Добрый. @oleg1969: pfSense – далеко не панацея Есть вещи которые он не может и вряд ли когда сможет Успокойтесь. Никто и не утверждает, что пф - идеален. И вопрос задан не вам. Вопрос для ТС.

Про провайдера подумал. Убрал pf поставил Windows, все пингуется Короче завязываем с темой. Поставил pfSense другой версии, все стало нормально.

https://forum.pfsense.org/index.php?topic=100535.0 https://forum.pfsense.org/index.php?topic=96446.0 https://forum.pfsense.org/index.php?topic=93436.0 https://www.reddit.com/r/PFSENSE/comments/5v5izc/cant_shape_traffic_with_dscp/

Добрый. А по мне так 2-ой универсальнее - одно запрещ. правило в самом верху, а ниже добавляй-разрешай все остальное. Причем не надо мучаться с явным добавлением шлюзов, прописыванием dest etc.

@pigbrother: Ув. werter спасибо за ссылку. Спасибо, буду разбираться. Да, там есть в чем разбираться, автор создал явно избыточный тестовый стенд.  Если не трудно - отпишитесь о результате. Всем доброго. В общем, задача несколько изменилась, нужный результат получен через направление трафика филиала через головной офис.

Добрый. Линк будет подниматься автоматом. По др. никак. Как вариант-костыль - создать правило fw на LAN с расписанием работы когда можно в удаленную сеть "ходить". Если это вас устроит.

Из поста про самбу, но это неважно: https://forum.pfsense.org/index.php?topic=119190.msg681835#msg681835

Добрый. Автонастройка включена естественно в ОС, есть такая настройка в панели управления, как "свойства браузера", где обычно уже установлена галка в настройке параметров локальной сети "автоматическое определение параметров". IE и хром туда смотрят Это не совсем так. Существуют системные настройки прокси. Устанавливаются они с пом. редактирования реестра или команды netsh: netsh winhttp set proxy <your proxy="" server="">:</your> https://serverfault.com/questions/34940/how-do-i-configure-proxy-settings-for-local-system https://social.technet.microsoft.com/Forums/windows/en-US/8baf9f43-98e8-407e-8443-a1af5b752e54/system-wide-proxy-setting-in-windows7?forum=w7itpronetworking И эти настройки не зависят от того, какие установлены в IE. И Хром и IE ориентируются в первую очередь на них (?)

Спасибо большое!!! Так и знал что дело в мелочи. Да, у провайдера привязка к маку.

@blackendosa: Dear, can pfsense be installed, but only as a vpn server? Yes. https://forum.pfsense.org/index.php?topic=56792.0 And don't forget add the static route back into the vpn\other site subnet on your defaul router appliance.

Добрый. Скрин настроек сквида покажите.

Добрый. Из того, что есть у меня: https://forum.pfsense.org/index.php?topic=132245.0 https://forum.pfsense.org/index.php/topic,31482.html https://forum.pfsense.org/index.php?topic=58846.0 https://forum.pfsense.org/index.php?topic=120551.0 https://community.spiceworks.com/how_to/34667-setup-open-vpn-with-pfsense-carp-and-quagga-ospf

@shurakenas: есть pfsense с адресом 192.168.151.1 (основная сеть), имеется виртуальный ip 192.168.100.149 (на этой сети телефония). Диапазон 100 подсети ограничен (с 100 по 149 адреса), так как используется на нескольких отделениях. Всё работало как часики, неделю назад обновили pfsense и доступ к 100 подсети пропал: Такой вывод с windows командной строки. Ответ от 192.168.151.1: Превышен срок жизни (TTL) при передаче пакета. Ответ от 192.168.151.1: Превышен срок жизни (TTL) при передаче пакета. Ответ от 192.168.151.1: Превышен срок жизни (TTL) при передаче пакета. Ответ от 192.168.151.1: Превышен срок жизни (TTL) при передаче пакета. Такой вывод с linux консоли. From 192.168.151.1 icmp_seq=1 Time to live exceeded From 192.168.151.1 icmp_seq=2 Time to live exceeded From 192.168.151.1 icmp_seq=3 Time to live exceeded From 192.168.151.1 icmp_seq=4 Time to live exceeded Уже не знаю что посмотреть, подскажет кто нибудь? Очень похоже на зацикленную маршрутизацию, вполне возможно из-за правил для DualWan или подобного. Cнимите дампы трафика с интерфейсов во время пинга - они смогут разобраться куда (не)отправляет пакеты pfSense

т.е. шлюз один у обоих IP? Если да, то просто используете один шлюз, на оба адреса У нас так реализовано

Ну чуть не так выразился… Со всех 3-х серверов из LAN имеется доступ к LAN клиента, а с клиента есть доступ ко всем LAN 3-х серверов. Спасибо, буду пробовать.

@werter: Что такое OPT1 ? Если это явно созданный впн-интерфейс - удаляйте. У вас для каждого клиента - отдельн. впн-сервер? Не увидел разр. правила для впн на ЛАН. Вроде между строк не пишу. Зачем в Адвансед добавили iroute ? Оно не там рисуется. Для Асуса есть http://tomato.groov.pl/?page_id=69. Намного лучше родной прошивки. Есть и впн клиент-сервер и мультиван и много чего еще http://tomato.groov.pl/?page_id=31. После перепрошивки сбросить NVRAM! Зачем в Адвансед добавили iroute ? Оно не там рисуется. Только там и заработало, но в целом подскажите куда правильно писать. Для Асуса есть http://tomato.groov.pl/?page_id=69. Намного лучше родной прошивки. Есть и впн клиент-сервер и мультиван и много чего еще http://tomato.groov.pl/?page_id=31. После перепрошивки сбросить NVRAM! Так как это клинское оборудование, приходится танцеать от того что есть, я бы поставил железку на pf и на этом все было бы закончено. У вас для каждого клиента - отдельн. впн-сервер? Нет, сервер у меня один. Remote access ssl/tls + user auth Что такое OPT1 ? Если это явно созданный впн-интерфейс - удаляйте. [image: 20045226.jpg]

@pigbrother: Вы же сами написали, что 158 Выходит в интернет 77.88.21.207:443 через squid 127.0.0.1:3129 Следовательно запретить выход 158 в интернет средствами firewall не выйдет, ищите такую возможность в squid. Хотя, по идее, для 158 остаются доступны только HTTP/HTTPS. Хотя, по идее, для 158 остаются доступны только HTTP/HTTPS. Нет, доступно всё. помимо портов 80 и 443. Все остальные порты в рабочем состоянии, ни намёка на блокировку. Тут посидел, подумал, может быть добавить его в squid, как разрешённый для обхода сквида, тогда соответственно правила вступят в силу. НО вся задумка тогда идёт прахом.