@TR Столкнулся с проблемой по отзыву сертификатов описал здесь, может есть решение?

https://forum.netgate.com/topic/177918/issues-with-cpu-frequency-after-upgrade-23-01/11 https://www.reddit.com/r/PFSENSE/comments/116mt3w/high_cpu_frequency_after_upgrade_2301/

@Konstanti p.s. спасибо за помощь :)

@werter Все эти протоколы элементарно детектируются системами DPI У меня внутри РФ все работало через мобильных операторов , за пределы РФ нет проводной VPN работал без проблем

@legsedel Скажу честно , мне лично больше всего нравится Ipsec ( и работает на уровне ядра ,и клиент встроен сразу во многие ОС ) Я поставил такое ПО на чистые сервера Linux и Freebsd ( настроил 1 раз и забыл на года , пока не истек срок действия сертификатов) По поводу Вашей проблемы , настройте разрешающее правило доступа так , чтобы оно тоже попадало в журнал файрвола ( сразу станет видно , что и как пропускает файрвол ) Запустите tcpdump - тоже многое станет понятным Мое личное мнение , что у Вас после отключения контроля флагов весь трафик шел нормально через Lan интерфейс , а вот что было с ним дальше неизвестно .... Может быть у Вас был настроен исходящий НАТ и меняется адрес источника и тд и тп .... Надо разбираться с этим ( но есть ли смысл ? ) Когда поднимите OpenVpn сервер , появится дополнительный интерфейс и будет все гораздо проще

@werter На самом деле решение было в том что бы в правло узать сеть не ...1.0/24 или сам хост 1.3 , а указать сеть 100.3 так как адрес который рулит в сеть wan из которого я выхожу в инет 100.2 [image: 1692523992150-%D1%81%D0%BD%D0%B8%D0%BC%D0%BE%D0%BA2-resized.png]

@Konstanti Добрый день. Я выставлял макс. дебаг в логах unbound - там ничего не появлялось. Т.е там были записи про ДНС-запросы, но только от самого ПФ (NTP и еще чего-то) Спс, я уже вроде решил проблему. Хотя настройки пришлось делать не так, как в мануале на сайте.

@Begazi 1 используйте исходящий Nat на интерфейсе 192.168.78.4 для сети 10.73.158.0/24 или 2 создайте правило исходящего NATа для сети 10.73.158.0/24 на wan интерфейсе PF

@pigbrother сделал как в мануалах. Теперь да, при трассировке до удаленной сети уходит в корректный шлюз (10.0.10.1) но при этом все равно до конечной сети трафик не доходит. В фаерволе все разрешено. Странно.

@pigbrother Да, это скрин для ОпенВПН интерфейса. Насчет вместо указания TCP\UDP\ICMP в Кинетике можно использовать знвчение IP. Это как ANY в других системах. Спасибо. Я так и думал что скорее всего как-то можно не городить такой огород. Теперь буду знать. Насчет сабжа - тема закрыта. Как я сказал получилось сделать пробросом портов и девайс уже стоит на точке и работает. Экспериментировать с удаленным роутером ну что-то ваще не хоцца :) Еще раз спасибо за помощь.

@rline По идее, нужно узлу В добавить маршрут в узел Б указав шлюзом А. Для узла Б добавить маршрут в узел В указав шлюзом А. @rline said in Маршрутизация openvpn клиентов: поднят openvpn сервер peer to peer (shared key). От shared key пора отказываться, он пока поддерживается, но как долго - вопрос. OpenVPN Shared Key Tunnels Deprecated – They still work, but will trigger warnings in the logs and GUI. https://docs.netgate.com/pfsense/en/latest/releases/2-7-0.html Да и "правильный" сервер "с сертификатами" намного удобнее в управлении маршрутами - все делается на сервере.

Добрый @Ivan-6 Проксмокс - гипервизор. Как vmware esxi или ms hyper-v, только ОТКРЫТЫЙ и оч крутой :) 1 https://www.opennet.ru/opennews/art.shtml?num=59334 2 https://forum.netgate.com/topic/163435/proxmox-ceph-zfs-pfsense-%D0%B8-%D0%B2%D1%81%D0%B5-%D0%B2%D1%81%D0%B5-%D0%B2%D1%81%D0%B5-%D1%87%D0%B0%D1%81%D1%82%D1%8C-2/

@dsp3 Отписать в техподдержку, чтобы сменили вам тип подключения на ipoe.

@Reno-0 Всем спс - разрешения на файлы слетели))

Добрый @ao_kalachev В баг-репорт смотрели ? Может там чего есть на эту тему.

@legsedel не может быть простых решений в сетях с несколькими шлюзами По поводу пропускной способности .... сложно сказать , все проверяется только экспериментальным путем а так , не за что ... обращайтесь

@werter это понятно что не проверить, просто хотел показать что ресурс доступен напрямую с pf, благодарю за отзывчивость)