Добрый.
@X3PPY said in pfSense как шлюз для нескольких компаний:
У меня в сети есть AD и DNS. В настройках pfSense эти днс указаны.
Не указывать ip этих ДНС явно в настройках днс пф-а. Указать их в форвадинге в настройках unbound, т.е. "объяснить" пф, что вот эти домены обслуживают вот эти DNS. Делается прямо в вебке пф.
Клиентам же по dhcp выдавать 1-м днс - адрес пф, 2-м и последующими - адреса внутренних dns.
Но так же у pfSense есть днс от провайдеров, а у меня их 5.
Не использую днс провайдеров без особой надобности (напр., для разрешения имен внутренних ресурсов провайдеров, но и это решаемо). Использую я-днс\г-днс etc. Тот же днс от adguard еще и рекламу резать будет.
Получать резолв от моих внутренних днс
Описал в п.1
И самое главное - не забыть принудительно завернуть все днс-запросы клиентов на ip пф. Делается одним правилом port forward на LAN https://docs.netgate.com/pfsense/en/latest/dns/redirecting-all-dns-requests-to-pfsense.html
Тогда схема сквида с директивой 'dns_nameservers 127.0.0.1' должна заработать.
Я бы попробовал реализовать, сделав перед этим обязательный бэкап настроек пф.
