В этой стать я опишу свой личный опыт настройки pfsense для работы с сетью ЕСПД (Единая сеть передачи данных).

Задача

Настроить pfsense, чтобы можно было самому управлять какому компьютеру ходить в интернет с контентной фильтрацией, а какому без неё.

Немного предыстории

По началу был у нас в организации интернет от Ростелекома. У меня было настроено на pfsense proxy сервер с контентной фильтрацией, чтобы студенты не лазили по плохим сайтам. Потом подключили ЕСПД. Преподавателей я оставил на интернете от Ростелекома, а студентов перевёл на ЕСПД. В один прекрасный момент у нас отключили интернет от Ростелекома. Оказалось, Ростелеком теперь не имеет право заключать договора на интернет с образовательными организациями, у которых есть ЕСПД. Благо к этому времени сделали личный кабинет ЕСПД, авторизуясь через Госуслуги, можно удобно создавать заявки на отключение контентной фильтрации.

Данные

Сеть ЕСПД нам дали с маской /24, а у нас в организации сеть с маской /23, уже изначально не хватает ip адресов. И мне не хотелось менять ip адреса которые у нас в сети уже используются. На втором ip адресе сети ЕСПД я оставил контентную фильтрацию, так как он уже использовался для доступа к интернету студентов (ходят в интернет через проброс порта), а на третий ip адрес я составил заявку о снятии контентной фильтрации, что служба технической поддержки ЕСПД и сделала. Осталось мне реализовать, чтобы преподаватели ходили через третий ip адрес.

Реализация

Сертификат ЕСПД на компьютеры был поставлен через групповые политики домена, а какие компьютеры к домену не подключены, пришлось ставить ручками.
Прокси сервер, так же был прописан через групповые политики домена, либо ручками на компьютерах которые не подключены к домену (ещё прокси сервер самого pfsense, а не ЕСПД, а студенты ходили в интернет, как я уже раньше писал пробросом порта на прокси сервер ЕСПД).

Настройка виртуального IP

На pfsene заходим в Межсетевой экран / Виртуальные IPs нажимаем кнопку добавить. Выбираем тип: "IP Алиас".
Интерфейс: свой "WAN" интерфейс, который смотрит в сеть ЕСПД.
Тип адреса: "Одиночный адрес".
В поле "Адрес" пишем IP адрес, с которого сняли контентную фильтрацию, а у меня на самом WAN интерфейсе прописан IP адрес с контентной фильтрацией.
Маска подсети, которую дали ЕСПД, у меня 24.
Описание - для себя понятное описание, у меня ESPD open.
Нажимаем кнопку "Сохранить".

Настройка правил межсетевого экрана

Заходим в Межсетевой экран / Правила выбираем вкладку со своим "LAN" интерфейсом.
Нажимаем кнопку "Добавить"
Действие: "Разрешить
Интерфейс: "LAN"
Адресное семейство: "IPv4+IPv6"
Протокол: "Любой"
Источник: "Любой"
Назначение: "Любой"
В описании у меня написано "All to all"
Нажимаем кнопку "Сохранить"
Это правило нужно для того чтобы работало обновление ОС и других открытых ресурсов в сети ЕСПД.

Настройка проброса портов

Настройка проброса портов нужна только если у вас был до этого настроен прокси сервер на компьютерах, отличны от прокси сервера ЕСПД и менять вы его не хотите (как было у меня - прокси сервер сам pfsense). Если у вас прописан прокси сервер ЕСПД, то предыдущим правилом мы разрешили хождение к серверу ЕСПД.

Идём в Межсетевой экран / Сетевая трансляция адресов (NAT)
Вкладка "Проброс порта"
Интерфейс: "LAN"
Адресное семейство: "IPv4"
Протокол: "TCP/UDP"
Источник не трогаем, оставляем любой.
Назначение: "LAN address", что означает адрес pfsense на порту LAN
Диапазон портов назначения: от порта "другой" частный "8080" К порту "другой" частный "8080" (у вас будет другой, который был у вас, у меня такой)
Перенаправляемый целевой IP: Тип "Один узел" Адрес "10.0.62.52" (у вас в зависимости от региона будет свой адрес прокси сервера, у меня такой)
Перенаправляемый целевой порт: Порт "Другой" Частный "3128" (порт вроде у всех одинаковый)
Описание: "ESPD filtered" (у вас любое понятное для вас)
Нажимаем кнопку "Сохранить".

Настройка алиасов (псевдонимов)

Идём в Межсетевой экран / Алиасы
Во вкладке "IP" мы нажимаем кнопку "Добавить"
Имя: "My_proxy" (у вас может быть любое понятное вам)
Тип: "Хосты"

IP или полностью определенное доменное имя или алиас: добавляем свои IP адреса на которых хотим снять контентную фильтрацию и описание их в соответствующее поле
Нажимаем кнопку "Добавить хост" для добавления ещё одного IP адреса компьютера
После того как введём IP адреса всех компьютеров нажимаем кнопку "Сохранить".

Настройка подмены IP адреса

Идём в Межсетевой экран / Сетевая трансляция адресов (NAT)
Выбираем "Исходящий"
Режим исходящей Сетевой Трансляции Адресов (NAT) выбираем: "Гибридное" (чтобы мы могли сами прописывать правила и ещё чтобы работала автоматическая)
Нажимаем кнопку "Добавить"
Интерфейс: "WAN" (ваш интерфейс который смотрит в сеть ЕСПД)
Адресное семейство: "IPv4"
Протокол: "любой"
Источник: Тип "Сеть" Сеть источника для соответствия исходящей Сетевой Трансляции Адресов "My_proxy" маска /32 Порт или Диапазон оставляем пустой (My_proxy это алиас (псевдонимы), где у меня прописаны IP адреса компьютеров преподавателей, а порт почему оставляем пустым, насколько я помню, что порт источника может быть любым, а не таким же как порт назначения)
Назначение: Тип "Сеть" Сеть назначения для соответствия исходящей Сетевой Трансляции Адресов "10.0.62.52" маска /32 (у вас в зависимости от региона будет свой адрес прокси сервера, у меня такой)
Порт или Диапазон: "3128"
Трансляция
Адрес: "10.62.203.3" (тот адрес на котором снята контентная фильтрация его же мы прописывали в "Виртуальных IP", у меня такой)
Порт или Диапазон: ставим галочку "Статический Порт"
Описание: "ip substitution" (может быть любое понятное для вас)
Нажимаем кнопку "Сохранить".

Это правило нам нужно, чтобы прокси север видел IP адрес WAN интерфейса у которого не снята контентная фильтрация, а адрес Виртуального IP со снятой контентной фильтрацией.

Разобраться в этой настройке мне помогла информация с сайта.

Надеюсь, что моя статья кому-нибудь будет полезной.