no servidor (matriz) faça o bind da VPN na interface LAN e depois crie regras de NAT em suas 2 WAN redirecionando a porta externa para a porta da LAN onde está o bind do openvpn e no pfsense cliente, configure normalmente uma conexão escolhendo um dos IP wan do seu servidor depois de configurado, vai nas opções adicionais e digita manualmente esta linha remote x.x.x.x onde o X é o outro IP por onde responde na matriz faça uma linha remote para cada IP/link adicional que você tenha, além do "primário" já configurado no campo da conexão

Galera estou aqui para postar a resposta da minha pergunta no Forum. Depois de muito pesquisar e fazer testes, consegui resolver o problema do DDNS/NOIP/ETC não pegar o  VIP criado para o failover. Para resolver o problema é preciso criar um monitoramento de apontanto para o VIP. Após isso, em todo lugar que pedir o IP da interface, aponte para o GW que foi criado no monitoramento. No meu caso, eu precisei usar em 2 lugares: 1 - No NAT para acesso a servidores interno, onde eu colova o "WAN Adress" eu substitui pelo GW com o meu VIP. Passei a acessar de fora os meus servidores interno pelo VIP. 2 - Utilizei no "Gatway Groups" para fazer o failover de link, segue imagem abaixo do que foi modificado: [image: uc?export=download&id=0B9hHNIz2vaCwbDJ5eFQ4TXZoYkk] Como podemos ver, eu faço failover do link GVT e Horizons. Antes o NOIP pegava o IP que vinha da interface que eu apontava nesse item, estava como "Interface Address", então mudei para o GW que criei  e passou a funcionar corretamente. [image: uc?export=download&id=0B9hHNIz2vaCwS2hYZHE5T2FsTlk] Obrigado a todos que me ajudaram a resolver o problema.

Ribamar, obg. Achei o problema, alterei o DNS alternativo para o da google (8.8.8.8) e resolveu, até semana passada estava ok, porme na quarta feira se nao me engano, por algum motivo alguns clientes nosso tiveram problema com o dns da google, entao alterei e acabei colocando da vivo, e neste firewall tmb havia colocado, só nao tinha assimilado o problema atual com esta mudança feita. Obg a todos q ajudaram, vlw

Obrigado Marcelo!

Obrigado pelo retorno! Mas, poderia compartilhar referências ou conteúdo mais objetivo?

Adicionou a porta 9627 na lista de permitidas pelo squid?

Valeu, vou testar. @fabianopolone: Olá Crie uma configuração com proxy transparente e SSL no SpliceAll e coloque autentificação do squid pelo captive portal, no Squid Guard crie os grupos com as politicas de acesso e coloque com os nomes que estão cadastrados no users manager desta forma 'usuario' Instale o Lightsquid libere sua porta no firewall e seje feliz

Olá Obrigado, então pelo que percebi o PFsense quando se trata de interceptação de https não funciona muito bem certo. E usar sem o SSL tem algumas coisas que sempre passam. Mais blz vou ter que ver uma outra forma. Obrigado pelas respostas Marcelloc

@carlosandre: Boa tarde Senhores! Instalei a versão 2.3.4 e configurei tudo para modo transparente, sendo que só funciona quando coloque o ip do proxy no navegador. A versão 32bits está com problemas no proxy transparente do squid.

Desculpe pela demora, irei novamente retomar aos testes pois obtive alguns imprevistos… Vou atualizando

bypass para esse ip. pode ser uma conexão não http passando pela 443

Já instalei em maquinas virtuais para realizar uns testes antes de ir para a maquina física

Ótima dica, obrigado.

Olá Desculpe a ignorancia, mais não consegui filtrar o wireshark para pegar os ips que o skype pega, poderia me auxiliar? Obrigado

bom dia, grato a todos por terem respondido. eu já fiz todo tipo de teste: no hosts: nomepc.dominio.corp nomepc no resolve.conf: search dominio.corp                         nameserver 192.168.0.2 <–ad                         nameserver 192.168.4.1 <-- firewall filial tudo interligada pela vpn. agora se eu der um nslookup domínio.corp ou ip da matriz não resolve nem a pau. as regras de firewall que liberei foram na vpn liberei todo tipo de protocolo entre as filiais. os gw envolvidos são o do servidor filial com ip: 192.168.4.1  e do da matriz com ip: 192.168.0.1, interligados pela openvpn. fico muito grato a todos que responderam!

Essa alteração que fez no arquivo será perdida quando atualizar o pfSense. Porque precisa mudar a porta do Captive Portal?

Oá Marcelloc.  Grato pela msg. Sim, já postei lá também em Inglês. POr hora, nenhuma resposta. Abraço e Obrigado. Fabrício.

Está correta a configuração do nat. Já verificou se não existe uma regra na wan negando o acesso antes da regra criada junto com o nat? Note que o nat é traduzido antes das regras, então vai ver na wan uma regra de any para o ip do seu servidor de aplicação. É importante lembrar também que o firewall precisa ser Gateway desse servidor, em algum nível de saltos/métrica

Veja se este esquema resolve teu problema: https://forum.pfsense.org/index.php?topic=128036