prova a lasciare la regola sul nat 1:1 con tutte le porte aperte e duplica solo le regole sul firewall.

Metterai destinazione ip:porta pass

Mai fatto… indicativamente ti servono due interfacce wan; una con l'IP 192.168.1.2/24 e l'altra con l'IP fornito dal pppoe.
Come farlo non lo so, mai trovato in situazione del genere, aspetta che passa Fabio e ti saprà dare la dritta giusta :)

Mancavano delle regole nelle rules della lan. Grazie Fabio.

Premetto che non conosco l'infrastruttura Aruba, e come essa permetta di configurare le vm… ma in linea di massima, non dovrebbe essere molto diverso dal punto di vista logico di farlo con macchine fisiche:

sulla vm con pfsense è possibile creare due virtual nic ? se si, allora una la assegni all'ip pubblico e l'altra la colleghi allo vswitch. sulla vnic collegata allo vswitch gli assegni un ip statico, diciamo 192.168.1.1, che a quel punto diventa la tua lan. gli altri virtual server collegati sullo stesso vswitch gli darai altri ip della stessa classe 192.168.1.2-254, e come default gw setterai l'ip di pfsense 192.168.1.1 sul pfsense procedi a creare tutte le varie regole e nat per far accedere i servizi pubblici ai virtual server dietro pfsense.

Si, devi creare i certificati.
Che problema ti da creare i certificati? E'molto più sicuro e non c'è nulla di complesso.
Senza certificati sei limitato anche sul numero di client
Ciao fabio

Se non trovi più l' ftp proxy, non c'è molto da fare.
L'unico modo è aprire le porte sopra… diciamo 2048 ai client della tua lan, ossia le porte dichiarate private dallo IANA, perchè utilizzate dalle applicazioni:
https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers
Purtroppo ftp è una vecchia brutta bestia, che richiede una seconda porta (oltre alla 21) per il trasferimento dei dati, e tale porta viene negoziata frà client e server ftp.
Ovviamente pfsense in mezzo non può sapere a priori (salvo proxy o il modulo ip_conntrack_ftp di iptables nel caso di linux) quale porta è stata negoziata, ergo l'unico modo è permettere in uscita, tutte le porte che plausibilmente, potrebbero essere negoziate frà client e server.

no credo che dipenda dal DNS ci pfsense.

ho una intranet sap.server1.miodominio.local e se accedo in vpn dall'esterno, ho lo stesso problema.

cioè se cerco di andare sulla mia intranet, se digito sap.server1.miodominio.local non funziona mentre se digito sap.192.168.x.x.
funziona.

aggiungo che anche il dominio di pfsense i General Setup e quello del DC windows si chiamano uguali
DC windows miodominio.local
PFsense miodominio

dimenticavo versione di pfsense:
2.3.4-RELEASE-p1 (amd64)
built on Fri Jul 14 14:52:43 CDT 2017
FreeBSD 10.3-RELEASE-p19

Ciao,
La risposta alla prima domanda è il nat reflection che si abilita in advanced

La risposta alla seconda domanda è: una regola che blocca tutto il traffico diretto alla porta tcp/udp 53 fatta eccezione che per l'ip del firewall.

Ciao Fabio

Grazie ancora Fabio.

Ciao,
potrebbe essere un problema di regole di firewall o di rotte.

Hai provato a seguire questa guida?
http://www.pfsenseitaly.com/2016/03/openvpn-server-su-pfsense-23.html

Ciao fabio

Che dire. Grazie per la pazienza e la spiegazione Fabio… e per il tuo tempo a scrivere ovviamente.

Buona giornata.

hai risolto???? mi potresti dare una dritta su come fare?

hai poi trovato una soluzione??? io sono alle prese da poco con pfsense…. sono impiegato comunale.... Ho realizzato una macchina con pfsense.... per utlizzarlo come proxy chache e come filtro per i siti..... Il mio problema è la gestione delle utenze. Siamo molti dipendenti.... e vorrei realizzare un modo per automatizzare la modifica della password da parte di questi.  Mi potresti dare una dritta??? Grazie anticipatamente....

No… e dubito troverai una funzione del genere.
Se devi lasciare un servizio ftp aperto al mondo, le tecniche da usare sono altre, fra le cui possibili sono:

poni il server ftp in una rete dmz isolata che può accedere solo a internet, e che dall'ip pubblico venga fatto un redirect delle porte che ti servono (tipo l'ftp). Poi farai una regola che da Lan puoi accedere a dmz (ma non viceversa) sul servizio ftp poni dei controlli, dove dopo X tentativi, l'ip dell'attaccante venga bannato (se usi linux come ftp server, fail2ban è un pacchetto utile allo scopo) se usi linux, usa l'autenticazione diversa dagli utenti di sistema (es. usa un autenticazione bassata su mysql o ldap o se pochi utenti, anche da file) poichè stai usando pfsense, configura un ids, tipo snort o suricata che sono disponibili frà i packages, ed attiva le regole relative agli ftp server. Ricorda comunque di monitorarle perchè tendono a creare diversi falsi positivi. In tal caso dovrai disabilitare quelle che posso dare fastidio.