Если не пишится, значит вероятно все идет в обход сквида
смотри правила pf

pfctl -sn | grep rdr

должна быть строчка типа

rdr on vr0 inet proto tcp from any to ! (vr0) port = http -> 127.0.0.1 port 80

@dvserg:

Думаю нет. В Вашем случае проще сделать нат + шейпер. Без прокси вообще.

+1

ты жесток

@Eugene:

-1

:-
странно, даже я согласен

@garald50:

@deutsche:

говорят еще чтение МАНтров помогает.

;D
а по существу?

По существу не известно. Если есть свободный комп, протестируйте на 2.0, и лучше подождать пока 2.0 перестанет быть бетами, гаммами и т.п. А то вместо одних глюков, будут другие.

Повторение мать учения. А тут вообще модераторы русские есть? чтобы лепить темы например.

@daszip:

Не так то что цепляясь через openvpn вижу тока сеть gate1, но не дальше. Вероятно, чтоб видеть сеть gate2, нужно прописать маршрут. Опять же как это делается?

Добавлю. По Openvpn получаю адрес из сети 192.168.201.0/24, посему не являясь частью сети 192.168.0.0/24. Отсюда проблема потому как IPSec роутит трафик только между сетями 192.168.0.0/24 и 192.168.100.0/24

Если делать так, то необходимо поднять IPSec между Gate1 и Gate2 c сетями 192.168.201.0/24 и 192.168.100.0/24.

http://www.opennet.ru/base/net/traf_gate.txt.html

При такой схеме все заработало. Огромное спасибо!

zar0ku1, спасибо конечно, но не заморачивайся. я уже систему на дебиане развернул. Реконект проходит на ура. И как ни странно система имеет большее быстродействие.
А так подумал, надо наверно было MPD вытащить из 1.2.3 и всунуть в 2.0, но уже поздно. Хотя может ошибка в PHP, не правильно конфиг делает.

проблема была в ESET NOD32 Smart Security, после отключения все заработало!

2dvserg
оффтоп
я правильно понимаю, что из Services->Proxy server->Access control->Banned host addresses все попадает в squid.conf в виде
acl banned_hosts ?
т.е. можно, например, написать в Banned host addresses просто 192.168.0.30-192.168.0.254, а не перечислять все эти адреса?
блин

Скачаю сегодня  ESXi - будем посмотреть.
В VB - мне vboxnet - весьма кстати пришлись .
у меня их две для связи сенсов между собой - они вообще никакого реального железа под собой не имеют.
Только время от времени vboxnet1 - созданная руками - пропадает из конфига Vbox - тогда как дефолтная vboxnet0  -  остается.
Глюк не сколько досадный -сколь смешной… :)

да никак.. это значит, что проблемы у клиентов с их браузерами. они чего-то там отправляют http методом post, но не указывают длину сообщения.. возможно страшные вирусы уже проникли в локальную сеть, ОМГ!

IMHO - при  схеме WAN1 + OPT1(WAN2) + LAN  стоит настроить лоудбалансинг

@dvserg:

Какие протоколы в засаде?

Извините. что сразу не ответил. Был занят
Если вы зайдете в NAT>Port Forwarding > Protocol  и посмотрите на список, то увидите, что там присутствуют TCP/UDP, GRE, ESP
а, скажем, такакя мелочь как ICMP нет

По условию шло, что мне нужен ВЕСЬ трафик

P.S.  Сделал по другому
На самом хонепоте поднял рутинг

@idelta:

Схема Site2Site + важный момент : LAN+WAN на RemoteBOX-е = bridge0 :

SmallOfficeLan <-> LAN-RemotePFBOX-WAN <-…-> WAN-MainPFBOX-LAN <-> MainOfficeLan
.................................
То есть "внутри" PFBOX-ов пакеты вижу, но на LAN-интерфейсах (на "выходе") их нет.
Меняю AH на ESP - всx ОК.
Подскажите...

AH  не работает при НАТе из-за попыток обработки заголовков пакетов с адресами вне конверта

@dvserg:

На подсетях модем-Wan и Lan должны быть разные подсети. В вашем случае с бриджем pfSense лучше не играться. Шлюзом для компов в Lan д/б LAN pfSense.

Как раз решил проблему использовав разные подсети для WAN и LAN интерфейсов. Ура!
Для WAN 192.168.1./24, для LAN - 10.10.10./24. Вроде бы правильно по определению CIDR :)