@vladimirlind спасибо, попробую

@werter
Да вроде те настройки что я сдела возымели эффект. Система стабильна, 700 гигов уже прогнал трафика за 5 дней. Неодной ошибки на порту нет. Нагрузка на CPU упала на 20%.

Я бы еще trim включил в ВМ. Ваш гипер должен уметь trim для vm.

Зы. 2012r2 - древность-древняя. И вообще, KVM лучше )

Добрый
Скрин настроек интерфейсов на esxi
Скрины настроек интрефейсов и fw на пф.

Зы. Хорошей идеей было бы вкл. логирование на пф. Плюс, надампить пакетов там же на пф.

@ГеннадийП said in IPv6 Link Local интерфейсов LAN и WAN:

fe80::
Похоже , что задумано

/* always configure a link-local of fe80::1:1 on the track6 interfaces */ $realif = get_real_interface($interface); $linklocal = find_interface_ipv6_ll($realif, true); if (!empty($linklocal) && $linklocal != "fe80::1:1%{$realif}") { mwexec("/sbin/ifconfig {$realif} inet6 {$linklocal} delete"); } /* XXX: This might break for good on a carp installation using link-local as network ips */ /* XXX: Probably should remove? */ mwexec("/sbin/ifconfig {$realif} inet6 fe80::1:1%{$realif}");

По поводу IPv6 адресов на wan,lan интерфейсах :
ifconfig четко показывает , что есть привязка MAC адреса конкретного интерфейса к конкретному Link-local IPv6 адресу
Например , интерфейс wan
ether 00:08:a2:0a:ff:72
hwaddr 00:08:a2:0a:ff:72
inet6 fe80::208:a2ff:fe0a:ff72%igb0 prefixlen 64 scopeid 0x1

что-то некорректно настроено имеется еще кто-то, кто пользует tap

@svjat-orb
Вы уж определитесь, что вам нужно - мост или туннель https://ru.wikipedia.org/wiki/TUN/TAP
Я бы грохнул то, что вы там настроили на центосе и попробовал бы настроить по сслыкам @Konstanti или моим.

@vladimirlind не совсем, просто по найду на фронтенде был настроен переброс с http на https, а так нам необходимо чтобы отдельно http и https(переброс сделан на стороне веб сервера если требуется).

@panperm said in Не видит пакеты, как Installed так и Available:

Проверьте Default gateway

а я ответил по теме, сообщение не прочитал ))

Squidguard мне тут не подходит, так как эти правила должны распространятся как раз в обход squid и Squidguard, т.е. для неавторизованных пользователей. Для тех кто использует мой pfsense как шлюз а не проксю.

@werter said in Как пустить сайт мимо прокси?:

SplitDNS наз-ся

Только мало где написано, что это не функция сервера, а подход к администрированию DNS сервера.

@PTZ-M Почти два года так превосходно работает на моём сервере. Совершенно не понимаю что Вам (или у Вас) не так.

Например 88.147.254.230, 88.147.254.232, 88.147.254.234, 88.147.254.235 точно не менялись за это время.
У меня pfSense чаще всего предпочитает именно их. В том-же списке у меня провайдерские сервера. Они тоже не меняются чаще чем раз 30 лет.

Ещё я применяю алиасы для удобства управления Static Routes.

Вот и я пробовал через NPt настраивать, но почему то не получалось, трафик не ходил, может что-то где-то не так подставил, хотя вроде все правильно прописывал.
Первый Address - префикс, который выдается оператором, второй - подсеть OpenVPN.
Аннотация 2019-04-20 015340.png

Правило естественно сделано.
Но, когда добавил в Firewall-NAT-Outbound правило для IPv6 интерфейса OpenVPN все прекрасно заработало. В итоге получилось что всем клиентам раздаются IPv6 оператора и по умолчанию они работают с ним и доступны из интернета по этим адресам, а на заблокированные адреса по списку уходят через NAT на OpenVPN. Доступа к клиентам по IPv6 подсети OpenVPN не требуется.
В моем случае плюс этого метода в том, что оператор не выдает статичные /64 префиксы, при переподключении или по истечении сессии он меняется, а т.к. NPt требует одинаковые размеры входящей и исходящей подсетей, то приходилось бы часто корректировать. А в случае с NAT можно полностью операторскую подсеть размером в /32 забить.

@dimm56
1С?
Много и хорошо про 1С на Linux http://renbuar.blogspot.com/

Возможно Android печатает на стандартный порт печати 9100,который тоже поддерживается принтером, а iphone хочет поддержки исключительно AirPrint?
Тогда совет @Konstanti действительно может помочь.
https://habr.com/ru/sandbox/88601/
http://internet-lab.ru/airprint_for_separate_vlan

Default allow LAN to any rule блокировало маршрутизацию. Вопрос закрыт, спасибо за помощь

Я обратил внимание на то, что PfSense не правильно резолвил локальные имена.
Я отключил DNS resolver и в System – General Setup – DNS Server Setting прописал внутренние DNS сервера. После чего я смог пройди из локальной сети по адресу https://epsilon.domain.local/owa ! )))

Осталось понять почему же из внешней сети я получаю такую ошибку.
Снимок.JPG

Когда я включаю фильтрацию SSL в Proxy Server - General Settings – General - SSL Man In the Middle Filtering

То из внутренней сети получаю такую же ошибку.

Снимок2.JPG

@Konstanti
спасибо. дельный совет

Переходим к следующему вопросу от чайника, взявшегося за непосильное дело)))
https://forum.netgate.com/topic/142491/%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF-%D0%B2-%D0%BB%D0%BE%D0%BA%D0%B0%D0%BB%D1%8C%D0%BD%D1%83%D1%8E-%D1%81%D0%B5%D1%82%D1%8C-pfsense-%D0%B8%D0%B7-%D1%81%D0%B5%D1%82%D0%B8-%D0%B7%D0%B0-%D0%BC%D0%BE%D0%B4%D0%B5%D0%BC%D0%BE%D0%BC-kennetic

@werter тормознул, bump перепутал с splice all