@pigbrother на версии PF 2.7.0 - не помогло.

@Hitch Здравствуйте Как я уже писал ранее , проблема в том , что PF работает чуть выше уровнем , чем Вам надо (см статью в этой ветке порядок прохождения пакетов ) Если все-таки надо фильтровать на уровне канальном с анализом Ethernet заголовка и именно на PF , то я бы решал эту проблему через Netgraph ( но в лоб ее не решить , нужно приложить некие усилия ) Суть в том , что эта подсистема позволяет перехватывать и анализировать трафик именно в том момент , когда он передается от драйвера адаптера к ядру системы и наоборот Таким образом , можно отсеивать пакеты с неразрешенными Mac- адресами и пропускать валидные пакеты Тут есть 2 пути 1 использовать комбинацию модулей ng_ether +ng_bpf (они уже встроены в ядро PF , и тут надо только написать грамотный скрипт и составить bpf- программу , используя tcpdump) пример такой программы printf "Configuring ${INTERFACE}_bpf..." ngctl msg ${INTERFACE}_bpf: setprogram { thisHook=\"${INTERFACE}_to_bpf_from_tee\" \ ifMatch=\"${INTERFACE}_from_bpf_to_one2many\" ifNotMatch=\"drop\" \ bpf_prog_len=19 bpf_prog=[ { code=40 jt=0 jf=0 k=12 } { code=21 jt=16 jf=0 k=34525 } \ { code=21 jt=0 jf=15 k=2048 } { code=48 jt=0 jf=0 k=23 } { code=21 jt=0 jf=13 k=17 } \ { code=40 jt=0 jf=0 k=20 } { code=69 jt=11 jf=0 k=8191 } { code=177 jt=0 jf=0 k=14 } \ { code=72 jt=0 jf=0 k=14 } { code=21 jt=0 jf=8 k=53 } { code=80 jt=0 jf=0 k=24 } \ { code=84 jt=0 jf=0 k=128 } { code=21 jt=0 jf=5 k=128 } { code=32 jt=0 jf=0 k=30 } \ { code=21 jt=2 jf=0 k=3232236006 } { code=84 jt=0 jf=0 k=4294967264 } \ { code=21 jt=0 jf=1 k=3232235808 } { code=6 jt=0 jf=0 k=65535 } { code=6 jt=0 jf=0 k=0 } ] } printf "OK! \n" 2 использовать комбинацию модулей ng_ether + ng_macfilter тут все несколько отличается от пути 1 и конфигурируется тоже легче , НО тк модуль ng_macfilter не интегрирован в ядро PF , то его придется отдельно собирать под конкретную версию Freebsd https://www.gsp.com/cgi-bin/man.cgi?section=4&topic=NG_MACFILTER https://github.com/freebsd/freebsd-src/blob/main/sys/netgraph/ng_macfilter.c посмотреть , с какими модулями собрано ядро можно командой kldstat -v | grep ng_

Добрый @GOOFY ПРОКИДЫВАТЬ сетевую в ВМ НЕ НАДО. Надо создать на ней БРИДЖ в гипере и после ОТДАТЬ этот бридж в ВМ.

@max5775 Через впн можно.

Добрый. @MIXAIL57 Что у Вас ПЕРЕД пф стоит ? Можно. Можно. Написал Вам в ТС.

@Vasilev да , посмотрел внимательно ,, речь идет только о порте источника в настройках NAT , никак не о порте назначения Тогда Ваш путь верен , пробрасывать с нужным портом на PF назначения

@rnduser вот сегодняшняя история. триггер хайлос и латенси. [image: 1698749747983-d0b142a3-fee9-4a74-8585-9640d4ab0fa2-%D0%B8%D0%B7%D0%BE%D0%B1%D1%80%D0%B0%D0%B6%D0%B5%D0%BD%D0%B8%D0%B5.png]

@bazyak Спасибо мил человек, я так же сделал, все получилось.

Сделал это уже через Apach guacamole Но интересно через PfSense возможно так пробросить ?

@garald50 said in Кто грузит интерфейс?: Получается Trafic Shapper Limitter не шейпит udp должен шейпить, настройки надо по ману от pfSense проверить.

@Timotheos thanks I had the subnet mask as /32 instead of /10 Fixed it

@hwit said in openvpn нет доступа к сети lan но не у всех: Добрый день стандартная настройка сервера OpenVPN Lan 10.0.100.0/24 Туннель 10.100.0.0.24 внутри 2 машинки собственно сам pfsense 2.6.0 10.0.100.1 lan и win2016 10.0.100.10 забит статикой. какой NAT у провайдера?? [image: 1695240510936-2de98e96-4464-47ee-ad65-268bdb2c68ee-image.png] и у клиентов провайдер и у вас один?

@werter said in pfsense + Antizapret (VPN) full tunnel wireguard/tailscale: Крутите правила firewall и nat. отвечу (задам вопрос) вместо автора этой темы... Подключён к AntiZapret TCP4 [image: 1695059658525-1c8a46d3-fd75-4a27-b3de-f67f0132f399-image.png] [image: 1695059698586-175976b7-f6de-4df1-9dd3-22c7dcda5ceb-image.png] [image: 1695059850566-7efcf0d5-c7b4-4edd-9156-213ba45ae7a0-image.png] [image: 1695060114035-a5cafaec-fc94-4952-98a0-e1ae637c45c5-image.png] мой мудапровайдер использует из диапазона 10/8 [image: 1695060166240-8c1ca684-7eda-48bb-8779-7d9b93edc913-image.png] [image: 1695060180604-b9f90d0d-bb3a-47d2-8979-952647b3f338-image.png] смотрим пинг не идёт через WAN - значит мудапровайдер не занял именно этот адрес для тестов Далее я делал: [image: 1695060295427-381d54a6-61ae-4576-901f-e8ac7fd09a23-image.png] [image: 1695060332932-867d976f-2e2a-414d-933a-fbfaba228add-image.png] И ЭТО НЕХРЕНА И НЕ РАБОТАЕТ!!!!!!!! знаешь почему?? [image: 1695060394916-bef470bd-6091-4fca-8349-a2121b61103e-image.png] а потому что pfSEnse 2.7.0 кусок кривой прошивки!!!!!!!!!!!!!!!

@werter, спасибо, попробую

Добрый. @kamazik971 Скрины firewall. nat.

Добрый. @Mahad Указывайте ip, а не имя в Authentication server.

@Stef93 Корень зла надет! По умолчанию CRL создается на 9999 дней, похоже дата перескакивала на 19... какой то. Поставил срок жизни листа 5 лет и все ОК.