Не совсем то что вам надо, плюс несколько избыточно - пакет ntopng. Выглядеть будет так: https://www.ntop.org/products/traffic-analysis/ntop Попроще - пакет darkstat Выглядеть будет так: https://www.youtube.com/watch?v=ydjpR88V_kk

@vagnyj Вот , например, может быть Вам поможет https://github.com/bobbyearl/pfSense-DHCP-leases-widget https://github.com/fuzion9/pfSense_widgets

@modice Тут уже обсудили https://forum.netgate.com/topic/148868/pfsense-squid-adgroups-https

Тогда у вас будут проблемы с двойным НАТом ,если захотите порты пробрасывать ( Если есть возможность, то переведите роутер провайдера в режим моста (если это ADSL и pppoe) и пусть пф поднимает линк на ВАН. Если же это простой роутер, то я бы убрал его. Тогда ВАН на пф будет в "чистом виде".

@Konstanti Ну а если я пингую 192.168.3.1, 4.1, 5.1 - происходит то же самое. Тогда всё 192.168.0.0/16 блочить что ли, кроме моей сети?

@werter Спасибо за наводку, буду колдовать.

В итоге решил сделать с помощью ансибла. Нашёл модули для pFsense https://github.com/bevhost/ansible-module-pfsense Плэйбук выглядел приблизительно так: --- - name: Install requirement pythoon libs local_action: pip name=hvac - name: Load SSL Certificate pfsense_cert: refid: "{{ refid }}" descr: "{{ cert_descr }}" crt: "{{ certs['data']['cert'] | b64encode }}" prv: "{{ certs['data']['key'] | b64encode }}" - name: Restart the web GUI shell: /etc/rc.restart_webgui - name: Restart HAProxy shell: /usr/local/etc/rc.d/haproxy.sh restart refid - ID сертификата в конфиге. если мы хотим автоматом заменить старый на новый, то он должен быть таким же как у старого (я использовал: refid: "{{ cert_name | hash('sha1') }}" ) descr - имя сертификата в pFsense crt - сертификат prv - ключ

Ну, в первую очередь, доменное имя приобретается на сайте регистратора доменных имен. Если IP-адрес "белый" (т.е. внешний IP соответствует тому, что есть на WAN-интерфейсе), то можно домен делегировать DNS - серверами каким-нибудь Dynamic DNS сервисом (например cloudflare). В настройках PFSense есть служба Dynamic DNS, в которой можно выбрать провайдера услуг DDNS. Ваш роутер при обновлении IP-адреса на WAN-интерфейсе, будет обновлять IP адрес в домене. https://ru.wikipedia.org/wiki/%D0%94%D0%B8%D0%BD%D0%B0%D0%BC%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D0%B9_DNS

@Konstanti Юзаю Nas4Free версию 10.3 на файловой системе UFS, 3 года работает замечательно, загрузка 2Гб оператики на 25%, ZFS естественно из-за железа не юзаю. Ставил недавно версию 12 также на UFS, вот на ней оперативка была загружена 70%, вернул назад.

Спасибо всем за помощь, @Konstanti ваше решение подошло все заработало вам отдельная благодарность за помощь

@werter said in Проблема c udp трафиком.: m0n0wall Называем "папу" pfsense правильно. А то что говнарь?

@Konstanti Про прописать ручками - так и думал, но решил это оставить на самый крайний вариант. А вот про опцию 121 - попробую, спасибо большое за подсказку.

@NikolayNikolay Обновите БИОС. Это важно. Как вариант развернуть Proxmox на софтовом zfs-рейде из обычных HDD , а NVM SSD пользовать для ВМ. Необязательно грузиться с SSD.

@Konstanti спасибо большое всё получилось.

@sirota said in Падает gateway, который является l2tp клиентом.: А потом еще и скорость резать Вот для этого - да, для остального должно хватать и простых правил.

@werter Причин для падения скорости может быть много Я бы не грешил на процессор и алгоритмы ширования ( но это мое мнение) вот замер скорости на туннеле из Москвы до французского сервера на базе IPSEC ( скорость канала 80 мбит/сек) - сервер виртуальный,1 ядерный, 1 Гб ОЗУ [image: 1580472107920-933e5231-6d3c-46c7-8d72-017ec20552bf-image.png] я бы использовал iperf с обеих сторон для проверки скорости сначала без туннеля , а потом в туннеле и все-таки выставил mss 1360 для начала Но при этом , иногда скорость падает значительно traceroute показывает задержки на одном из европейских узлов

Это не выход. Вы не изолировали сети. Любой, кто добавит себе. доп ip или увеличит маску подсети попадет в соседнюю сеть без проблем. ПФ не рулит трафиком внутри сети. Если есть ви-фи мыльница от тп-линк\ д-линка, то можно попробовать перешить в опенврт\дд-врт и заиметь проблемы VLAN.