Добрый. @igor-filth Что не получается? Зы. Отписал в ЛС.

@programmer_86 said in Драйвера для Intel x540 Virtual Function для HyperV: https://www.intel.ru/content/www/ru/ru/download/645984/intel-network-adapter-virtual-function-driver-for-pcie-10-gigabit-network-connections-under-freebsd.html Тогда попробуйте ход конем Судя по тому , что в исходниках на ixv-1.5.31 есть файл ixbe_sriov.h и в файле ixgbe.h есть на него ссылка то добавьте в Makefile такой кусок ( по аналогии с Makefile для if_ix ) # Enable SR-IOV PF support SRIOV_ENABLE = 1 # SR-IOV support requires additional files and a kernel version check KERNVER != uname -K VERS_CHECK != test $(KERNVER) -ge 1100000 ; echo $$? .if $(SRIOV_ENABLE) && !$(VERS_CHECK) CFLAGS += -DPCI_IOV SRCS += pci_iov_if.h .endif и попробуйте собрать драйвер

Добрый. @inkoff Связка acme + haproxy настраивается прямо на пф. Не надо отдельно создавать и хранить сертификаты на бэкэндах.

@astahow87 Плпробуйте поиграть с настройками tun-mtu mssfix mtu-test https://www.thegeekpub.com/271035/openvpn-mtu-finding-the-correct-settings/

@pigbrother Для конкретных IP. А для других конкретных IP прибиваем гатвей гвоздями и бай-бай Firewall / NAT / Port Forward

@werter Спасибо, Проблема решилась VTI + Routing

Можете подробнее описать задачу?

@sirota Сегодня убрал мультидомайн оставив одну корневую запись и все взлетело. Почему вчера не взлетало с одной запись, и почему до этого получалось получать серт на мультидомайн... ума не приложу. В логах полнейшая ересть, при чем даже если делать получение руками.

@jeleg на pfSense стоит squid прокси для пользователей? CA сертификат с госуслуг, понятно отсутствует в хранилище сертификатов. Можно импортировать CA и выбрать его в сквиде через опцию "Extra Trusted CA"

Добрый. @rotor Из найденного: Проблема решена. А в чем она была? Мой шлюз был запитан от сертификата, полученного от ACME. Когда в очередной раз проводилось обновление сертификата - чтото пошло не так и сертификат крашнулся. Проще всего отключить https и дальше через веб интерфейс уже менять что нужно. Но поменяв настройки nginx, /cf/config/config.xml - webconfigurator все равно падал с ошибкой на битый сертификат /var/etc/cert.crt . Решение: не морочить себе голову и переназначить IP интерфейсу LAN, во время настройки LAN у вас спросит что то типа: выключить http редирект на ssl? Жмете Y и WEbConfigurator переходит на протокол http:// Дальше уже понятно, что нужно пересоздать сертификат и переназначить для https уже нормальный сертификат.

@wezen Настраивайте чистый ipsec между циской и пф. Cisco Anyconnect использует иной механизм , к-ый пф не поддерживает.

@werter pf - 2.6.0-release squid - 0.4.45_8

@kiu86 https://docs.netgate.com/pfsense/en/latest/multiwan/policy-route.html

@werter said in Проблема с переездом на pfSense: Зачем на LAN у пф указан Gw? Зачем у пф руками добавлен роут до .14.0/24 ? Все это было убрано. Изначально добавлялось чтобы понять, где ошибка.

Всем спасибо. Решил проблему обновлением до 2.6 и настройкой прозрачного прокси для конкретного сервиса.

@zerk0 Проверьте настройки прокси на предмет разрешения доступа к нему из других сетей. Временно разрешите всё на обоих пф на всех интерфейсах и пробуйте. Возможно, на пф2 понадобится добавить роут до сети прокси. Зы. Проверьте ЛС.

@werter Если после указанных действий добавить шлюз и поменять маску на /32 через web-интерфейс, всё работает после перезагрузки, ведь в web-интерфейсе есть галочка "Use non-local gateway through interface specific route." (как в Shell указать этот ключ не нашёл). По поводу обновлений соглашусь, но клиентов множество в разных городах, поэтому разом поменять у всех версию OpenVPN проблематично. СО временем перейдём, конечно.

Какая версия? Стоит до 2.6 обновиться для начала.