В целом проблема сохранилась и оформилась в такую картину.
Сеть не "моргает", в т.ч. BFD не регистрирует потерь, соседи в сстоянии Full. Нагрузка на CPU не превышает 5%, памяти достаточно. При этом сразу после запуска/перезапуска FRR все выглядит предсказуемо, OSPF DB соответствует конфигурации.
Но... ровно через час (буквально до секунды) и без единой записи в логи происходит следующее:

из Net Link States пропадает линк на соседа из OSPF network routing table выпиливается маршрут в транзитную сеть из OSPF external routing table пропадает маршрут в целевую сеть

При этом OSPF Neighbors без изменений, сосед в Full, в BFD интерфейс Up.
Из замеченного: в Thread statistics for ospfd появляется ospf_maxage_lsa_remover.
Лечится (ну если можно так назвать) через FRR/Global Settings - Force Service Restart (ну тут в логах все красиво), после чего все работает... ровно час.
Конфиг:

frr defaults traditional ... log syslog service integrated-vtysh-config ! interface tun_wg0 ... ip ospf network non-broadcast ... ip ospf dead-interval 12 ip ospf hello-interval 3 ip ospf bfd router ospf ospf router-id Х.Х.Х.Х log-adjacency-changes detail redistribute kernel route-map ХХХ timers throttle spf 200 1000 10000 passive-interface vmx1 area 0.0.0.0 shortcut default neighbor 10.Х.Х.2 poll-interval 10 ! ... bfd profile profile1 detect-multiplier 3 receive-interval 300 transmit-interval 300 echo-interval 50 no shutdown echo-mode ! peer 10.Х.Х.2 local-address 10.Х.Х.1 interface tun_wg0 profile profile1

Немного помогает добавление альтернативных маршрутов, тогда при отвале одного включается другие, правда иногда ассиметрично, при том, что косты расставлены корректно и для каждого конечного маршрута однозначно. Т.е. ручной рассчет дейкстры не совпадает с выбранным маршрутизатором. Да собственно и в OSPF external routing table виден результирующий кост, который больше, чем живые альтернативы.

Уже обновлял PFSense и FRR, играл с FW и MTU/MSS, медитировал на BFD и OSPF пакеты на интерфейсах...

Идеи закончились. Угнетает тишина в логах при потере маршрутов. Готов возвращаться на статику (BGP не предлагать).

Буду благодарен за любые конструктивные идеи.

@mefisto74
И что вы в этом пункте прописываете?
Предположу, что синтаксис неверный.

You need to go in pfsense along this path System -> Advanced -> Networking (tab) and check the "Disable hardware checksum offload" checkbox.

Добрый
@ik_bazilio
Если есть возможность и желаение, то на али по фразе 'pfsense pc router' много вкусного)

@vasilev
посмотрите
/var/etc/ipsec/ipsec.conf - это для старых версий PF

для новых , думаю
файл swanctl.conf
эти файлы генерируются автоматически системой . Все ли в них нормально ( согласно Ваших настроек) ?
очень желательно все-таки посмотреть лог файл соединения .
ip адреса инициатора и ответчика можно скрыть

@werter
ядра сети каждого объекта объединены по L3VPN, по этим же каналам планирую синхронить пфсенсы, 1-к-1 работает, а нужно сделать 1-к-многим, т.к. набор правил и алиасов +/- одинаковый.

@las15
.*radio.* попробовать
указать Order - попробуйте выше всех поставить
Загуглите как по mime type блокировать.
И да, если у пол-ля в браузере будет установлено дополнение с VPN , то сквид тут не поможет.

Добрый
@druidblack
Последнее разрешающее правило откл и гляньте как оно себя поведет.
pic.png

И команда traceroute с клиента в помощь.

@golos ну да, так делал. Не шли пинги.
Сегодня сервера перетащил, аналогично прописал хождения между виланами - всё прекрасно работает! И сервисы доступны и пингуется всё... :)
Похоже реально винда что то блочит, что отключения сетевого экрана ей не достаточно.
Вопрос закрыт, ложная тревога)

@jeleg
Здр

Я бы лично , на Вашем месте , изучал логи с другой стороны туннеля . Вероятность того , что проблема с другой стороны туннеля может быть весьма высокой . Да, и найти нужную Вам информацию там проще ( ее просто меньше )

P.S. посмотрел Вашу предыдущую тему . Если эта тема является ее продолжением , то я все больше убеждаюсь , что проблема в другой стороне туннеля . Там надо разбираться с проблемой ( мое субъективное мнение )

проблема была из за модуля acme. Удалил контейнер и очистил Account keys. После чистки куков все заработало.

@werter Спасибо!

@werter вспомнил, что господ в семнадцатом победили, думал никто не ответит, а тут товарищи на помощь пришли, приятно! :)))
На самом деле тут возможно в самой логике ошибка, у меня нет каких то сервисов наружу (только UDP порт OpenVPN с TLS pre-auth, что в принципе то надежно). Так нужен ли мне Snort на границе WAN-Firewall??
Что я хочу от IPS в первую очередь, так это блокировка бэкконнектов до C2/C2C, реверс-шеллов и т. д. Прислали бухам малварь, открыла она его и ...ничего не произошло! (как в той рекламе протекта от Я).
Возможно мне нужно разместить систему после Firewall, на границе не с глобальной, а с локальной сетью? Тогда IPS "будет знать" о локальных адресах и тогда я смогу в Supress прописать исключение подсети с камерами (намекаю на "track by_src")?

PS. про Suricata в курсе, Снорт поставил чисто интуитивно, "пальцем в небо". Впредь буду выбирать Suricata.