В целом проблема сохранилась и оформилась в такую картину. Сеть не "моргает", в т.ч. BFD не регистрирует потерь, соседи в сстоянии Full. Нагрузка на CPU не превышает 5%, памяти достаточно. При этом сразу после запуска/перезапуска FRR все выглядит предсказуемо, OSPF DB соответствует конфигурации. Но... ровно через час (буквально до секунды) и без единой записи в логи происходит следующее: из Net Link States пропадает линк на соседа из OSPF network routing table выпиливается маршрут в транзитную сеть из OSPF external routing table пропадает маршрут в целевую сеть При этом OSPF Neighbors без изменений, сосед в Full, в BFD интерфейс Up. Из замеченного: в Thread statistics for ospfd появляется ospf_maxage_lsa_remover. Лечится (ну если можно так назвать) через FRR/Global Settings - Force Service Restart (ну тут в логах все красиво), после чего все работает... ровно час. Конфиг: frr defaults traditional ... log syslog service integrated-vtysh-config ! interface tun_wg0 ... ip ospf network non-broadcast ... ip ospf dead-interval 12 ip ospf hello-interval 3 ip ospf bfd router ospf ospf router-id Х.Х.Х.Х log-adjacency-changes detail redistribute kernel route-map ХХХ timers throttle spf 200 1000 10000 passive-interface vmx1 area 0.0.0.0 shortcut default neighbor 10.Х.Х.2 poll-interval 10 ! ... bfd profile profile1 detect-multiplier 3 receive-interval 300 transmit-interval 300 echo-interval 50 no shutdown echo-mode ! peer 10.Х.Х.2 local-address 10.Х.Х.1 interface tun_wg0 profile profile1 Немного помогает добавление альтернативных маршрутов, тогда при отвале одного включается другие, правда иногда ассиметрично, при том, что косты расставлены корректно и для каждого конечного маршрута однозначно. Т.е. ручной рассчет дейкстры не совпадает с выбранным маршрутизатором. Да собственно и в OSPF external routing table виден результирующий кост, который больше, чем живые альтернативы. Уже обновлял PFSense и FRR, играл с FW и MTU/MSS, медитировал на BFD и OSPF пакеты на интерфейсах... Идеи закончились. Угнетает тишина в логах при потере маршрутов. Готов возвращаться на статику (BGP не предлагать). Буду благодарен за любые конструктивные идеи.

@mefisto74 И что вы в этом пункте прописываете? Предположу, что синтаксис неверный.

You need to go in pfsense along this path System -> Advanced -> Networking (tab) and check the "Disable hardware checksum offload" checkbox.

Добрый @ik_bazilio Если есть возможность и желаение, то на али по фразе 'pfsense pc router' много вкусного)

@vasilev посмотрите /var/etc/ipsec/ipsec.conf - это для старых версий PF для новых , думаю файл swanctl.conf эти файлы генерируются автоматически системой . Все ли в них нормально ( согласно Ваших настроек) ? очень желательно все-таки посмотреть лог файл соединения . ip адреса инициатора и ответчика можно скрыть

@werter ядра сети каждого объекта объединены по L3VPN, по этим же каналам планирую синхронить пфсенсы, 1-к-1 работает, а нужно сделать 1-к-многим, т.к. набор правил и алиасов +/- одинаковый.

@las15 .*radio.* попробовать указать Order - попробуйте выше всех поставить Загуглите как по mime type блокировать. И да, если у пол-ля в браузере будет установлено дополнение с VPN , то сквид тут не поможет.

Добрый @druidblack Последнее разрешающее правило откл и гляньте как оно себя поведет. [image: 1661945719171-pic.png] И команда traceroute с клиента в помощь.

@golos ну да, так делал. Не шли пинги. Сегодня сервера перетащил, аналогично прописал хождения между виланами - всё прекрасно работает! И сервисы доступны и пингуется всё... :) Похоже реально винда что то блочит, что отключения сетевого экрана ей не достаточно. Вопрос закрыт, ложная тревога)

@jeleg Здр Я бы лично , на Вашем месте , изучал логи с другой стороны туннеля . Вероятность того , что проблема с другой стороны туннеля может быть весьма высокой . Да, и найти нужную Вам информацию там проще ( ее просто меньше ) P.S. посмотрел Вашу предыдущую тему . Если эта тема является ее продолжением , то я все больше убеждаюсь , что проблема в другой стороне туннеля . Там надо разбираться с проблемой ( мое субъективное мнение )

проблема была из за модуля acme. Удалил контейнер и очистил Account keys. После чистки куков все заработало.

@werter Спасибо!

@werter вспомнил, что господ в семнадцатом победили, думал никто не ответит, а тут товарищи на помощь пришли, приятно! :))) На самом деле тут возможно в самой логике ошибка, у меня нет каких то сервисов наружу (только UDP порт OpenVPN с TLS pre-auth, что в принципе то надежно). Так нужен ли мне Snort на границе WAN-Firewall?? Что я хочу от IPS в первую очередь, так это блокировка бэкконнектов до C2/C2C, реверс-шеллов и т. д. Прислали бухам малварь, открыла она его и ...ничего не произошло! (как в той рекламе протекта от Я). Возможно мне нужно разместить систему после Firewall, на границе не с глобальной, а с локальной сетью? Тогда IPS "будет знать" о локальных адресах и тогда я смогу в Supress прописать исключение подсети с камерами (намекаю на "track by_src")? PS. про Suricata в курсе, Снорт поставил чисто интуитивно, "пальцем в небо". Впредь буду выбирать Suricata.