Ротация.

Памяти много - мне не жалко.

Кхм, спорное утверждение )
Я бы не "мудрил". Я уж точно не умнее разрабов )

@andrew82
1.1.1.1, 1.0.0.1, адреса Яндекс ДНС, opendns etc

Также вопрос возможно-ли для каждого канала пинговать более одного хоста для большей достоверности результатов?

Нет.

@pigbrother Воооот! Надо проверить. Скорее всего. Но в выходной выходить неохота, а на ходу не получилось.

@werter не, на свичах все норм. Я еще не перекидывал LAGG на static вместо lacp, просто неохота. Да и надобности уже особой нет.

Небольшой апдейт интересной темы.

GUI для собственного контроллера - https://key-networks.com/ztncui/

ztncui - ZeroTier network controller user interface

ZeroTier networks are set up and configured on a ZeroTier network controller. You can either use the network controllers hosted by ZeroTier or set up your own standalone network controller. Setting up a standalone network controller is quite simple - just install the ZeroTier One software and follow the installation instructions below to install ztncui on a Linux machine.

Оф. гайд PVE https://pve.proxmox.com/pve-docs/pve-admin-guide.html

3.3.5. Routed Configuration
You can avoid the problem by “routing” all traffic via a single interface. This makes sure that all network packets use the same MAC address.

На 146% ваш случай и решение дано. Переходите на темную сторону PVE. Не пожалеете. Но только на ZFS )
Зы. У них еще и классный почтовый шлюз есть - PMG.

@pigbrother
ТС не в состоянии это (у)знать (

@werter благодарю-разобрался, обновился теперь пакеты устанавливаются. спасибо

@Konstanti
Попробовал, интересный эффект, трафик на клиенте ловится с других устройств, а если с самого хоста пф клиента, то трафика нет ... веб-гуи сервера есть, а на другом порту трафика нет ... Аааа, епсель-мопсель, на клиенте же fw, ну усе заработало,

Мэни сэнкс ...)

Теперь переходим в squidGuard.

Создаем Группы в AD и в Groups ACL.
Делаю запрет на все, а в инет доступ есть..
Куда теперь смотреть?

да, нашел еще одно решение, точнее сайт для PF2AD

если кому то поможет, то: https://openjdtec.com.br/pf2ad/

это, то что стало платным - https://www.pf2ad.com/

В ПФсенс сквид более свежей версии, хоть и далеко не самой новой, но до конца не понятно каким образом фильтрует хттпс

В смысле KAK? Это ж MiTM - сквид "вмешивается" в передаваемый трафик между клиентом и веб-сервером.
https://wiki.squid-cache.org/Features/SslBump . Сейчас так - https://wiki.squid-cache.org/Features/SslPeekAndSplice

@pigbrother
Телефоны, планшеты, ноуты, кофеварки уж лет 5 как умеют. На форуме опенврт и 4пда все есть.

@werter
Ну , да )))
В процессе тестирования вылезла одна ошибка
Я у себя ее поправил , теперь все работает нормально ,по-моему
Было

Jan 14 15:00:39 pfSense filterdns: Change detected on host: www.yandex.ru Jan 14 15:00:39 pfSense filterdns: Awaking from the sleep for type: pf table: test_alias hostname: www.yandex.ru Jan 14 15:00:39 pfSense filterdns: Added pf address, table: test_alias host: www.yandex.ru address: 77.88.55.70 Jan 14 15:00:39 pfSense filterdns: FAILED to remove pf address, table: test_alias host: www.yandex.ru address: 77.88.55.60 error: -1 Jan 14 15:00:39 pfSense filterdns: Updated pf table test_alias host: www.yandex.ru error: -1

Стало

Jan 16 17:37:57 pfSense filterdns: Awaking from the sleep for hostname www.netflix.com (2) Jan 16 17:37:57 pfSense filterdns: adding address 54.84.155.179 for host www.netflix.com Jan 16 17:37:57 pfSense filterdns: removing address 52.20.168.249 from host www.netflix.com Jan 16 17:37:57 pfSense filterdns: Updated pf table test_alias host: www.netflix.com error: 0

Те программа отрабатывала нормально , но в логах писала об ошибке

@Artemon

Из нативного попробуйте l2tp.
Можно это дело автоматизировать, если много поль-лей:
https://stackoverflow.com/questions/14614465/establish-a-vpn-connection-in-cmd
Зы. По умолч. Вин заворачивает весь трафик в туннель. Должно помочь или руками галку снять в настройках впн-линка (support.zyxel.eu/hc/ru/articles/360001121480-L2TP-Over-IPSEC-VPN-Split-Tunneling) или маршрут удалить и добавить с netsh - https://businessforum.zyxel.com/discussion/3628/l2tp-over-ipsec

@pigbrother
спс , расшарил где переменные добавлять , и логи где смотреть . буду тестить , тока завтра уже.

@sergiybt Если пинги идут , а tcp не работает
и у Вас виртуальная ам - отключайте расчет контрольных сумм tcp пакетов адаптером (пусть этим ядро занимается )
то что Вы показали (вывод tcpdump ) говорит о том , что SYN пакеты идут , а ответа нет ( NAT Outbound работает ) - самая вероятная причина - это неверная контрольная сумма tcp пакета (опять же , при условии , что второй участник соединения открыл порт 10080 для соединения)
покажите вывод команды
ifconfig -m

@millenium https://forum.netgate.com/topic/148868/pfsense-squid-adgroups-https/2 уже написано и опубликовано)

@Balaganov

Но пока также не знаком толком с DoH и не уверен, что он есть в Safari (desktop и mobile).

https://gist.github.com/soderlind/6a440cd3c8e017444097cf2c89cc301d
Надо собственный DoH ? https://pi-hole.net/ или https://github.com/AdguardTeam/AdGuardHome/wiki
https://kb.adguard.com/ru/general/dns-providers

Или через опции DHCP это тоже можно передать?

Option 252. Вот только современ. браузеры на эту опцию реагируют от слова никак. IE когда-то внимал ей.
Так у вас смузи-ОСь Mac - там и хромого с лисой нечасто встретишь, а не то что IE.

@lucas1 Либо искать\писать скрипт для PF, либо использовать готовые инструменты, например:
https://github.com/KoenZomers/pfSenseBackup
Работает не на PF, а на внешнем относительно pfSense компьютере.

Spoiler

pfSense Backup allows you to backup the complete configuration of your pfSense or OPNSense server using this command line application. It is easy to include this in a larger script for your backups and schedule it i.e. with the Windows Task Scheduler or in an Azure Function v2. It supports pfSense installations running at least pfSense version 1.2 up to the most recent pfSense version 2.4.4 and OPNSense 19.7. It can be ran on a Windows machine, Mac, Linux and ARM devices such as the Raspberry Pi.