а что означает:
Disable reply-to on WAN rules
With Multi-WAN you generally want to ensure traffic leaves the same interface it arrives on, hence reply-to is added automatically by default. When using bridging, you must disable this behavior if the WAN gateway IP is different from the gateway IP of the hosts behind the bridged interface.
?

@pomaskin:

Если напишешь мануал по своим действиям - твой труд оценят многократно.

Мануалы (рекомендую, серьезно)
http://oreilly.com/catalog/9781565923218/ PPP

ну и в добавку как само собой разумеющееся
http://oreilly.com/catalog/9780596002756/ IP routing
http://oreilly.com/catalog/9780596002978/ TCP/IP

так укажите их все.

pomaskin

бросьте, не заработает, сам про*бся неделю.

пфсенс - инета нет:

netstat -r
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            x.x.194.1          UGS         0        5    xl0
x.9.0.0            x.x.194.1          UGS         0       61    xl0
x.x.194.0/23       link#1             UC          0        0    xl0
x.x.194.1          00:1e:4a:2c:65:7f  UHLW        3       60    xl0    977
x.x.195.236        localhost          UGHS        0        0    lo0
x.x.28.36          x.x.143.213        UH          1        0    ng0
x.x.143.213        lo0                UHS         0        0    lo0
localhost          localhost          UH          1        0    lo0
x.1.1.0            link#2             UC          0        0    xl1
x.1.1.2            00:0e:a6:23:46:55  UHLW        1      210    xl1   1154

пфсенс - инет есть но доступны не все хосты (tv.eenet.ee у меня не заработал)

netstat -r
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
0.0.0.0/1          x.x.28.36          UGS         0       30    ng0 =>
default            x.x.194.1          UGS         0        5    xl0
x.9.0.0            x.x.194.1          UGS         0       61    xl0
x.x.194.0/23       link#1             UC          0        0    xl0
x.x.194.1          00:1e:4a:2c:65:7f  UHLW        3       60    xl0    977
x.x.195.236        localhost          UGHS        0        0    lo0
x.x.28.36          x.x.143.213        UH          1        0    ng0
x.x.143.213        lo0                UHS         0        0    lo0
localhost          localhost          UH          1        0    lo0
x.1.1.0            link#2             UC          0        0    xl1
x.1.1.2            00:0e:a6:23:46:55  UHLW        1      210    xl1   1154

обратите внимание на маршрут 0.0.0.0/1 я его добавил руками

м0н0волл мод 0.32 - инет есть :-)

$ netstat -nr
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            x.x.28.36          UGS         0 15781619    ng0
x.x.0.208          x.x.196.1          UGHS        0  8675907    xl1
x.x.196/23         link#2             UC          0        0    xl1
x.x.196.1          00:1e:4a:2c:65:7f  UHLW        2      119    xl1    391
x.x.196.254        00:01:6c:f1:11:5f  UHLW        1        0    xl1    994
x.x.197.247        127.0.0.1          UGHS        0        0    lo0
x.x.28.36          x.x.162.217        UH          1        0    ng0
127.0.0.1          127.0.0.1          UH          1        0    lo0
x.1.1              link#1             UC          0        0    xl0
x.1.1.2            00:0e:a6:23:46:55  UHLW        1     6083    xl0   1115
x.1.1.10           00:d0:b7:1c:be:1c  UHLW        1  5912428    xl0   1126
x.1.1.24           00:0c:29:b8:89:8e  UHLW        1    14992    xl0   1098

воот…

Dir-320 + OpenWRT
Вот может кому поможет мой опыт: http://ssl.dp.ua/forum/viewforum.php?f=13&sid=7439dc4d4fcd15b5bf80bacdc238c9ef

@Lexuz:

Сам пф является дхцп сервером и вторым шлюзом. В сети есть еще один шлюз. Пф раздает первым шлюзом адрес первого шлюза, а вторым шлюзом свой адрес. Когда становится недоступен первый, клиенты начинают идти через второй (тот который сам пф).

может перевести локальную сеть на ipv6 а шлюзы сделать с двойным стеком?
P.S. в ipv6 шлюз бы второй находился автоматически

http://ru.wikipedia.org/wiki/Random_early_detection
http://ru.wikipedia.org/wiki/Explicit_Congestion_Notification

Для начала необходима следующая информация

версия pfSense скриншоты настроек.

Блин, точно нашел в Destinations в одном из правил. И галку ведь "log this" убрал, чтобы счетчики лог не засирали.

post the contents of /tmp/rules.debug  when you get that error.

а что за енот такой?

никак тогда.

тоесть если у меня в начале стоитразрешающее правло, ходить куда угодно, то следующее которое разрешает ходить только в указанную сетку - не сработает, так получается. если я понял верно, то вначале если мне надо что бы трафик с ОПР1 ходил на ВАН, то первое правило в ОПТ1 будет примерно - опт1, все протоколы, сорс - сетка ОПТ1, дест - ван, все порты - разрешить
а на лане первое правило  - Лан, все порты, сорс сетка лан,дест ОПТ1, все порты  - запретить.
правильно?

виновник перезагрузок пакет phpsysinfo
проблема решена (для меня в частности)

Думаю нужно почитать про VLAN и свичи. Википедия к примеру..

@alexandrnew:

в сквиде в дистрибутиве?

Нет, в пакете /usr/local/etc/rc.d/

http://www.electricalchemy.org/pfsense/img/pptp_vpn_config.JPG
http://doc.pfsense.org/index.php/PPTP_VPN
http://wiki.lissyara.su/wiki/PfSense:_PPTP_VPN

@Niko0O:

pfSense 2.0 BETA 2

1. Рисуй схему сети.
2. Ставь стабильную версию - 1.2.3
3. Если так интересен ПфСенс, ставь виртуалки - ПфСенс и ХР, сделай тестовую сеть и просто посмотри как оно вообще работает.
4. Пиши что делал для диагностики проблемы.

еще вот что в логах:
May 20 16:58:13 php: /antivirus.php: Antivirus: Can't starting file scanner. File '' not exists. Сканирование я не запускал, он ватоматом пытается что-то сканировать?

Можно ли при обновлении пакета в интерфей настроек добавить:

Возможность вбить название компании, кот. отображается в сообщениях хавпа как "здесь должно быть название вашей компании", т.к. при обновлении исправленные шаблоны заменились. насторить количество запускаемых при старте процессов.

З.Ы. может ещё и хавп поменять на 0.91 (0.91_1 у меня не заработала) и клам 0.95.3 (0.96_1 работает, но хавп с нею не совместим)