Все проверено, адресация не совпадает - уже почти 10 лет работает :) (на pf не все эти годы, но все же)
Если в remote network стоит 0.0.0.0, то весь трафик будет заворачиваться в туннель.
Верно. Это нужно, это работает. Проблема в том, что в туннель попадает трафик, который относится к lan адресу pfsense. Что я имею в виду:
с pfsense пингуется localhost;
с pfsense lan адрес и любой адрес из его же локальной сети не пингуется, собственно потому и отвались некоторые сервисы, которые находятся в локальной сети: это доменный контроллер и прокси zabbix'а (повторюсь, при отключенном ipsec это все работает и работало на прежних версиях с включенном ipsec).
Прохождение пакета в pf? Ответ, например, тут https://forum.pfsense.org/index.php?topic=73670.0
По моим результатам получается, что я спрашиваю: "кто такой localhost?" - ответ pf: "Я!"
Вопрос:"кто такой по lan ip (настроен как статика на порту em0)" - ответ pf: "Не Я!", и отправляет его в ipsec-тоннель, т.к. его ip попадает в пространство 0.0.0.0/0.
Да и собственно, да и если даже теоретически представить, что такой же ip есть в удаленной сети, то это не должно влиять, т.к. pf обязан понять что это адрес принадлежит также и ему. По ссылке выше есть схема, где есть блок условия "to me?", и он выше таблицы маршрутизации, и я совершенно согласен. что это правильно.
Я это все к чему - я не понимаю в чем может быть причина, когда я задал локальному интерфейсу ip, допустим, 10.0.0.1, а pf мой запрос по этому адресу (даже не только с компа локальной сети, но и через web (Diagnostics-Ping или Diagnostics-Command Promt), и из терминала) уходит в тоннель.
Уважаемый werter, я настроен позитивно - ни капли негатива если что :) попытался объяснить, что все по максимуму постарался проверить, а ехать переустанавливать неблизко, резервного канала и второго белого ip нет. Хочется выслушать идеи, если есть.
Что в таком случае можно проверить? Как я понимаю нужно смотреть на уровне ядра т.к. не проходит проверка принадлежности ip адреса к списку адресов, которые присвоены интерфейсам на pfsense.