Оно заработало само как-то :-(

http://www.thin.kiev.ua/router-os/50-pfsense/762-ospf-pfsense.html
Версия старая, но принцип понятен
Единственное, что хочется добавить от себя:
Если есть подсети, отличные от той, в которую смотрит интерфейс, их нужно добавлять в правило Firewall

все выяснил спс. что маршрут нужен я сам знаю, только он не давал мне его сделать. писал такую фигню: pfsense the gateway is a different address family than network. оказалось в интерфейсе надо было вместо л2тп выставить статик ip v4 и там прописать еще раз адрес своего конца тунеля. в данном случае 10.0.0.1. типо один раз в конфиге л2тп его указать не хватает. бред полный. 2 дня на это угробил. :) вот после этого принял без ошибок роут. ОЧ ВАЖНО кто будет еще танцевать с бубном. роут не появился в роутинг таблице пока не зашел в него и не сделал выключить -> apply -> включить. для второго л2тп соединения пришлось на микротике выключить -> включить тунель. только после этого в роутах появилось правило и все заработало. такие танцы с бубном совсем не серьезно. правило должно было появиться после apply а не после включения выключения всего подряд.

Добрый.

@KDanat
Ответил в пред. сообщении.

@werter По вашему совету разделил задание на 2, 1 при загрузке второе с проверкой каждые 15 минут :)

На клиенте OpenVPN на вкладке FireWall-NAT (outbound) переводим в режим Hybrid Outbound NAT rule generation.
(Automatic Outbound NAT + rules below). И руками добавляем правило на интерфейсе openVPN. Где source - сетка 194.0, а destionation - сетка 191.0
@konstanti - благодарю за подсказанное решение.

@afz said in 1 WAN и 3 LAN:

оставить у PF два интерфейса WAN и LAN

Не совсем. У PF остается 1 интерфейс - LAN. На этом интерфейсе вы создаете VLAN, который и назначаете WAN.
Создать VLAN и для WAN нужно до удаления нынешнего WAN, т.к. PF может не дать удалить единственный WAN.
Проделать это, возможно, придется в консоли.

Вариант без VLAN - докупить сетевую карту, вставить ее в ASRock AD2700-ITX. Одно но - у AD2700-ITX нет поддержики PCIexpress.

@konstanti
Пацаны третьи сутки бухаю от радости!

@konstanti said in Доступ по URL:

Долго думал над Вашей проблемой
По-моему,так , в лоб , решения она не имеет , потому что узнать все адреса поддоменов можно только axfr запросом , а сделать этого никто не даст .

Именно по этому (отсутствие решения на поверхности) я и задал вопрос. Проблема по факту была не первый год. И первое время я сквидом ее и решал, но потом появился https повсеместный, 3 сквид был диким костылем лагающим, я перешел на чистый файрвол (либо это разрешено, либо это запрещено, запрещено все). А дальше... возвращаться на скид как-то не вышло. Да и вот опять попробовал, у меня нет логов. скрипт выполняется успешно, права на все есть, пути указан верны, а логов нет. И это видимо был последний раз когда я в него тыкал.
И тоже первое время я пользовался правилами по интерфейсам. Но однажды при добавлении очередного "разрешено" я вдруг осознал что я уже 4-й раз вношу одно и тоже правило, и мне надо внести его еще примерно столько же... и флоатинг сильно сократил весь список правил. За это ему хвала )

@guf-rolex-x Доброе утро

https://forum.netgate.com/topic/42698/how-to-openvpn-tap-bridging-with-lan

0_1545367759421_7cb74e46-e26d-44ad-a2be-0620238cff45-image.png

@sadam112 said in pfsense + openpn:

Есть openvpn сервер полностью рабочий

Этот сервер где? А поставщика ВПН-услуг? В Вашей LAN?

@sadam112 said in pfsense + openpn:

нужно чтоб вся локальная сеть выходила в интернет через pfsense

pfSense сейчас выполняет роль шлюза в интернет для LAN?

@sadam112 said in pfsense + openpn:

Если он не поддерживает openvp client

pfSense поддерживает любые варианта клиента OpenVPN.

@sadam112 said in pfsense + openpn:

я не очень понимаю куда вставлять - ca.crt , ta.key , user.crt , user.key

Почитайте
https://rus.privateinternetaccess.com/archive/forum/discussion/comment/56351/
Вам придется проделать почти все то же самое.

Думал не вернусь к теме но понадобился гигабитный свич, пришлось достать эту коробочку ну и как обычно проверить вафлю а вдруг заработает и тут то я нарыл интересную штуку через короткое время 2-10 минут Циска перестаёт видеть мак адрес wi-fi клиентов ( вот прикол ) и естественно PfSens не видя мак адреса клиента не пускает через WAN в интернет.
Временное решение заходишь на веб морду циски и интернет опять начинает работать.
В общем PfSense не виноват в глючности циски!
Интернет работает
0_1545101585755_cisco444.jpg
Интернет не работает
0_1545101588017_Clipboard02.jpg

Похоже, что у вас проблемы личного характера. Личные проблемы решайте вне форума.

Доброго.
@Алексей
Вы на какую vmware пф взгромождаете? На workstation\player или на vShpere ?

Существуют native vmtools и vmtools от самой vmware.

@k0st1k никогда не мониторьте шлюз провайдера (у него может быть запрещен ICMP на него). Мониторьте что-то типа 8.8.8.8, 1.1.1.1 и др.