@werter попробую ваше предложение

@sherr_khann
Выдернуть-подождать-вернуть кабель из основного и смотреть логи в этот момент пробовали?

@konstanti
Огромное спасибо!

Здравствуйте!
Ну похоже что победил. Во всяком случае канал стоит почти сутки без обрывов. Достоверно сказать не берусь, т.к. пересоздание Фазы 1 не отловил, но за ее время жизни - 28800 секунд обрывов не было точно. Собственно все свелось к пересозданию профилей с другим шифрованием, как собственно здесь советовали. Всем спасибо.

Настройки на картинке:

Без имени-100.jpg

@inkoff
В сети точно есть как работать с API DNS. Даже на ютубе. Поищите.

Добрый
@balya
Проверяйте память, диск.

@testsia
Спасибо, что поделились решением.

В оф. доке про порядок создания интерфейсов есть:
https://docs.netgate.com/pfsense/en/latest/troubleshooting/high-availability.html

As mentioned on pfSense XML-RPC Config Sync Overview, the interface assignment order and internal identifiers must match identically on both nodes.

If the interface order does not match, the configuration synchronziation process will copy rules and other settings such as DHCP failover to the wrong interfaces on the secondary node.

Изменил конфигурацию WAN интерфейсов.
У Микротиков убрал DHCP, присвоил статические IP WAN интерфейсам. Убрал DNS серверы получаемые от сети Мегафон.
Сейчас Спидтест видит многопотоковое подключение и скорость удваивается.
Понаблюдаем. Спасибо всем.

Багрепорт: https://redmine.pfsense.org/issues/12331

Исправление будет включено в следующую стабильную версию и ближайшие 2.6-DEVELOPMENT снапшоты

Нет не чистил, кстати вариант проверю отпишусь

Добрый
@mustdie89

На пф, где роутер БЕЗ симки:

Добавить вторую сетевую на пф для ЛАН. Тп-линк перевести в режим ТД\выкл. dhcp на нем. Будем использовать его как простой свитч. На пф (при двух сетевых) подключить инет на ВАН, ЛАН пф-а и все ваши устр-ва воткнуть в ЛАН-порты тп-линка. Если ЛАН-портов на тп-линке не хватает, то перешить его в openwrt (4pda в помощь) - появится возможность использовать ВАН-порт тп-линка как ЛАН.

Можно докупить б\у свитч\роутер на авито, если не хватит портов.

На пф, где роутер с СИМкой вижу след. варианты:

докупить б\у usb-модем, воткнуть в пф - будет ВАН для пф-а. Далее как описано выше; докупить 2-ую сетевую для пф и простой свитч. ВАН-ом для пф будет роутер с СИМ-кой, ЛАН пф-а и все ваши устр-ва воткнуть в простой свитч.

В вашем случае, если пф с одной сетевой он и не нужен особо. Смотрите на pritunl, streisand etc

Все оказалось очень просто меня ем имя и пароль (смотри скриншот) и жмём save.
Проблема решена

@viktor_g Ясно. Спасибо.

Разобрались

совет такой - используйте алиасы в "Bypass Proxy for These Source/Destination IPs", а не перечень IP/доменов

@konstanti
1.
cisco2960 ios12.2
cisco2960s ios15.2
cisco3750 ios12.2
cisco3750x ios15.2
eltex 3116f
2.
Intel 82563EB
Intel i210-T4
hyper-v
какие то реалтеки пробовал
3. журналы чисты были. сейчас все железо в ентерпрайзе, тестировать не буду

На этом интерфейсе было такое поведение
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=4209b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC,VLAN_HWTSO>
capabilities=1539db<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,POLLING,VLAN_HWCSUM,TSO4,WOL_UCAST,WOL_MCAST,WOL_MAGIC,VLAN_HWFILTER,VLAN_HWTSO,NETMAP>
ether 00:1e:8c:xxxxxx
inet6 fe80::21e:8cff:fe53:xxxxxem0 prefixlen 64 scopeid 0x1
inet xxxxxxxxxxx netmask 0xffffff00 broadcast xxxxxxxxxxx
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
media: Ethernet autoselect (1000baseT <full-duplex>)
status: active
supported media:
media autoselect
media 1000baseT
media 1000baseT mediaopt full-duplex
media 100baseTX mediaopt full-duplex
media 100baseTX
media 10baseT/UTP mediaopt full-duplex
media 10baseT/UTP

@antonr69 НЕ верно выразился. Нет доменных имен и L7 как такового.

@viktor_g подробнее про этот баг: https://redmine.pfsense.org/issues/12219

@pigbrother said in default password:

pfSense настраивается только из GUI
USB-модем с полпинка обычно не заводится.

потихоньку осваиваю pfsense,
ИМХО USB модемы и телефоны, в принципе только в том случае создают сложности, когда на них какие-то драйвера на внутреннем диске, по крайней мере у меня все устройства, что работают с честным ndis драйвером в виндах, спокойно запускались "с полпинка":) а те, где нужно в винде еще что-то "щелкнуть" просто не инициировались, видимо их необходимо сначала переконфигурировать
проблема возникла затем: при любом переподключении модема (телефона) pfsense по-видимому теряет шлюз (от провайдера) и не пытается его перепрописать или принять снова, хотя шлюз явно выдается по DHCP -- при переподключениях на винде все всегда ОК
долго возился, чтобы понять, но единственное что действует, это вручную поднятие WAN в WebGUI Статус/Интерфейсы
возможно я какие-то принципы pfsense еще не понимаю (искал, читал но не нашел), но не вручную же каждый раз поднимать WAN? (тем более это видно только по тому признаку, что интернет пропал)
настройки не менялись - те, что при чистой установке с 1 wan и 1 lan