@PbIXTOP: @pigbrother: IMHO, либо pfSense либо Микротик в схеме - лишнее звено. Предположу, что pfSense используется только ради сквида и т.д. Микротик в таких схемах бывает не лишний - иногда при грамотном использовании позволяет избавиться от ассиметричной маршрутизации. Да и грузить pf и так чистым трафиком в другую сеть тоже лишнее. @pigbrother: Получите единый для сети gw без чудес ассиметричной маршрутизации. Скорее всего это не ассиметричная маршрутизация, а незнание КШ и/или Mikrotik о подсетях VPN на pfSense. Поробуйте включить исходящий NAT для VPN клиентов, если у вас pfSense с локальных интерфейсов общается к КШ без проблем. И NAT'ть в сторону подсетей за КШ скорее всего будет наиболее грамотным решением, поскольку даже если вы настроите локально правильно маршрутизацию pfSense-Mikrotik-КШ, то удаленные стороны могут ничего не знать о VPN сетях pfSense. включить исходящий NAT на чем pf или MT?

Не знаю правильно или нет, но… Создал запрещающие правила на каждом из VLANов на исходящие подключение к каждому другому VLANу. Если надо управлять устройствами из другого VLANа, то разрешаю. IP VLAN_X port X to IP VLAN_Y port Y и из IP VLAN_Y port Y to IP VLAN_X port X Как то так.    

2 werter Так сами авторы как бы предупреждают, что So the NAT-hack is NOT a problem-solver, and could be a problem-creator. В качестве постоянного решения лучше не использовать. В том случае, если нет возможности изменить удаленную сеть, но очень приспичило поднять впн, то сгодиться.

Установка галки на "Bypass firewall rules for traffic on the same interface" (System / Advanced / Firewall & NAT) исправила ситуацию. 3 раза скачивал и удалял приложение.

Ребята, отбой) Всем спасибо большое! За советы и участие! Косяк был во втором модеме. Он до этого зимой еще тупил (отказал третий порт, на телефон который идет). С другим модемом все заработало отлично и без танцев с бубном. (в настройках модемов поставил DHCP и заработало на ура)

@Igor: Скрипт для версии 2.3.4 (пока(?) доступна только версия с samba4): [ Проверил на тестовом шлюзе сегодня - всё работает корректно. [/quote] Подскажите как YP включить.

@werter: Внешние клиенты пользуют Ваш сквид через ipseс-туннели? Нет, немного не так. Я сумбурно написал. IPsec не при чем.  Существует следующая схема: Client -> Hardware NAT -> Internet pfsense существует сам по себе. В один момент вдруг понадобилося группе пользователей ограничить доступ в интернет. А я в свою очередь решил это сделать средствами уже существующей машины с работающим pfsense. Необходимо встроить url-filtering либо между клиентом и натом (в этом случае на pf будут приходить приватные адреса), либо между натом и выходом в интернет (тогда клиенты будут иметь публичные адреса для pf). Обязательные условия - прозрачность, а также отсутствие НАТа на фильтрующем оборудовании (необходимо сохранить только ip, порт не важен). При этом необходимо знать и собирать информацию, кто, куда ходил за продолжительное время и для большого количества клиентов. Все это уже реализовано средствами NAT, требуют только добавить фильтрацию url.

@Oleg2017: Не подскажите как у вас настроено на одном сервере два микротика. У меня при этом пингуется только один (пингуется из сети за  pfsense-ом) . Тот чья сеть указана  в  IPv4 Remote network(s) на сервере. Так сервер на то и сервер, чтоб обслуживать множество клиентов, не создавать же сервер для каждого. То, что за клиентом - сеть, значения не имеет. Сервер В IPv4 Remote network(s) - обе сети за Микротиками через запятую -  a.a.a.a/24, b.b.b.b/24 (хотя я исторически использую вместо Pv4 Remote network(s) директиву route в advanced). Сlient Specific Overrides Обязательно для каждого клиента Микротика в IPv4 Remote Network/s - сеть за этим Микротиком в виде a.a.a.a/24, а в Advanced push route "b.b.b.b 255.255.255.0 x.x.x.1" где b.b.b.b 255.255.255.0 - сеть за другим Микротиком x.x.x.1 - IP "серверного конца" OVPN туннеля. Это - ключевой момент, без него маршрут в сеть за другим Микротиком не будет воспринят. В IPv4 Local Network/s сети b.b.b.b быть не должно. Для второго Микротика - по аналогии

Профиль убрал, хоть он и был как по дефолту С маршрутами и со стороны Pf по мне так кажется

Да, весьма годный ресурс. Если не изменяет память - тоже на него ссылался  ;) Один недостаток - чтобы все прочитать, нужно брать отпуск.

Обычно все происходит так: 1. Если хотите "зарулить" принудительно всех пользователей в прокси, то на роутере настраивается правило для форвардинга http трафика на прокси сервер . "Запрос" на трафик генерирует клиент сети, роутер его отправляет на прокси сервер и все. 2. Можете прописать\отключить прокси сервер требуемым клиентам вручную\политиками, вот вам вариант все проверить на лету, в этом случае роутер вообще "не увидит" запросы клиента. В обоих случаях генерировать запросы в интернет и раздавать интернет клиентам будет прокси.

Доброе. Спасибо за статью. Довольно подробно. P.s. Было же похожее на хабре 3 года назад - https://habrahabr.ru/post/246953  ;)

Доброе. Небольшой оффтоп. @shteud: работало раньше по такой схеме при подключении свича к порту обычного РОУТЕРА (асус рт 68 ас) Для вашего роутера есть вот такая замечат. прошивка, значительно расширяющая его возможности (кроме ревизии C) - http://tomato.groov.pl/?page_id=69 http://tomato.groov.pl/?page_id=31 Имеется даже поддержка Multiwan, полноценный клиент\сервер Openvpn, лимитер и т.д.

@Ilyuha: OpenVPN сервер настроен на pf2.3.4 в режиме Remote Access, клиенты из local database подключаются норм. Как для определённых клиентов назначить постоянный IP из виртуальной сети VPN-туннеля 10.0.8.0/24? https://forum.pfsense.org/index.php?topic=113424.msg630678#msg630678

Доброе. Если имеется возможность физ. присутствия: 1. Сохранить бэкап конфига 2. Установить пф с нуля. 3. Залить бэкап конфига. Вышеописанное - кардинальная мера. А так, при любых проблемах в IT - читать и анализировать логи.

Доброе. Рад, что Proxmox приглянулся ) Действительно достойная, удобная, открытая платформа.

Доброе. Логи почтовика покажите.

Доброе. https://forum.pfsense.org/index.php?topic=119391.0 https://forum.pfsense.org/index.php?topic=68445.0

Доброе. https://forum.pfsense.org/index.php?topic=109253.0 https://wiki.autosys.tk/doku.php?id=linux_faq:%D1%81%D1%82%D0%B0%D0%B2%D0%B8%D0%BC_opnsense_%D0%BD%D0%B0_xenserver6.5 Ps. Ммм, Xen.  Мой 1-й гипервизор  ::) Уходите с него. Чем раньше - тем лучше. Правда. Proxmox (https://www.proxmox.com/en/downloads) Вам в помощь - ZFS raid, autobackup с ротацией (в Xen нужно велосипедить), кластеризация. Все рулится через браузер, а не через не пойми что.