@przemyslaw85
Diagram jest troche misleading. Twoje wytlumaczenie ma sense. Ja uzywam pfsense na custom made router zrobionego z starego PC w prywatnym, wolno stojacym domu. Firmy, tutaj, znajdujace sie w jednym budynku maja swoje oddzielne Internet connection. Moze to stad moje niezrozumienie sytuacji. Dziekuje za wyjasnienie.

@frond Jak wrzucasz regułę to otwarte połączenia dalej działają. Musisz je odszukać w Diagnostics/States i pozamykać ręcznie lub zamknąć wszystkie połączenia https://docs.netgate.com/pfsense/en/latest/monitoring/status/firewall-states-reset.html.
Po tej operacji nowo otwierane połączenia będą już uwzględniane w regułach firewalla.
W takich przypadkach spróbuj identyfikować na jakich portach lecą te połączenia, może wtedy domyślisz się co to może być.

@rajdzen
Takie rzeczy to tylko etherwerx potrafi, pfsense bardzo kiepsko to robi i efekty są mizerne.

Ok, problem rozwiązany.
Należało w NAT zmienić tryb na Hybrid i dodać regułę na interfejs LAN i w Source wpisać sieć VPN.

@milew no właśnie chciałem zaproponować by końcówkach brama jak i DNS wskazywały na bramę rotuera w siedzibie głównej. Ewentualnie sam DNS, a na zdalny routerze ustawić routing z siebie na zdalny (przekierowanie).

Musisz podać więcej danych.
Podłączasz się poprzez WiFi i na kliencie tak podłączonym nie masz Internetu czy
Na samym urządzeni WiFi (repeater) nie masz Internetu?

problem rozwiązany, te tematy załatwia się przez Pure NATa lub split dns

Services/DHCP Server/LAN
I tu na dole dopisujesz statyczne adres MAC.
By serwer nie odpowiadał obcym trzeba zaznaczyć opcję: Denied clients will be ignored rather than rejected.
A żeby nie dawał adresów obcym to pole: Only the clients defined below will get DHCP leases from this server.
Po zaznaczeniu obu obcy mac adres nie dostanie nawet odmowy przydzielenia adresu.

Capitive Portal nie używam wiec nie pomogę w tej kwestii.

A możesz podpowiedzieć jeszcze jakieś ustrojstwo pomagające przeglądać/analizować logi? coś co zbiera logi w jakieś kategorie itd...

W ustawieniach wybierz jeszcze Maskę : Source Addresses
W efekcie każdy z komputerów dopisany do konkretnej reguły będzie miał swój limit.

@Przemyslaw85
OPT1 jest kolejną siecią lokalną.
Zrobiłem tak jak napisałeś. Co do Firewall -> NAT -> Outbound to wpisy dodają się automatycznie.

@BreuSz
Hej, daj znać czy jeszcze masz problem. Jeżeli tak mogę Ci pomóc.

Witam,
Testowałem to rozwiązanie i robiłem to według jakiejś instrukcji. Jak w kliencie Windows VPN nie podam klucza PSK to się nie połączy. W kliencie to jest nazwane klucz L2TP i jest tam wybór klucz albo certyfikat. Port 1701 UDP jest otwarty bo jest potrzebny dla L2TP VPN i jest z automatu zakładany chyba (nie pamiętam dokładnie już). Port 500 nie jest przepuszczany. No i w kliencie nie mogę dać typ sieci na automatyczny bo się nie połączy. Muszę dać na L2TP. No chyba, ze źle zrozumiałem Twój problem ;)

pozdrawiam

Dziękuję za odpowiedź, rozumiem że proponujesz tutaj podwójny nat, bardziej interesowało mnie w trybie przeźroczystego bridge.
Przemyślę temat.

Pozdrawiam!

Trzeba wejść w konfiguracje kontrolera i ustawić Raid1 z tych dysków.
Wybór wejścia do kontrolera jest zaraz po uruchomieniu serwera.

Tryb pracy serwera masz ustawiony jako TUN czy TAP?
Osobiście mam ustawione w trybie TUN i faktycznie reguły firewall-a nie mają zastosowania.

problem chyba nie jest tak gleboki pomijam fakt ustawiania mostow etc porty po podłaczeniu kabla nie swatają most raczej nie ma tu nic do gadania mam jedn port MGMT (Opis na urzdzeniu) ktory caly czas jest aktywny i jesli ustwie go jako lan wstaje odrazu bez zadnych reguł i mostów jak ustwie go jako wan tez podnosi sie od razu bez koniecznosci ustwiania wiekszej liczby opcji oprócz DHCP i ustawienia IP wystarczy podpiac kabel wiec wyglada na to ze opcje w pfsens nie podnosza tych lanów moze z poziomu shell da sie je podnieść może toś bardzie biegły znał by komende do shell która była by wstanie podnieść te porty zadnych dodaktowych packeges nie mam zinstalowanych wczoraj oppalilem pierwszy raz i probóje go wstepnie skanfigorowac tak zeby tylko dostac ip w sieci bo z tym jest problem

Dziwne bo u siebie mam aktywny offload i wszystko gra. Możliwe że masz sprzęt (karty sieciowe) który tego nie wpierają stąd takie a nie inne problemy.

By można było określić czy łącze działa wypadało by pingować adres zewnętrzny np DNS orange /google lub też inny który zawsze jest aktywny.

Mam podobnie. OpenVPN nie może się połączy, ponieważ jak wchodzę na adres założony na NO-IP to zaimast pojawiac się router pojawia się strona modemu Huawei FIOS od INEA. Czekam na odpowiedz z inea czy mi przełączą w bridge mode modem, samemu żeby to zrobic to jakis wielki problem. Jedyne tutoriale jakie znalazłem są po tajlandzku...

@Przemyslaw85 nie odpytuje samego siebie. Jego adres WAN to 192.168.0.87 a dns jest na 0.1
Też skłaniam się ku temu, że problem tkwi w DNS.
Spróbuj u siebie na kompie odpytywać inne serwery DNS bezpośrednio w konsoli
nslookup - 8.8.8.8 np

Jaki typ połączenia zdefiniowałeś: "peer to peer" czy "Remote Access"?
Trochę mało danych przedstawiłeś.
Jedynie w trybie P2P wykorzystywany jest interfejst OpenVPN, natomiast w RemoteAccess działa to bez tego. Jedynie w konfiguracji w polu:

Redirect IPv4 Gateway: dwyłączyć IPv4 Local network(s): wpisujesz sieci do których będzie miał dostęp klient.

Jak masz w trybie P2P to reguły ruchu powinieneś dodać dla interfejsu OpenVPN.
Tak samo powineineś zdefiniować ruch z sieci swojej do OPEN VPN. Staraj się nie używać reguły domyślnej która puszcza ruch z sieci wszędzie gdzie można.

Chcesz mieć status łącza LAN które samo w sobie jest bramą. Adres który PF ma sprawdzać musi odpowiadać na pingi. W przeciwnym razie nie będzie to działać.

Powiedz mi w jakim celu chcesz mieć dodaną inną bramę dla LAN. Nie widzę w tym sensu.

dzięki:) właśnie do nich pisałem i niestety opór straszny w korespondencji:)