1.Правило в  Firewall Rules OpenVPN IPv4 * * * * * * none есть? 2. PfSense - шлюз по умолчанию для пингуемых ресурсов? 3. Файрволл на пингуемых ресурсах выключен?

Всем спасибо кто откликнулся. Все предложенное обязательно попробую. Разношерстную память заменил на 4х512 Apace, падение продолжились. Попутно поменял УПС, с APC CS-650 на Ippon, т.к. APC не мог нормально настроить на выключение. Пока АппТайм 6 дней. Попутно заметил странное сообщение на экране монитора когда подключил. [image: error.JPG] [image: error.JPG_thumb]

Добейте Open VPN, ему плевать за скольким натами клиент. Повторю: Специально на тестовой 2.3.4-RELEASE проделал весь путь. Криво создался сертификат сервера, возможно был невнимателен. Пришлось сертификат сервера создать вручную и подсунуть этот сертификат серверу, созданному визардом. После этого  экспорт конфига отработал правильно. UPD На этапе Choose a Server Certificate надо выбрать Add New Certificate  а в поле Certificate вписать имя, которое будет Common Name будущего сервера, например OvpnRAserver. @PbIXTOP: @bitsoft: C этим мануалом не поперло :( :( :( :( :( https://doc.pfsense.org/index.php/L2TP/IPsec Надеюсь вы обратили внимание на предупреждение кривой работе через NAT с windows при использовании IKEv1 Я ТС об этом тоже написал: Вроде все сделал как указанно а винда мне выдает ошибку 809 Помнится эти проблемы вызваны работой клиента за NAT (а клиент в 99% за NAT)

@bitsoft: Т.е. дело было в том, что вы используете 1:1 NAT, но галка на Enable NAT Reflection for 1:1 NAT  не стояла? :) Да:) А по этому вопросу не поможете? https://forum.pfsense.org/index.php?topic=131591.0 Ответил

В настройках DHCP прописываете два ДНС сервера Один локальный - один внешний! С другой стороны - у вас DNS + DHCP подняты на АД Все что вам нужно - ето в настройках виндового ДНС разрешить пересылку запросов на айпи шлюза! И тогда на машинках вобще ничего менять не нужно!

Нет интернет вообще им не нужен, и раздавать его я не собираюсь Тогда зачем pfSense вообще? На работу и качество Wi-Fi pfSense повлять никак не  может. Как роутер\firewal межлу сетями (классов)? Если же все классы в одной подсети pfSense будет бесполезен и в качестве роутер\firewall.

Спасибо! Проблема решилась.

Согласен, вроде бы никакой связи. Думаю всё же дело в "дешманском" роутере в филиале

Спасибо, avec1313 за разъяснение! у меня была идентичная ситуация. Но автор этого расследования в конце оставил интригу, а я ее разрушу. Нужно после назначения своего диапазона портов для пассивного ftp ПРОСТО ПЕРЕЗАГРУЗИТЬ МАШИНУ, на которой разворачиваете ftp-сервер.

Просто создайте правило для исходящего NAT и в блоке Translation выберите нужный вам IP/

@pigbrother: Спасибо. Сразу возникли не менее дилетантские вопросы вопросы: 1. Если его переименовать в ngixn.sh и разрешить его запуск в /etc/rc.conf.local, Папки  /etc/rc.conf.local не существует. Следует ее создать? 2. Переименованный  nginx->ngixn.sh следует положить в  /etc/rc.conf.local? 3. ngixn.sh следует сделать исполняемым? 4. Где, собственно, указывать nginx что и на какой IP:port перенаправлять? 1,2,3. nginx.sh получаем просто переименовывая /usr/local/etc/rc.d/nginx, никуда его не перемещая. И да, я сделал его выполняемым на всякий случай. 1,2 /etc/rc.conf.local - это файл в заместо стандартного FreeBSD rc.conf, который pfSense перетирает при запуске. Для минимального запуска в нем надо прописать nginx_enable="YES" 4. Конфигурационный файл по умолчанию расположен в /usr/local/etc/nginx/nginx.conf 5. Ну и естественно перед его запуском пемещаю веб морду pfSense на нестандартные порты.

Вспомнил я недавно про эту ошибку, т.к. опять вылезла на подобном железе. Долго искал, пока не нашел свой же пост… Лечится в моем случае однозначно отключением IPv6: System/Advanced/Networking/Allow IPv6 снять галку.

А, в чем собственно разница между установками Тор'a когда ставится Тор именно на ПФ или когда ставится на отдельную машину? Тем, что официального пакета для TOR для pfSense не существует. И установка его на отдельную машину даже потенциально не может помешать функцтонированию собственно pfSense. А, платные решения даже за 5$ Когда у нас стали блокировать IP-телефонию я только для нее подключил внешний VPN. Платный. Хочешь чтобы работало, имело поддержку - плати. Дорого? Да один средний по длительности звонок за границу через IP-телефонию уже окупал условные $5 в месяц.

Поздравляю. Плюс за то, что не сдались и довели дело до конца.

Спасибо! Буду думать. ;)

Доброе. Но мне все таки больше нравится TightVNC Это только для управления. Полноценный терминал для множ-ва пол-лей (как с RDP) с VNC не выйдет.

Поздравляю. Путем перебора/подбора параметров (на стороне pfSens-а) удалось поднять IPSec напрямую с DT-2925 на pfSens. Решал подобный квест по связке через IPsec pfSense и Kerio. Обошелся без перебора параметров, удалось на форумах Kerio найти нужные.

Та я замучился и сам себя запутал. Спасибо большое Вам!!!!

Если еще актуально. Корректный стоп\старт\рестарт индивидуального экземпляра Open VPN сервера. Возможно - и клиента, это не проверял. pfSsh.php playback svc stop openvpn server 2 Starting the pfSense developer shell…. Attempting to issue stop to openvpn service... openvpn has been stopped. pfSsh.php playback svc start openvpn server 2 Starting the pfSense developer shell…. Attempting to issue start to openvpn service... openvpn has been started. pfSsh.php playback svc restart openvpn server 2 Starting the pfSense developer shell…. Attempting to issue restart to openvpn service... openvpn has been restarted. server 2 - то, что в /var/etc/openvpn соответствует server2.conf Используется PHP pfSense Shell. Теретически можно писать подобие макросов. https://doc.pfsense.org/index.php/Using_the_PHP_pfSense_Shell Создам, пожалуй, отдельный пост.