@werter said in Offline, Latency:

1-м делом в таких случаях проверяю размер mtu:

Насколько помню - mtu проверяли и меняли. А вот mss - нет.

@werter вообще-то упомянул, но не суть. В принципе тему можно закрывать, я нашел выход насчет арп записей и статических маршрутов. Просто добавить основной маршрутизатор в арп

Добрый.
@chifinia said in Из LAN на Public_IP на сайт внутри LAN...:

настроить pfsense, чтобы из локалки к почтовику (Mdaemon)

Посмотрите на mailcow для почты.
Удобно, надежно, просто в развертывании.
Антиспам, антивирус, поиск по почте из коробки.

Добрый.
@valek3306
1 ) split dns
2) port forward на лан
Обяз. условие - пф должен быть 1-м днс-ом у клиентов.
Но может не помочь, если у клиентов в браузере есть впн или используется doh.
Единственный выход - это работа по белым спискам.

@valek3306
Все ок на Вин.
Диапазон только я задал для л2тп тотже ,что и в ЛАН (из неиспользуемого пула адресов).
Или openvpn, wg - оба ок.

@werter said in Самостоятельное (?) восстановление конфигурации:

Попробуйте в англоветке вопрос задать.

Пожалуй - стоит.

Кстати, обратили внимание - к Community Edition не выходят обновления с момента выхода release 2.6, который вряд ли безупречен. Основное внимание разрабочиков теперь направлено на коммерческую версию.
Вероятно, становятся актуальны патчи, доступные через пакет System_Patches. Список патчей не гигантский, но далеко и не пустой.
Ну и за обновлениями пакетов следить тоже нужно.

@timotheos
Возвращаясь к связке прокс+пф.
0. 16 гб хватит (аппетиты zfs larc гибко настраиваются - не верьте "сказкам"). Один диск также не помеха - при установке выбрать zfs raid0 (stripe). После покупки 2-го диска можно прямо на горячую собрать raid1.

Не оч понял, но похожих проблем у меня не было.

Поискать в гугле по 'ovs vs linux bridge'. Навскидку, это смена vlan на лету - ovs это умеет.
SDN на проксе тоже на ovs строится:
https://pve.proxmox.com/pve-docs/chapter-pvesdn.html
https://tech2rue.sussudio.ovh/guide-installation-fonctionnalites-sdn/

@werter said in pfsense и SkyDNS:

Браузеры нынче doh пользуют. И Ваши старания могут пойти прахом.

Могут, согласен.

Но ТС утверждает, что

@valek3306 said in pfsense и SkyDNS:

В настройках DHCP прописан их сервер и фильтр работает.

@valek3306 чтобы правила заработали, по идее в настройках pfSense надо указать DNS SkyDNS, убрать галку Allow DNS server list to be overridden by DHCP/PPP on WAN or remote OpenVPN server а в настройхах DHCP указать не сервер SkyDNS, а LAN IP pfSense

@nyanny
Здравствуйте
Может быть проще настроить VPN туннель и весь трафик пускать через него , чем пытаться реализовать то , что Вы хотите ?

@konstanti уважаемый товарищ!
Искренне благодарю за помощь. Всё починилось.
Решение : использовать NAT-T c обеих сторон туннеля.
Политики трафик перехватывают как нужно.
TCP-MSS = 1300 с обеих сторон.

00d31061-93df-435d-a9e4-21514a52afab-изображение.png

e8e44ad9-0891-4fbf-8689-e85d678fb0c9-изображение.png

а вот почему на upd / 500 не работало - вопрос.

@werter said in Снижение скорости:

@dekor238
Тут есть цикл заметок по нему )
Сперва попробуйте pve в виде вирт. машины развернуть на esxi , включив nested-виртул-цию предварительно на ней.

:))))
не... это уже сложно для меня... я не так силен в этих виртуализациях...
проще сразу перейти на проксмокс и поставить pfSense с бекапом данных, чтобы не перенастраивать...

Добрый
@alex82
Я сперва неверно понял. Подумал, что резервный пф должен выполнять не только роль впн-сервера, но и роль марш-ра в ЦО.
Перечитал дальнейшее общение.
Схема ув. @konstanti с ospf в таком случае более чем жизнеспособна:

поднимите на каждом из пф Филиалов по 2 ipsec vti-туннеля к обоим пф в ЦО; настройте ospf с этими туннелями.

Получите динамическое переключение с одного туннеля на др в случае падения.
У меня подобное работает на ovpn. Только не стал заморачиваться с 2-мя пф-а в ЦО, а просто завел 2-го провайдера на пф в ЦО и настроил связку ovpn + ospf.
Работает более 3-х лет.

@werter said in Настройка watchdog для wan:

@loders
script.png

Обратите внимание на ПРОБЕЛ после ;
По др у меня не заработало.

Благодарю, понял.

Добрый
@gena77
Развернуть wireguard (wg-easy в помощь) на vps за 2-3 бакса и ходить через него?

@benam
С какой радости они в ua ?

@ptz-m
Да все, что угодно может быть. Гадалки в отпуске.
Нес-ко раз настриваил прохождение voip на пф по оф. доке - проблем не было.
Зы. У тебя там и шейпер включен?