smils, простите, но мне кажется вы даже не читаете, что я пишу. У меня поднят VPN сервер с использованием протокола IKEv2. Сделано все по вики, оф. доке, все хорошо, кроме того, что windows клиенты находящиеся за NAT не могут подключиться. В официальной документации для настройки VPN по протоколу L2TP (не IKEv2, который использую я) есть указание, что наблюдаются проблемы как у меня - windows клиенты за нат не могут подключиться, возможно это актуально и для этого протокола. Отсюда вопрос: если знаете как это поправить, помогите пожалуйста. Если есть примеры реализации (как успешные, тогда я буду искать решение, так и не успешные, тогда я сменю программно аппаратную платформу), сообщите о них, пожалуйста. Спасибо.

Всё получилось средствами portproxy. Итак, у нас были: ПК 1 (лок. 192.168.1.1/24, ovpn 10.10.10.100/24) ПК 2 (лок. 192.168.2.1/24, ovpn 10.10.10.101/24) Видеорегистратор HikVision (лок. 192.168.2.2/24) Цель получить с ПК1 доступ к видеорегистратору. На ПК2 вводим в CMD подряд две команды: netsh interface portproxy add v4tov4 listenaddress=10.10.10.101 listenport=18000 connectaddress=192.168.2.2 connectport=8000 netsh interface portproxy add v4tov4 listenaddress=10.10.10.101 listenport=10554 connectaddress=192.168.2.2 connectport=554 netsh interface portproxy add v4tov4 listenaddress=10.10.10.101 listenport=10080 connectaddress=192.168.2.2 connectport=80 Порты 18000, 554 и 80 необходимо открыть на ПК2 в брандмауэре или фаерволле. Таким образом через удалённый клиент мы получаем доступ к самому устройству (с порта 18000 к стандартному 8000), прямому видеопотоку RTSP (с 10554 к стандартному 554) и веб морде (с 10080 к 80). Огромнейшее спасибо Scodezan и werter!

@werter: Доброе. Оно должно стоять выше всех. Я его так и поставил, просто понять хочется, почему маршрут пропадает

@werter: Доброе. Кабель выдерните у нужного вам ВАНа и проверяйте. В чем ТЗ толком-то? Что конкретно не работет? приветствую! ТЗ ? проверить работу механизма обработки отказов. смоделировал ситуацию с двумя интернет сервис провайдерами. банальная ситуация , провайдер ограничил трафик основного канала связи. почему ограничил ? забыли оплатить или вышли за рамки квоты. Конкретно ? хм.. скажем , в сети имеем l2tp клиент для голосового или другого сервиса, провайдер ограничил трафик основного канала связи. сервисы через l2tp перестали быть доступными. админа нет, дернуть интерфейсы некому. позвонить админу не представляется возможным, тот в тайге рыбу ловит, связи с ним - нету.

Да все работает! Я делал через алиас но не работало прописал в форвардинге и заработало: WAN TCP * * WAN address 49152 - 65534 1.1.1.253 49152 - 65534 ftp omv P.S. openmediavault потому что sempron 140 2.7 ghz и 1 Gb ddr2!

Не в моём случае, объясню почему. С нашей стороны стоит роутер с шифрованием - 10.152.2.1 и весь диапазон адресов в нём наш. Это просто канал. Я обращаюсь к ресурсам 192.168.30.* или 192.168.50.* и т.д, находящимися уже ЗА ним. Соответственно в статик роутерс мне приходится вписывать подсети 192.168.30.* и т.д. Что-бы при обращении к ним перенаправлялся запрос через шлюз 10.152.2.1

ну так и копай туда) Первая вкладка Routing

1. Ты уверен что это в NAT проблема а не в настройках самого Asterisk к провайдеру? 2. На PfSense я пробрасываю только 5060 и RTP диапазон портов, все - работает.

Доброе. Гугл, не ? Совсем обленились (

Внимательно с Limiter-ом. Для того, чтобы канал делился динамически поровну между всеми - не указывайте ничего в destination и source в настройках limiter-а.

Где-то читал, что скорость с таким соединением ограничена 20-25 Мегабитами. Это в случае, когда модем со Стик-прошивкой в режиме PPP-соединения. Кроме ограничения скорости соединения в 20-30 Мбит, там еще возникает дополнительная нагрузка на CPU сервера.

@PTZ-M: …ананизм... Теперь подробнее к пункту 11 и почему у меня нихрена не работало. Клонировать надо - сектор в сектор! И если попытаетесь расширить раздел на весь винт - получите как раз косяк загрузчика. Уж не знаю на каком древнем говне работает сенсе i386, но винт в 40Гб он не переваривает. я лично pFsense i386 спокойно устанавливал и оно работает на винтах до 1 терабайта. А вот виндовые утилиты работы с жесткими дисками не умеют работать с нормальными файловыми системами. Особенно акронис был замечен в этом, что умеет распространенный в мире виндовс fat16\fat32\ntfs  а хоть обещает но совсем не умеет никаких других. Тебе можно было сделать проще: временно подключить винт в любой другой комп, установить там pfsense, вернуть винт обратно, загрузится настроить и радоваться жизни. @PTZ-M: Ну такие косяки бывали и на сколько помню они просто не виделись. Тут же винт прекрасно видеться системой и повторяю - линуха и окна - работают исправно. Нормально они виделись, но BIOS не правильно определял "геометрию" как результат считал не корректный размер. Это совершенно не мешало устанавливать операционку на такое железо и использовать весь фактический объем диска.

Доброе. Файлы для сетевой загрузки где лежат? Разрешения на папки\файлы есть на чтение ? Смотрите там логи.

Будет время - попробуйте позже. А лучше - на сертификатах (как в инс-ции). Так безопаснее - их же отзывать можно (выборочно) в случае чего.

Доброе. Кеш браузеров - очистить. Всех.

@OutPut: @PbIXTOP: 1)Использовать DNS-Hole 2)Запретить доступ с LAN ко всем IP, кроме разрешенных сайтов 3)Настроить компьютеры пользователей на явное использование proxy, запретив любые другие соединения. Если не трудно могли бы чуток по подробнее объяснить, куда зайти где тыкать.? Ну я вообще нуль в pfsense Да, пожалуйста. http://bfy.tw/DEoe

@adm1nb3k: Возможно ли обновить вручную скачав образ обновлении ?! Если да, то укажите как.. Спасибо Начиная с 2.3 - нет. In 2.3 and newer versions, the update system is pkg-based, changing the available update methods. Upgrades are performed either under System > Update in the webGUI, or option 13 at the console. Manual updates are no longer available, and systems must be Internet-connected to update. https://doc.pfsense.org/index.php/Firmware_Updates#Version_2.3_and_newer

Спасибо, друг, попробую. Всё-же интересно,  из-за чего такое возникает? Кто-то давненько писал, что, мол, squid у pfSense не очень "дружит" с двумя ISP, мб из-за этого?

Доброе. В настройках squid в bypass source ip

Спасибо.