@werter да, моя, все руки не дойдут немного подправить, к сожалению мои пути с предприятием тем разошлись и я не успел реализовать тоже самое с использованием pf2ad, но мне в принципе и этот вариант понравился, в итоге даже антивирус заработал при небольших манипуляциях.

@Виталий said in Маршрутизация LAN-LAN: что вы имеете ввиду под DMZ? Если грубо - из сети DMZ обычно нет никакого\есть управляемый доступ а LAN. Не путать с тем, что называют DMZ в бытовых роутерах.

@MythOfTheLight said in Связь между OpenVPN сетями Peer-to-Peer и Remote Access: По этим гайдам и делал, сейчас смотрю - в них правки, добавлен пункт "iroute" Странно, если вы о тех гайдах, ссылки на которые я приводил, iroute там было с момента публикации еще на старом форуме.. Возможно вы путаете с OpenVPN PSK: Site-to-Site - там iroute просто не нужен. @MythOfTheLight said in Связь между OpenVPN сетями Peer-to-Peer и Remote Access: Ну и клиентам Peer-to-Peer SSL/TLS надо сообщить, что существует сеть Remote Access 10.20.10.0/24" Добавил, рестартанул, всё работает..... Забыть об обратном маршруте - частая ошибка.

@dTinside Для вашего Кинетика должен быть Padavan, к-ый гораздо интереснее, чем родная прошивка. Поищите на 4pda.

Вероятно кто то найдёт этот пост на просторах тырнетов, проблема решается следующим путём: pfSense здания A является сервером peer-to-peer (ssl/tls) IPv4 Tunnel Network - 10.0.8.0/24 IPv4 Local network(s) - 192.168.10.0/24 (вместо ХХХ своя сеть) IPv4 Remote network(s) - 192.168.11.0/24, 192.168.12.0/24 параметры Client Specific Overrides: Common Name - имя сертификата выданного через пфсенс для клиента B Advanced - iroute 192.168.11.0 255.255.255.0 Common Name - имя сертификата выданного через пфсенс для клиента C Advanced - iroute 192.168.12.0 255.255.255.0 pfSense здания B является клиентом peer-to-peer (ssl/tls) IPv4 Remote network(s) - 192.168.10.0/24, 192.168.12.0/24 (сеть головного и сеть второго филиала) pfSense здания C является клиентом peer-to-peer (ssl/tls) IPv4 Remote network(s) - 192.168.10.0/24, 192.168.11.0/24 (сеть головного и сеть первого филиала) делается всё по стандартным инструкциям с просторов интернета

@werter Точки доступа. Но уже понял в чем причина. На точках доступа изначально заданы статические IP. pfsense не отображает это в dhcp аренде. только когда создаешь статическую связку в dhcp сервисе, pfsense отображает статически связанные адреса. Итого - нужно связывать статические адреса host'ов с их MAC-адресами, тогда все клиенты dhcp видны в dhcp аренде. Важно - чтобы диапазон статических ip адресов не пересекался с диапазоном динамически выдаваемых ip адресов. Надеюсь понятно расписал.

@Konstanti тогда ждем очередного происшествия, я попробую снять tcdump. как посмотреть какие правила загружены в память? если честно я до этого момента думал,ч то все, что указано в списке правил - загружается и применяется. это не так?

@lucas1 #!/bin/sh for pkg_name in $(pkg info | awk '{print $1}') do echo "${pkg_name} `pkg info ${pkg_name} | grep Installed`" done

@werter Ну и? В переводе на русский, раздел Маска это 3-х позиционный свитч, который просто определяет как ограничивать трафик - динамично или статично. И зачем тогда там ниже всё остальное (32/128) впехано? Я предполагал, что Битовая маска вкупе позволяет сепарировать ИП адреса в зависимости от источника, а не переопределять источник.

Добрый. @hr1sha Схему рисуйте, трасер показывайте.

@werter said in (DF3) ACL 'default' error: destination name 'noneow_for_all' not found: @blackWolf Ссылки выше. Пробуй. По окончании отпишись здесь. Ждем Эти ссылки(древние) пробовали многие еще три года назад и нифига они и тогда полноценно работали (все форумы забиты о ошибках ) Так что попробуй хоть раз сам перед тем как другим дерьмо советовать А не собирай всякий мусор в интернете По окончании отпишись здесь. Ждем (и мы узнаем твою образованость)

@skynetyad Было очень занимательно прочитать ваше общение, жаль что бесполезное для окружающих. не считаете ли Вы, что решение поставленной задачи интересно и другим?

Заработало. Огромное спасибо.

@werter Ну и что, это разве лишнее Ради интереса ? зачем аватар сменили прячитесь ?

Спасибо. учту))))))