно.

Так не  "ресаЙТЕ" !
А для чего вам нужен Captive portal?
Пустите без аутентификации и никаких неудобств не будет!
:-)

@s-n-ushakov:

Да, проблема ровно в этом. А можно про скрипты поподробнее - куда прикручивать, ссылку какую-нибудь на примерчик…?

Извини, не подскажу, не работал с OpenVPN плотно.

А я что говорил? бедного pfSense'а всякий обидеть может. Не виноват он! -)

Отредактировал Config.xml
Удалил config.cashe
Настройки sipproxid стали сохраняться, но упал squid.
Чтото наверно случайно зацепил , попробую все с нуля сделать.