А зачем мучится? В поисковике "забейте" "pfsense squid active directory".
Много разных способов. Вот например https://fakirss.wordpress.com/2017/05/04/%D0%B0%D0%B2%D1%82%D0%BE%D1%80%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F-%D0%B2-squid-%D1%87%D0%B5%D1%80%D0%B5%D0%B7-kerberos-%D0%BD%D0%B0-pfsense/ или вот в FAQ этого форума https://forum.pfsense.org/index.php/topic,46843.0.html
P.S. Если хотите использовать группы AD, то нужно добавить типо такого
после auth_param negotiate program и прочего типа
auth_param negotiate children 60
auth_param negotiate keep_alive off

external_acl_type inet_medium ttl=300 negative_ttl=60 children-startup=5 children-max=20 ipv4 %LOGIN /usr/local/libexec/squid/ext_kerberos_ldap_group_acl -a -g Internet -D ВашДомен.RU
external_acl_type inet_full ttl=300 negative_ttl=60 children-startup=5 children-max=20 ipv4 %LOGIN /usr/local/libexec/squid/ext_kerberos_ldap_group_acl -a -g Internet_Full -D ВашДомен.RU
external_acl_type inet_low ttl=300 negative_ttl=60 children-startup=5 children-max=20 ipv4 %LOGIN /usr/local/libexec/squid/ext_kerberos_ldap_group_acl -a -g Internet_Low -D ВашДомен.RU

далее
acl Full external inet_full
acl Medium external inet_medium
acl Low external inet_low

И даже можно попробовать
delay_pools 3
delay_class 1 4 # 2 Mbit user / 8 Mbit group
delay_class 2 4 # 1 Mbit user / 4 Mbit group
delay_class 3 4 # 500 Kbit user / 2 Mbit group
delay_parameters 1 -1/-1 -1/-1 -1/-1 250000/1000000
delay_parameters 2 -1/-1 -1/-1 -1/-1 125000/500000
delay_parameters 3 -1/-1 -1/-1 -1/-1 62500/250000
delay_access 1 allow Full
delay_access 2 allow Medium
delay_access 3 allow Low

P.S. Хотя тут https://forum.pfsense.org/index.php?topic=145753.0 пишут что не работает, возможно плохо готовят

P.P.S Забыл написать (хотя возможно это и очевидно) что нужно завести в домене группы "Internet", "Internet_Full" и "Internet_Low".

путь к хелперам - /usr/local/libexec/squid/

кальмар на 2.3.5 собран с поддержкой delay pools, так что должно работать.

Squid Cache: Version 3.5.27
Service Name: squid

This binary uses OpenSSL 1.0.1s-freebsd  1 Mar 2016. For legal restrictions on distribution see https://www.openssl.org/source/license.html

configure options:  '–with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var' '--sysconfdir=/usr/local/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--with-swapdir=/var/squid/cache' '--without-gnutls' '--enable-auth' '--enable-zph-qos' '--enable-build-info' '--enable-loadable-modules' '--enable-removal-policies=lru heap' '--disable-epoll' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-translation' '--disable-arch-native' '--enable-eui' '--enable-cache-digests' '–enable-delay-pools' '–disable-ecap' '--disable-esi' '--enable-follow-x-forwarded-for' '--enable-htcp' '--enable-icap-client' '--enable-icmp' '--enable-ident-lookups' '--enable-ipv6' '--enable-kqueue' '--with-large-files' '--enable-http-violations' '--without-nettle' '--enable-snmp' '--enable-ssl' '--with-openssl=/usr' 'LIBOPENSSL_CFLAGS=-I/usr/include' 'LIBOPENSSL_LIBS=-lcrypto -lssl' '--enable-ssl-crtd' '--disable-stacktraces' '--disable-forw-via-db' '--enable-wccp' '--enable-wccpv2' '--with-mit-krb5=/usr/local' 'CFLAGS=-I/usr/local/include -O2 -pipe  -I/usr/local/include -I/usr/local/include -fstack-protector -DLDAP_DEPRECATED -fno-strict-aliasing' 'LDFLAGS=-L/usr/local/lib  -pthread -L/usr/local/lib -lpcreposix -lpcre -L/usr/local/lib -L/usr/local/lib  -Wl,-rpath,/usr/local/lib:/usr/lib -fstack-protector' 'LIBS=-lkrb5 -lgssapi_krb5 ' 'KRB5CONFIG=/usr/local/bin/krb5-config' '--disable-ipf-transparent' '--disable-ipfw-transparent' '--enable-pf-transparent' '--with-nat-devpf' '--enable-auth-basic=LDAP SASL DB SMB_LM MSNT-multi-domain NCSA PAM POP3 RADIUS fake getpwnam NIS' '--enable-auth-digest=file' '--enable-external-acl-helpers=LDAP_group file_userip time_quota unix_group kerberos_ldap_group' '--enable-auth-negotiate=kerberos wrapper' '--enable-auth-ntlm=fake smb_lm' '--enable-storeio=aufs diskd ufs' '--enable-disk-io=DiskThreads DiskDaemon AIO Blocking IpcIo Mmapped' '--enable-log-daemon-helpers=file' '--enable-url-rewrite-helpers=fake' '--enable-storeid-rewrite-helpers=file' '--prefix=/usr/local' '--mandir=/usr/local/man' '--disable-silent-rules' '--infodir=/usr/local/info/' '--build=i386-portbld-freebsd10.3' 'build_alias=i386-portbld-freebsd10.3' 'CC=cc' 'CPPFLAGS=-I/usr/local/include -I/usr/local/include' 'CXX=c++' 'CXXFLAGS=-O2 -pipe -I/usr/local/include -I/usr/local/include -fstack-protector -DLDAP_DEPRECATED -fno-strict-aliasing  -Wno-unknown-warning-option -Wno-undefined-bool-conversion -Wno-tautological-undefined-compare -Wno-dynamic-class-memaccess' 'CPP=cpp' --enable-ltdl-convenience

@nyukers:

так L2TP поменяли на  PPPoE?

Если вы о pfSense - все на месте
VPN->L2TP - L2TP сервер
Services->PPPoE Server - PPPoE Server

Взял Asus RT-AC51U, прошил самой свежей прошивкой от Padavana. 17-20 Мбит держит стабильно.
Большое спасибо за совет.

В конфиге нет пользовательского сертификата, почему то не связываются.

Или что-то с настройкой сервера. И по этому сертификаты не выгружаются.

да никто не грубит, там в конце стоит смайлик.

если есть "Доступ к телу" , всегда шлюзы настраиваю в последнюю очередь , после развертывания всей инфраструктуры ,домен контроллеров и т.п. Так что , виртуальные адаптеры уже были созданы и подключены остальным VM перед установкой PF.

Добрый.
Приходит на ум только Captive Portal. Или squid. Хотя это и не совсем то.

Добрый.

Столкнулся с еще одной проблемой - программка на виртуалке обращается к внешнему IP (на котором pfsens)  к определенному порту.

Можно также принудительно заворачивать пакеты с пом. port forwd на LAN.

Добрый.
OpenVPN. Руками. Или с web gui - https://pritunl.com/

@derwin:

вас ожидает адское гей порно с плавающей и рандомной маршрутизацией. Туннели в качестве интерфейсов в группе НОРМАЛЬНО НЕ РАБОТАЮТ.
Рекомендую OSPF

Да, я в курсе, но в некоторых задачах, рандомная маршрутизация то, что надо и она совсем не напрягает. Но за OSPF отдельное спасибо.

у меня такой траффик генерируют  телефоны на андроиде. Природа данного явления мне непонятна, но это никак не отражается на конечных пользователях или сервисах.

Добрый.
Правило fw на интерфейсе добавить после (src - LAN net * dest - LAN addr 123\UDP). У меня без него пф блокировал ntp-запросы.

Добрый.
Что ж э то за приложение такое ?
Простой правильный проброс портов должен решить проблему.

Добрый.
@yarick123:

Я бы просто сделал split DNS resolving.

Поддерживаю. В настройках dns resolver сопоставить внешний адрес веб-сервера его локальному ip-адресу. Сбросить кеш браузера b кеш днс на клиенте и проверить.

Всем спасибо !
вернул pfsense на заводские настройки
добавил правило на WAN  где dst=XXX.XXX.XXX.0/27, и остальное все - any
пока что полет нормальный

@werter:

Другой вопрос - баг это в архитектуре CPU или фича (бэкдор) для сами-знаете-кого  8)

насколько помню линукс по этой причине генерирует рандомные значения на основе рандомных данных со входа микрофона.
А то одна известная корпорация как то сознавалась в закладке в процессоре для сами знаете кого, когда рандом на самом деле не рандом. А значит вся твоя нагенерированная криптография на самом деле не такая уж и нагенерированная, и уже подвержена MITM уязвимости.

@gost370:

День добрый.
Недавно стал использовать pfsense 2.4 на ВМ gen 2 под hyper-v на 2012 r2 server. Обратил внимание, что файловая система pfsense стала разваливаться от любого чиха. те любая некорректная перезагрузка ВМ это 100 гарантия того что pfsense загрузится в режиме только чтение в неработоспособном состоянии. Конечно проверка и исправление ФС решает проблему. На версии 2.2 и ВМ gen1 такого не было, pfsense героически выдерживал перезагрузки после бсод, отключения питания сервера и тп. 
Собственно вопроса два

а кто то использует pfsense в похожем конфиге? У вас есть подобные проблемы? есть предложения как с этим бороться, например может быть в pfsense можно поотключать все кеши на запись.

При установке любого линукса обращайтесь к документации по Hyper-V тыц(ТС точно знает толк в извращениях)

Suggest to Label Disk Devices to avoid ROOT MOUNT ERROR during startup.

рекомендую использовать VHDX фиксированного размера(вне зависимости от того что пишет дока. там кстати написано если хотите динамический то вручную ковыряйте.)
О чем кстати ни слова в указанной Вами инструкции. но это и не удивительно, читаем предложение номер 1.

Учитываю доки по ПФ у нас 2.4 = FreeBSD 11.1

сети которые лежат на том конце
разберетесь, думаю.
после того как закончите, прошу модераторов убить ссылку.
она кстати есть в оф мануале.
курим
ну а это после того как разберетесь с айпи
рус частично
в принципе все более менее хорошо документировано. дел с амазоном не имел, тонкостей не знаю но и их очень много в мануале.

Вопрос: Какие технические требования предъявляются к виртуальным интерфейсам для VPC? Данное подключение требует использования протокола пограничной маршрутизации (BGP). Для совершения подключения вам потребуется следующая информация.     Публичный или частный ASN. Если вы используете публичный ASN, вы должны быть его владельцем. Если вы используете частный ASN, он должен находиться в диапазоне от 64512 до 65535.     Новый неиспользованный тег VLAN по вашему выбору.     ID виртуального частного шлюза (VGW) VPC AWS выделит частные IP-адреса (/30) в диапазоне 169.x.x.x для сеанса BGP и будет транслировать блок бесклассовой адресации VPC через BGP. Вы можете транслировать маршрут по умолчанию через BGP.

То есть создаем новій вирт. интерфейс, настраиваем опен бгп на свой диапазон адресов. На чужой не выйдет. шлюз по умолчанию и вперед… если нужно указать определенные сети ходящие через этот интерфейс то придется долго писать кучу правил с алиасами сетей

такс, первую часть закрыл, теперь вторая.
Могу получить прямой доступ по доменному имени из той же внутренней сети только при условии использования NAT+Proxy
почему не пашет на Pure Nat?

Позднее: Вопрос можно закрывать, ушел на RouterOS