Добрый.

А не подключаются?

В любом браузере вкл. Инструм-ты разраб-а. И смотрите , что там происходит.
Плюс в логах своего битрикса смотрите. В нем редирект на httpS настроен верно? Проверяли?

Проверять извне. С др. провайдера или внешние сервисы.

Зы. Сайт - жесть :( Правда.
Правило хорошего тона - не более ТРЕХ цветов и не более ТРЕХ шрифтов (лучше - трех вариантов одного шрифта). Шрифты - без засечек (verdana, tahoma etc)
Зы2. Готовые инструменты для создания статических сайтов (сайтов-визиток) - https://www.staticgen.com/ Пользуйте.
Зы3. Красота для мониторинга https://ru.wikipedia.org/wiki/Matomo

С реальным ИП разобрался, надо галку поставить в настройках бэкэнда!0_1542731459560_Screenshot_2018-11-20 pfSense localdomain - Services HAProxy Backend Edit.png

@pigbrother Доброе утро
Для других сетей именно попадет в туннель , а потом выйдя из туннеля будет отмаршрутизирован PF по назначению.
В качестве примера
1 traceroute без OPENVPN
2 traceroute с включенным OPENVPN
0_1542696956117_29e851ff-1481-4880-a150-7f023b1fe112-image.png

Естественно это работает при условии , что эти другие сети не прописаны явно в таблице маршрутизации хоста

@armrus надо форвардить заголовок x-real-ip.
здесь можно почитать обсуждение https://www.linux.org.ru/forum/admin/13993367
ну и собственно по редиректу протоколов https://www.linux.org.ru/forum/admin/11959213
надеюсь поможет. сам конечно же не юзал haproxy на pfsense.
у меня все немного по другому работает. есть правила проброса http,https на внутренний reverse proxy который работает на nginx и там уже делается вся магия.

Про 2.4 - не подскажу, мои выводы выше основаны на опыте использования multiwan на более ранних версиях.

@konstanti Спасибо.Помогло.

Ничего. Я как раз сегодня так и сделал.
Но любителям экстрима можно править xml ))

Добрый.

@lky said in pfSense + lightsquid по имени клиента варианты?:

Но, антивирь то хочется

Толку от него там - нуль. Локально на местах настраивайте, если нужно.

что у людей работает подстановка 2.4.4, у меня только 2.4.3 прокатило, 2.4.4 не найдено

Что там может не работать? Там только проверка версии меняется - все остальное остается.

@werter Спасибо большое ! Буду разбираться !

Доброго.

В догонку.
Имеется возможность использовать недорогие роутеры (tp-link, d-link etc - десятки моделей) + OpenWRT + пакет openvpn-mbedtls https://forum.openwrt.org/t/tp-link-tl-wr841n-d-wa701n-d-wr740n-d-wr741n-d-wr743n-d-wr940n-wr941n-d-ladus-julia-ultra-lite-vpn-builds/1158 (лучше собирать самому, кому интересно - пишите)

Работает даже на 4MB ПЗУ\flash. Скорость не более 10Mb\s.

Зы. Openwrt перешла на ядро 4.14 👍 Единственная альтернат. прошивка, использующая такое свежее ядро linux.

@konstanti спасибо!
Это работает и на 2.4.4.

@werter said in Доступ из одной подсети в другую:

Доброго.

@oxigen1987
С ВЛАН (писал выше) разобрались ? Все ОК ? Транк порт присутствует на свитче? На пф ВЛАН-интерфейсы созданы?

Почему у вас у Konstruktor Internet в State отрицательные значения ? У вас петля на свитче\проблема с сетевой картой etc ?

Да я тоже думаю на виртуалку перенести

Вы сперва с реальным железом разберитесь. А то "навиртуалите" (

Прошу прощенье за долгое отсутствие. Что значит петля на свитче?

@werter said in Исходящий трафик с портами 137, 138, 139, 445.:

Пробовали? У меня работает. Правда nat мне в туннеле не требуется - в филиалах, как и положено, сети с разной адресацией.

Тоже работает. И тоже без NAT.

@werter said in Исходящий трафик с портами 137, 138, 139, 445.:

В настройках впн есть пункт Enable NetBios или как-то так. Попробуйте.

У меня работает, что с Enable NetBios , что без него.

@dirar19 Сделать WAN , к примеру , другим интерфейсом
WAN сделать с фиксированным IP , подключить комп напрямую к WAN и погонять iperf . Это навскидку
а какие настройки wan ?
ifconfig что показывает ?
Куда кабель воткнут от wan ?

@werter said in IpSec туннели на три офиса глюки...:

В Win - ping -l размер-пакета-в-байтах -f -t удаленный-адрес
Размер пакета в байтах подбираем от обратного (напр., 1500 байт), понижая до того момента, когда появится стабильный пинг без ошибок. Можно и скрипт с циклом перебора написать.
Метод выручал и оправдывал себя не раз.

Спасибо - попробую...

А по поводу перевода всех на OpenVPN - у меня куча клиентов IpSec удаленных на всех серверах...
Можно конечно, но надо крепко подготовиться.

Я глянул, у меня в центральном офисе IpSec на PF поднят 8 лет назад, и до недавнего времени всех устраивал. Но вот нашла коса на камень....

@igr Доброго
Надеюсь , поможет
https://www.netgate.com/docs/pfsense/vpn/ipsec/routing-internet-traffic-through-a-site-to-site-ipsec-vpn.html