спасибо буду читать

Добрый.

PfSense 2.1.5

А оно не ляжет? Там же шифрование. И весь трафик туда завернуть  :'( Уж оч. древнее.

@pigbrother:

Сертификат сервера нужен серверу.
Клиента - клиенту.

Неясно, правда,  зачем вашему Grandstream нужен серт. CA. Для спокойствия?

Для ВПН на сертификатах CA нужен клиенту. Любому. Потому как серт-ты и сервера и клиента подписаны одним СА.
И сервер и клиент это проверяют.

Попробуйте зайти в настр. впн клиента на пф. Или выгрузить online-конфу для любого клиента. Там 100% будет СА.

@werter:

И то и др. - куплено же, да ?  ;D На случай проверок ПО.  Потому как версия у вас самая дорогая.
И для работы Veeam нужна Win?

Вообще да, она куплена. Нужна, но меня не напрягают затраты на нее около 4GB RAM.

Добрый.
Static route зачем задавать ?

WAN_DHCP1\2 - Билайн поднимает двойное соединение: сначала DHCP, а потом поверх него VPN.

Откуда и Би сеть 192.168.x.x на внешке ? Там как минимум 10.x.x.x . Или у вас там еще что-то железное перед пф стоит ?

Линк в Сеть на адсл по pppoe работает? Да - перевести adsl-модем в режим bridge\мост. И пусть pf поднимает сессию.

Это сделано?

Я бы использовал Loadbalancing только.

Не просто так написал. Не мудрите с кучей Групп. С одной разберитесь.

Добрый.
Смотрите логи. Всегда.

@pigbrother:

Думал - не доживу до внедрения IPV6 ;).

Заработало идеально!

Скажите, с правилами PF по умолчанию как обстоит дело с доступностью извне по IPV6 хостов внутренней сети ?
Проверять удобно этим:
https://www.subnetonline.com/pages/ipv6-network-tools.php

Прошу прощения за долгий ответ. Я тут в поисках идеального дистрибутива ушел сначала на opnsense, а потом вернулся на vyos.
По умолчанию к хостам внутри сети не пускает. Я настраивал правила, разрешающие пинговать все машины и для отдельного сервера разрешил доступ по 80 и 443 порту. В остальном, граница на замке  :)

@Str7:

Хотя бы понять, что так сделать невозможно в принципе. То ли я тупой, то ли ограничения протокола?

Такое ограничение было у pfSense с исходящими PPTP.
Предположу, что дело в особенностях работы L2TP/IPSec через NAT со стороны этих 2-х клиентов. Возможно - с их стороны двойной NAT и т.д.
Потому и спросил про Open VPN, который безразличен к подобного рода ограничениям.

Добрый.

Добрый.

Поставить галку на DNS Server enable в настройках впн и вписать адреса днс-серверов. Для Вин-клиентов поставить галку на Force DNS cache update. Если у вас исп-ся только Вин-серверы как ДНС - этого хватит.

В случае же использования пф как сервера имен и dns resolver-а, у последнего в настройках есть какие интерфейсы слушать, плюс в настройках dns resolver есть Access List - добавить разрешенные сети клиентов туда.
Также, возможно, потребуется создать в fw на впн-интерфейсе правило, где в src - *, dst -  LAN addr, proto - TCP\UDP, dst port -53

Путей два
1. Через веб-интерфейс. Неудобно. В плюсах - можно завести пользователя и деоегировать ему права на выключение.2.
2. Через SSH. Решение для Windows, думаю легко перенести на смартфоны, клиенты SSH для Андроид естьво множестве, для iOS - думаю тоже.
https://forum.pfsense.org/index.php?topic=70197.0
Как делегировать права неадмину вроде описано тут:
http://www.pfsenseitaly.com/2013/05/pilotare-lo-shutdown-di-pfsense-tramite.html
Промежуточный вариант - запускать yes | /etc/rc.initial.halt
https://forum.pfsense.org/index.php?topic=121458.0

Спасибо, попробую
Успехов. Отпишитесь о результатах.

@_valentin_:

В общем все запустилось! Спасибо большое за Вашу помощь! Теперь хоть мануал написать могу )))

Будьте добры поделитесь маньюалом, темболее в версии 2.3.4

Пока писал, придумал очевидное решение (с высоты моих знаний :D ). Изменил правило №2 в соответствии с логикой "разрешить всё на GW_WAN2, кроме сетей ЛВС и богон". Судя по логам, всё чудно. )))


Добрый.
Вкл. логирование fw и смотрите что у вас на WAN происходит.

Сидел на 2.4.2.p1, два Сенса в КАРПе. Началось на первичнике. В логах была эта ошибка, но причина - Aliases. Пробовал заходить в алиасы, и делать Edit -> Save -> Apply. Это не только не помогло, но и потянуло за собой следующие ошибки. В результате пришлось из бекапов доставать конфиги недельной давности и полностью ставить новый Сенс. На тот момент как раз вышел 2.4.3

Как я раньше писал у меня интеловская I350-T4, драйверы IGB, однопортовая интловская (надо в корпус  лезть, но довольно старенькая) EM, и несколько разных RE-шных карт на реалтовских чипсетах.