Da la sensacion de que las reglas caducan...¿es esto así?. Si caducan ¿hay algun parametro de configuración que pueda ver para que no caduquen?

No, las "reglas no caducan"

@ivangator Tienes internet en el pfsense ?

@okas7
Hola.

Puedes controlar el tráfico entre los clientes openvpn mediante reglas en menú FIREWALL - RULES - OPENVPN.

También puede ser de interés este post:
https://forum.netgate.com/topic/90757/inter-client-communication-setting/8

@jomarga84
Hola.
Prueba, aunque quizás ya lo habrás hecho, a comprobar, además del ping, el tracert a la ip con el recurso compartido

tracert -d x.x.x.x

Me ha pasado, que la red desde donde tengo el cliente vpn tiene el mismo direccionamiento que la red donde están los recursos protegidos por el servidor vpn. Y uno de los recursos protegidos, tiene la misma ip que un equipo donde está el cliente vpn. Debido a esto, un ping me respondía (me respondía el equipo de la red donde está el cliente vpn) en lugar del equipo remoto.

Saludos.

@atreyumu, It depends on how the first step comes out!

@peritoh
Hola.
Hay partners en España.
https://www.netgate.com/partner-locator --> seleccionar Europa - Spain

@pepo85

@silence said in pfsense no da acceso a equipo con otra GW:

@pepo85, simple then just create a route pointing the traffic that 192.168.1.1 cannot detect to 192.168.1.2 who can understand?

If you have a problem with this, send me a screenshot and I will gladly help you.

@contrell21 , I recommend you disable the 2 rules that are at the beginning as default and let me know.

@periko Excelente Pedro. Gracias.

Otra duda que me surge: ¿Se puede a través de PFsense proxy poder discriminar a usuarios dependiendo de la url que ejecute para que puedan salir por una IP u otra?

Osea, si un usuario que tiene como gw pfsense y quiere ir por ejemplo a www.google.es, salga por una IP virtual IPXX1, y si ejecuta www.forum.netgate.com que sala por la IP IPXX2.

Un saludo!

Con la "información provista" difícil poder ayudarte....

--> https://forum.netgate.com/topic/21817/recomendaciones-al-postear

Revisa/lee:
https://docs.netgate.com/pfsense/en/latest/recipes/remote-firewall-administration.html

@diablort666
Hola.
Yo estuve en un caso parecido y no logré la comunicación entre red ipsec y red openvpn.
Sin embargo, hay una cosa que no llegué a probar, por si quieres probarla. Prueba a crear el túnel ipsec pero de tipo VTI https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/routed-vti.html

@dralion Hola, intenta desactivando temporalmente el firewall haber si es permisos de acceso por wAn, lo puedes desactivar desde consola en pfsense con:

pfctl -d

y haces la prueba si te ingresa es problema de permiso en la WAN seguramente, y lo vuelvas a activar con

pfctl -e

@leoneldy

adjunta captura de pantalla de lo que haces, y del error...

@sonerzin

Revisate los puntos que mencionan ?

Realizaste las pruebas que indican ?

239.12.255.255 ??? tu WAN está en esa red ???

El NAT en "manual" por qué / para qué ???

Muestra las reglas de Firewall

@lucasll Gracias por la respuesta, tendré que buscar un mecanismo para lograr esto que necesito...

@ismael-fernández hola ante nada, te cuento que tenes 2 formas de hacer la conexion, en la fase 2 tenes que poner por ejemplo
phase2
tipo de conexion - vti
local network - address = 192.168.10.0
remote network - address = 192.168.20.0
r2
tipo de conexion - vti
local network - address = 192.168.20.0 (no hace falta mascara)
remote network - address = 192.168.10.0 (no hace falta mascara)

y assignas la interfaz
luego en la parte de routing asignas las rutas
porque los paquetes no saben por donde ir
vas a static route y le decis por ejem
r1
192.168.10.0/24 via opt1

y en el otro
r2
r1
192.168.20.0/24 via opt1
esta es una forma que creo es la que usaste

sino es el mismo criterio solo que usas ip en las phase 2
ejemplo
phase2
tipo de conexion - vti
local network - address = 192.168.10.1
remote network - address = 192.168.10.2
r2
tipo de conexion - vti
local network - address = 192.168.10.2 (no hace falta mascara)
remote network - address = 192.168.10.1 (no hace falta mascara)

y assignas la interfaz
luego en la parte de routing asignas las rutas
porque los paquetes no saben por donde ir
vas a static route y le decis por ejem
r1
192.168.200.0/24 via opt1 _192.168.10.2

y en el otro
r2
r1
192.168.100.0/24 via opt1_192.168.10.1

saludos espero haber ayudado