Вот тут по поводу маски 255.255.255.255 в freebsd написано
http://www.freebsd.org/doc/ru/books/handbook/configtuning-virtual-hosts.html

Для каждого интерфейса должен быть один адрес с истинной маской подсети. Любой другой адрес в сети должен иметь маску подсети, состоящую из всех единичек (что выражается как 255.255.255.255 или как 0xffffffff).

DNS просто проверить. На клиенте nslookup
там ввести wpad.имя домена
должно адрес вернуть
Чтобы исключить вебсервер  еще проверить, что доступен http://wpad.имя домена/wpad.dat
я не знаю какой запрос get делается при поиске
Файл wpad.dat кстати в темпе IE должен появиться

Вроде для IE нужно:
return "ip:3128; DIRECT";

а подсеть точно 255.255.252.0 (/22)  ?

Под автомат надо как я писал DNS настроить
А будет ли IE пытаться брать файл на https я не знаю (на 80 порту точно берет автоматом) но у меня был другой вебсервер.
Надо смотреть, что будет в запросе от IE, адрес или имя и как настроен вебсервер на pf.
Еще и по dhcp опцию передать желательно может маки ее цеплять будут

При https должен открываться
https://ip/wpad.dat

права на файл должны быть 0644
владелец root/whell
При загрузке из вебморды они такие и будут.

Прозрачный режим squid отключен ?
Файл лежит в /usr/local/www, права стоят ?

Если речь идет об AD, то в статье по настройке wpad забыли один нюанс.
Стандартный DNS на win2003 не отдаст запись wpad. имя домена
Не безопасно это. Если журнал посмотреть, то там ошибки будут. По ошибкам легко гуглится как это отключить (или через сам pf можно форвард сделать).
Когда я разбирался, на XP опция DHCP 252 («auto-proxy-config») не работала.
Так что действия следующие:
1. Найти рабочий файл сценария и править его в блокноте (чтобы не слетела кодировка на другую)
2. Проверить, что файл сценария в браузере открывается http://ip/wpad.dat
3. Настроить DNS. Проверить, что имя wpad разрешается в адрес.
4. Указать явно файл сценария и проверить что открывается http://wpad.имя домена/wpad.dat
5. Включить автоматическую настройку 

MAC адрес WAN адаптера попробуйте поменять на случайный.
И галочки убрать Block private networks и Block bogon networks

На gmail например стоит не ssl, а tsl 1.1 c ключом 128 бит и RC4_128
Я бы попробовал прозрачный режим отключить, если он используется.
И точно браузеру указать, что используется прокси (в IE один прокси для всех протоколов).

И еще оговорюсь, что домен поднят на Win Server 2008 R2, это как-то может влиять на ход вещей? Еще хотел бы уточнить а вот этот фильтр для чего userPrincipalNAme=%s   ?

В Win Server 2008 R2 у объектов есть закладка "Редактор атрибутор". Там и смотрите значения.
userPrincipalNAme полное имя пользователя. Фактически это sAMAccountName@имя домена.
Сама операционная система не влияет на атрибуты. Влиять будет режим работы домена, но тут в примерах только стандартные атрибуты, которые всюду одинаковые.
Лучше эксперименты проводить в начале без русских букв в значениях.
Т.е использовать (memberOf=cn=%a,ou=hq,dc=domain,dc=com) а не (memberOf=cn=%a,ou="Бухгалтерия",dc=domain,dc=com)
Еще, может кто, на счет регистра символов подскажет, зачем писать memberOf ?

Тему сначала почитайте.
Первый этап в любом случае:

Попробуй в консоли посмотреть что возвращают:
Code:
/usr/local/libexec/squid/squid_ldap_group -R -b "dc=domain,dc=com" -f "(&(sAMAccountName=%v)(memberOf=cn=%a,ou=hq,dc=domain,dc=com))" -D srv@domain.com -w pwd 192.168.1.1

/usr/local/libexec/squid/squid_ldap_auth -R -v 3 -b dc=domain,dc=com -D srv@domain.com -w pwd -f "sAMAccountName=%s" -u cn -P 192.168.1.1:389
Первой команде в консоли указываешь user[пробел]group[энтэр]Должно вернуть ОК или ERR
Второй user[пробел]passwd[энтэр] так же должен увидеть ОК или ERR

Вот это должно работать. По крайней мере вторая команда для пользователя.
Если не работает - искать причину (маршрутизация правила фаервола с двух сторон, политики безопасности сети, DNS  и тп)

В PF для аутентификации используется хелпер squid_ldap_auth
auth_param basic program /usr/local/libexec/squid/squid_ldap_auth
а для прозрачного режима нужна поддержка Kerberos или NTML
Для NTML нужно поставить SAMBA и подключиться к домену
Для Kerberos нужны библиотеки krb5-19 или heimdal + синхронизация времени + DNS
Ко всему этому добавляются проблемы с установкой под уже устаревшую 8.1, работой под различными браузерами, русскими символами, записями DNS
Потому и нет готового решения

Дополнительные параметры нужны для авторизации по группам.
Третий Squid на этом месте пишет разные ошибки. (Но запускаться должен).
Ошибки ищите Status: System logs: System
Проблемы у него с файлом /usr/local/libexec/squid/squid_ldap_group

Попробуйте без дополнительных параметров.
Уберите галку Allow users on interface
А в Proxy server: Access control пропишите подсеть, кому разрешена аутентификация
Если ключ -R как по инструкции добавили, то будет пускать всех пользователей из AD

Дополнительные параметры пример для второго сквида
Все одной строчкой вставляется:
external_acl_type ldap_users %LOGIN /usr/local/libexec/squid/squid_ldap_group -R -b "dc=test,dc=edu" -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf=cn=%a,ou=users,dc=test,dc=edu))" -D admin@test.edu -w pass 192.168.0.1;acl ad_ff external ldap_users InetUsers;http_access allow ad_ff;http_access deny all;

Вот здесь есть картинки http://www.thin.kiev.ua/router-os/50-pfsense/537-pfsense-20squid-ldap-ad-.html
Squid только нужен 2.7 (если требуется авторизация по группам)

А что выдает Status: Traffic Graph на WAN?

Еще как идея, мультикаст может сыпаться.
Diagnostics: Packet Capture