Consegui, fui pesquisando garimpando um pouco aqui e ali e resolvido o "problema".
Minha VPN é feita LAN-to-LAN direto no roteador (draytek vigor2980)

0_1535390773802_3f9d90c7-cc7f-4ac0-907f-f1663a3f1497-image.png

depois que adicionei a regra entre rede e VPN passou a comunicar com o lado de lá, porém não testei ainda o inverso.

0_1535391288719_5a17f500-7d53-43bb-98b0-a0fcfa577e31-image.png

na WAN não mexi
0_1535391353851_e9132b19-7cc6-4bcb-a3bb-3b098cb73e37-image.png

Ainda não vi pra acessar da VPN pra rede_local, pois como ainda tenho o antigo proxy em produção, não posso mudar o NAT do roteador ainda pra não derrubar a galera rsrsrs.

A luta agora está com o Squidguard que não bloqueia.
Estou com ele no AD, seja no common ACL ou Group com tudo para Deny consigo entrar nos sites, não sei se é a questão de ser HTTPS.
mesmo com certificado criado.

Mas é assunto pra outro tópico já rsrsrsrs
Estou pesquisando na net pra ver se encontro a solução.

Olá, bom dia.
Você pode utilizar o link abaixo para colocar esse domínio ( e suas redes ), para liberar os acessos:
Link: https://bgp.he.net/

Bom dia.
No seu log ( cliente ), está sendo informado que ele não achou a chave e o certificado.
Valide o diretório de configurações do seu openvpn cliente e edite seu arquivo .ovpn amigo!

At.te

Me bati um tempo, e agora a noite realizei a atualização do pfSense, para a 2.4.3_1 e resolveu o problema.

Fica a dica aí.

Alex boa tarde,

Que bom que deu tudo certo meu amigo. A não esquece de colocar o tópico como resolvido. Um forte abraço.

Você vai precisar fornecer algum tipo de log para que possamos ajudar. Uma boa forma é rodando o tcpdump no pfSense e verificando o que acontece quando a conexão é dropada e verificando também em Status -> System logs

Rapaz, tem funcionado normalmente. Mas em alguns sites eu não consegui de forma alguma. Você pode inclusive me ajudar a desmistificar isso. Tente acessar o site www.tradingview.com e clicar em Launch Chart passando pelo e2g e veja se abre os gráficos. Este é um exemplo que só passou depois que bypassei no WPAD. Os demais sites ele libera perfeitamente.

Agora tem um detalhe também que eu estava apanhando. Se você quiser liberar ou bloquear os sub-domínios de spotify.com, por exemplo, não use *.spotify.com. Apenas spotify.com na lista de exceptions de domains é o suficiente para liberar o domínio e seus subs. Na verdade com o * nem funciona a regra. Isso eu já testei e tenho certeza.

@kinaipe,

Isso depende de como está chegando o link de internet no seu pfsense. Este pode estar recebendo um ip privado do seu modem já roteado ou pode estar conectando a internet por PPPoE direto na interface WAN do pfsense. O mais comum é a primeira opção.

Em ambos os casos você vai precisar criar um regra em Firewall > NAT > Port Forward para que o pfsense possa receber a requisição e encaminhar para o seu DVR. No primeiro caso você vai precisar fazer o port forward (liberação de portas) tanto no modem/roteador que chega a internet quanto no pfsense até chegar no DVR. No segundo caso, considerando o modem como bridge, por exemplo, seria feito o port forward apenas no pfsense.

0_1535119188047_ddb7d03f-1cdf-4014-99a2-a928eb0c4f6b-image.png

Interface: Selecione a Interface onde chega o link de internet
Protocol: Provavelmente TCP
Destination: Endereço do pfsense ou pode deixar WAN address. É o endereço que vai receber a requisição para encaminhar em seguida.
Destination port range: A porta que vai chegar a requisição.
Redirect target IP: IP que será encaminhado a requisição. O IP do DVR.
Redirect target Port: A porta do DVR onde está rodando o serviço.
Filter rule association: Add associated filter rule serve para criar um regra de liberação do tráfego automaticamente no firewall.

Note que este termo liberação de portas ao qual muitas pessoas usam para intitular a configuração de acesso remoto a DVRs é genérico. Você precisa entender que a "liberação de portas" consiste em encaminhar a requisição no ip válido da borda da rede para o ip privado através de um NAT do tipo PORT FORWARD. Depois, é necessário ainda liberar este tráfego no firewall do dispositivo (modem, roteador ou firewall UTM). Isso acontece porque você usa um único IP válido para atender a toda uma rede interna. Se o IP válido estivesse setado no próprio DVR o port forward não seria necessário, mas isso é impossível em casos de links ADSL.

Att,

Emiliano.

@danilosv-03 Vou fazer este teste aqui.
Quando terminar posto o resultado.
Obrigado!!!

(RESOLVIDO)
Liberei as portas na ACLs , ACL SafePorts 80 8080 443.
Desabilitei o proxy no AMMYY ai fechou a conexão.
Obrigado a todos.

@andrezaomac obrigado verifiquei os logs, era uma porta que precisava abrir.

Qual o motivo disso?

Estou com mesmo problema, mas meu Squid é com autenticação. Se o bloqueio for feito pelo Squid, não acontece, mas quando cai no Squidguard, ele redireciona e somente limpando cache do navegador cliente.

Abri um tópico sobre isso tbem:

https://forum.netgate.com/topic/133972/pagina-de-acesso-negado-squiguard

Alguem teve sucesso? estou com o mesmo problema