@vladimirlind спасибо, попробую

@werter Да вроде те настройки что я сдела возымели эффект. Система стабильна, 700 гигов уже прогнал трафика за 5 дней. Неодной ошибки на порту нет. Нагрузка на CPU упала на 20%.

Я бы еще trim включил в ВМ. Ваш гипер должен уметь trim для vm. Зы. 2012r2 - древность-древняя. И вообще, KVM лучше )

Добрый Скрин настроек интерфейсов на esxi Скрины настроек интрефейсов и fw на пф. Зы. Хорошей идеей было бы вкл. логирование на пф. Плюс, надампить пакетов там же на пф.

@ГеннадийП said in IPv6 Link Local интерфейсов LAN и WAN: fe80:: Похоже , что задумано /* always configure a link-local of fe80::1:1 on the track6 interfaces */ $realif = get_real_interface($interface); $linklocal = find_interface_ipv6_ll($realif, true); if (!empty($linklocal) && $linklocal != "fe80::1:1%{$realif}") { mwexec("/sbin/ifconfig {$realif} inet6 {$linklocal} delete"); } /* XXX: This might break for good on a carp installation using link-local as network ips */ /* XXX: Probably should remove? */ mwexec("/sbin/ifconfig {$realif} inet6 fe80::1:1%{$realif}"); По поводу IPv6 адресов на wan,lan интерфейсах : ifconfig четко показывает , что есть привязка MAC адреса конкретного интерфейса к конкретному Link-local IPv6 адресу Например , интерфейс wan ether 00:08:a2:0a:ff:72 hwaddr 00:08:a2:0a:ff:72 inet6 fe80::208:a2ff:fe0a:ff72%igb0 prefixlen 64 scopeid 0x1

что-то некорректно настроено имеется еще кто-то, кто пользует tap @svjat-orb Вы уж определитесь, что вам нужно - мост или туннель https://ru.wikipedia.org/wiki/TUN/TAP Я бы грохнул то, что вы там настроили на центосе и попробовал бы настроить по сслыкам @Konstanti или моим.

@vladimirlind не совсем, просто по найду на фронтенде был настроен переброс с http на https, а так нам необходимо чтобы отдельно http и https(переброс сделан на стороне веб сервера если требуется).

@panperm said in Не видит пакеты, как Installed так и Available: Проверьте Default gateway а я ответил по теме, сообщение не прочитал ))

Squidguard мне тут не подходит, так как эти правила должны распространятся как раз в обход squid и Squidguard, т.е. для неавторизованных пользователей. Для тех кто использует мой pfsense как шлюз а не проксю.

@werter said in Как пустить сайт мимо прокси?: SplitDNS наз-ся Только мало где написано, что это не функция сервера, а подход к администрированию DNS сервера.

@PTZ-M Почти два года так превосходно работает на моём сервере. Совершенно не понимаю что Вам (или у Вас) не так. Например 88.147.254.230, 88.147.254.232, 88.147.254.234, 88.147.254.235 точно не менялись за это время. У меня pfSense чаще всего предпочитает именно их. В том-же списке у меня провайдерские сервера. Они тоже не меняются чаще чем раз 30 лет. Ещё я применяю алиасы для удобства управления Static Routes.

Вот и я пробовал через NPt настраивать, но почему то не получалось, трафик не ходил, может что-то где-то не так подставил, хотя вроде все правильно прописывал. Первый Address - префикс, который выдается оператором, второй - подсеть OpenVPN. [image: 1555707430963-%D0%B0%D0%BD%D0%BD%D0%BE%D1%82%D0%B0%D1%86%D0%B8%D1%8F-2019-04-20-015340.png] Правило естественно сделано. Но, когда добавил в Firewall-NAT-Outbound правило для IPv6 интерфейса OpenVPN все прекрасно заработало. В итоге получилось что всем клиентам раздаются IPv6 оператора и по умолчанию они работают с ним и доступны из интернета по этим адресам, а на заблокированные адреса по списку уходят через NAT на OpenVPN. Доступа к клиентам по IPv6 подсети OpenVPN не требуется. В моем случае плюс этого метода в том, что оператор не выдает статичные /64 префиксы, при переподключении или по истечении сессии он меняется, а т.к. NPt требует одинаковые размеры входящей и исходящей подсетей, то приходилось бы часто корректировать. А в случае с NAT можно полностью операторскую подсеть размером в /32 забить.

@dimm56 1С? Много и хорошо про 1С на Linux http://renbuar.blogspot.com/

Возможно Android печатает на стандартный порт печати 9100,который тоже поддерживается принтером, а iphone хочет поддержки исключительно AirPrint? Тогда совет @Konstanti действительно может помочь. https://habr.com/ru/sandbox/88601/ http://internet-lab.ru/airprint_for_separate_vlan

Default allow LAN to any rule блокировало маршрутизацию. Вопрос закрыт, спасибо за помощь

Я обратил внимание на то, что PfSense не правильно резолвил локальные имена. Я отключил DNS resolver и в System – General Setup – DNS Server Setting прописал внутренние DNS сервера. После чего я смог пройди из локальной сети по адресу https://epsilon.domain.local/owa ! ))) Осталось понять почему же из внешней сети я получаю такую ошибку. [image: 1555333116503-%D1%81%D0%BD%D0%B8%D0%BC%D0%BE%D0%BA.jpg] Когда я включаю фильтрацию SSL в Proxy Server - General Settings – General - SSL Man In the Middle Filtering То из внутренней сети получаю такую же ошибку. [image: 1555335361282-%D1%81%D0%BD%D0%B8%D0%BC%D0%BE%D0%BA2.jpg]

@Konstanti спасибо. дельный совет

Переходим к следующему вопросу от чайника, взявшегося за непосильное дело))) https://forum.netgate.com/topic/142491/%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF-%D0%B2-%D0%BB%D0%BE%D0%BA%D0%B0%D0%BB%D1%8C%D0%BD%D1%83%D1%8E-%D1%81%D0%B5%D1%82%D1%8C-pfsense-%D0%B8%D0%B7-%D1%81%D0%B5%D1%82%D0%B8-%D0%B7%D0%B0-%D0%BC%D0%BE%D0%B4%D0%B5%D0%BC%D0%BE%D0%BC-kennetic

@werter тормознул, bump перепутал с splice all