Проблема оказалась в cookie на клиентской машине.

@werter: Доброе Переключите ваш модем в режим сетевой карты. На форуме 4pda поищите как это сделать. Что то я не нашал про Yota'вский модем, и пишут что вроде он уже как просто модем ???

Если соблюдается следующее: 1. У вас действительно "белый" IP 2. При создании Port forward пункт Filter rule association не стоит в "None" 3. На целевом компьютере в LAN брандмауэр не блокирует запросы из сетей, отличных от LAN (а по умолчанию он блокирует) То все при тестировании извне должно работать. Ну и как вариант - вы тестируете из своей LAN. Чтобы это работало - нужно включить NAT Reflection mode for port forwards в настройках.

@werter: Доброе. 1. https://interface31.ru/tech_it/2013/09/adminu-na-zametku-11-kak-zablokirovat-teamviewer.html 2. http://bgp.he.net/dns/teamviewer.com#_whois и попробовать забл. эти адреса :   TV-NS1.TEAMVIEWER.COM   TV-NS2.TEAMVIEWER.COM   TV-NS3.TEAMVIEWER.COM   TV-NS4.TEAMVIEWER.COM   TV-NS5.TEAMVIEWER.COM Все же 1-ый вар. предпочтительнее , мне кажется. Первый вариант  пробовал уже по данной статье, работает, но это если используется домен. В недоменном сети второй вариант средствами pfsense почему-то не помог - прописал в алиасах данные адреса в заблокированных. Может что-то ещё не хватает?

В вами же приведенной ссылке пишут: Файл ca.key представляет собой приватный ключ центра CA, он секретный, и его нельзя переносить на другие узлы вашей сети. Файл сертификата удостоверяющего центра ca.crt, напротив, открытый, и он будет нужен на узлах серверов и клиентов OpenVPN. Запишите файл ca.crt на USB флэш-диск, чтобы перенести на другие узлы. По вашему же ТЗ центр сертификации СА должен быть изолирован от локальной сети. Ну вот. Что вы хотите подписать еще? В центре сертификации создаете сертификаты, на впн-сервере и клиентах их используете. Вы без ca.key просто не сможете создать новые серверные и клиентские сертификаты. Вот и вся безопасность. Вот перевод OpenVPN HOWTO http://lithium.opennet.ru/articles/openvpn/openvpn-howto.html Можно даже 2 центра СА сделать - один для сервера, другой - для клиента. Подписывайте сертификаты серверов в одном CA, а клиентские сертификаты в другом CA. Директива ca в конфигурации клиента должна ссылаться на CA, подписавший сертификат для сервера, в то время как директива ca в конфигурации сервера должна ссылаться на CA-файл, которым были подписаны сертификаты клиентов.

@bill_open: @InsomniaNsk: Up: Если squidguard вырубить, то сертификаты вновь получают нормальные имена По решению именно такой конфигурации не могу прокомментировать, но вижу выход в использовании варианта peek-n-splice. https://forum.pfsense.org/index.php?topic=120995.0 Спасибо, но не совсем понял. Это куски конфига squid или полный конфиг? И эти  костыли будут слетать при каждом обновлении пакета или настроек через веб-интерфейс? Штатных решений вообще нет со  squidguard? P.S.: может есть смысл ставить 2.2.6? Раз уж в 2.3.x всё поломали.

Все заработало. Вычислил ip который раздает. им оказался 16.16.16.0/24. После добавления его в upstream все пошло.

@Bansardo: Я бы с радостью. Но министерство спустило данное оборудование и надо чтобы оно работало. Поднять и потестить крайне рекомендую. Реально может пригодиться. Особенно в случае выхода из строя Polycom  ::)

@Bansardo: З.Ы. А можно ссылочку, какой Вы используете с вебкой? Доброе. Freepbx и есть веб-фейс к Астериску. В гугле 1 или 2 ссылка сразу.

получается что нужно настраивать маршрутизацию на их железках (в удаленном городе) до моей туннельной сети? А как же. Частая ошибка - забыть об обратном маршруте. Альтернативный вариант -городить NAT из туннельной в 192.168.1.0/24

@Stormbox: В том то и проблема, что из коробки нат не хочет работать. Block private\bogon  networks в свойствах WAN-интерфейса отмечены? Если да - уберите.

Опять же DDOS может работать на неск. уровнях OSI - на транспортном, на уровне приложений и др. - https://firstvds.ru/technology/types-of-ddos#possibilities Если у вас ddos-ят веб-сервер, к-ый нах-ся за pf, то защита настраивается на этом веб-сервере. И лучше вообще этот веб-сервер локально не размещать. Сейчас приличные облачные сервисы с защитой от ddos стоят оч. недорого.

@derwin: на самом деле роуминг у unify очень даже шовный. Вся бесшовность - это просто настройка всех точек из 1 места, не более. Не обольщайтесь их технология zh работает вполне приемлемо, с оговоркой, что мы обсуждаем не сеть из >100ap, > 1000 конечных устройств, и консервную банку в виде помещения, единственный гаг это настройка -db до отключения клиента и перевод его на соседа(реализуется только через конфиг файл). Прошу не обсуждать сравнение с cisco load balance или аналогичное у rockus, ценник то в разу отличается. Как вывод для не большого офиса организовать wifi из апэшек за 10тр с AC dualband c хорошей зоной покрытия очень даже ни че, тогда как топ у cisco 37x\38x ~100тр. и у rockus 700series от 80тр и это без учета лицензий и стоимости контроллера.

@werter: @strelok: Нет, все с IPhone работаем И ? На appstore разве нет приложения (-ий) ? Или лень ? Клиент есть https://itunes.apple.com/us/app/openvpn-connect/id590379981?mt=8 @strelok: Использование сторонних приложений не совсем удобно, при том что все уже привыкли и выстраивать цепочку программ сейчас никто не захочет Если не останется иного выхода - openvpn замечательная альтернатива. До кучи - мой единственный клиент на MacOS (Босс :)) использует Tunnelblick Ни одного вопроса с момента выдачи ему конфига.

2 gost370 Zabbix (+ telegram) ? https://github.com/elatov/elatov.github.io/blob/master/_posts/2016-12-12-install-zabbix-on-pfsense.md http://taste-of-it.de/pfsense-monitoring-mit-zabbix/

Проблема похоже в том, что большие пинги до pfSense возникают временами…

Спасибо за ответ. Проблема была в поле Description в одном из алиасов.

Правило портфорв. на LAN автоматом появляется после вкл. транспарент моде на сквиде ? Или это ваша самодеятельность ?

@werter: P.s. У меня Pf еще 2.2.х (жду релиз 2.4). Проверить не могу. аналогично) тема закрыта

2 Bansardo Вопрос понят. Предложено само простое и быстрое решение (добавить доп. ип из нового диапазона на серверах) Телепатов просто нет.