Не совсем то что вам надо, плюс несколько избыточно - пакет ntopng.
Выглядеть будет так:
https://www.ntop.org/products/traffic-analysis/ntop
Попроще - пакет darkstat
Выглядеть будет так:
https://www.youtube.com/watch?v=ydjpR88V_kk

@vagnyj

Вот , например, может быть Вам поможет

https://github.com/bobbyearl/pfSense-DHCP-leases-widget
https://github.com/fuzion9/pfSense_widgets

@modice
Тут уже обсудили https://forum.netgate.com/topic/148868/pfsense-squid-adgroups-https

Тогда у вас будут проблемы с двойным НАТом ,если захотите порты пробрасывать (
Если есть возможность, то переведите роутер провайдера в режим моста (если это ADSL и pppoe) и пусть пф поднимает линк на ВАН.
Если же это простой роутер, то я бы убрал его. Тогда ВАН на пф будет в "чистом виде".

@Konstanti
Ну а если я пингую 192.168.3.1, 4.1, 5.1 - происходит то же самое. Тогда всё 192.168.0.0/16 блочить что ли, кроме моей сети?

@werter Спасибо за наводку, буду колдовать.

В итоге решил сделать с помощью ансибла.
Нашёл модули для pFsense https://github.com/bevhost/ansible-module-pfsense

Плэйбук выглядел приблизительно так:

--- - name: Install requirement pythoon libs local_action: pip name=hvac - name: Load SSL Certificate pfsense_cert: refid: "{{ refid }}" descr: "{{ cert_descr }}" crt: "{{ certs['data']['cert'] | b64encode }}" prv: "{{ certs['data']['key'] | b64encode }}" - name: Restart the web GUI shell: /etc/rc.restart_webgui - name: Restart HAProxy shell: /usr/local/etc/rc.d/haproxy.sh restart

refid - ID сертификата в конфиге. если мы хотим автоматом заменить старый на новый, то он должен быть таким же как у старого (я использовал: refid: "{{ cert_name | hash('sha1') }}" )
descr - имя сертификата в pFsense
crt - сертификат
prv - ключ

Ну, в первую очередь, доменное имя приобретается на сайте регистратора доменных имен.
Если IP-адрес "белый" (т.е. внешний IP соответствует тому, что есть на WAN-интерфейсе), то можно домен делегировать DNS - серверами каким-нибудь Dynamic DNS сервисом (например cloudflare).
В настройках PFSense есть служба Dynamic DNS, в которой можно выбрать провайдера услуг DDNS. Ваш роутер при обновлении IP-адреса на WAN-интерфейсе, будет обновлять IP адрес в домене.

https://ru.wikipedia.org/wiki/%D0%94%D0%B8%D0%BD%D0%B0%D0%BC%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D0%B9_DNS

@Konstanti
Юзаю Nas4Free версию 10.3 на файловой системе UFS, 3 года работает замечательно, загрузка 2Гб оператики на 25%, ZFS естественно из-за железа не юзаю. Ставил недавно версию 12 также на UFS, вот на ней оперативка была загружена 70%, вернул назад.

Спасибо всем за помощь, @Konstanti ваше решение подошло все заработало вам отдельная благодарность за помощь

@werter said in Проблема c udp трафиком.:

m0n0wall
Называем "папу" pfsense правильно.

А то что говнарь?

@Konstanti
Про прописать ручками - так и думал, но решил это оставить на самый крайний вариант.
А вот про опцию 121 - попробую, спасибо большое за подсказку.

@NikolayNikolay

Обновите БИОС. Это важно.
Как вариант развернуть Proxmox на софтовом zfs-рейде из обычных HDD , а NVM SSD пользовать для ВМ.
Необязательно грузиться с SSD.

@Konstanti спасибо большое всё получилось.

@sirota said in Падает gateway, который является l2tp клиентом.:

А потом еще и скорость резать

Вот для этого - да, для остального должно хватать и простых правил.

@werter

Причин для падения скорости может быть много
Я бы не грешил на процессор и алгоритмы ширования ( но это мое мнение)
вот замер скорости на туннеле из Москвы до французского сервера на базе IPSEC ( скорость канала 80 мбит/сек) - сервер виртуальный,1 ядерный, 1 Гб ОЗУ

933e5231-6d3c-46c7-8d72-017ec20552bf-image.png

я бы использовал iperf с обеих сторон для проверки скорости
сначала без туннеля , а потом в туннеле
и все-таки выставил mss 1360 для начала
Но при этом , иногда скорость падает значительно
traceroute показывает задержки на одном из европейских узлов

Это не выход. Вы не изолировали сети. Любой, кто добавит себе. доп ip или увеличит маску подсети попадет в соседнюю сеть без проблем. ПФ не рулит трафиком внутри сети.

Если есть ви-фи мыльница от тп-линк\ д-линка, то можно попробовать перешить в опенврт\дд-врт и заиметь проблемы VLAN.