Доброго. А вот и использование 192.168.0.0 в раб. сети "вылезло"  :'(

@Hitty: В общем проблема оказалась в провайдере. Позвонили уже админы провайдера и сказали "Работа протокола CARP на нашем оборудование не поддерживается." Такие дела. это не удивительно. Дело в том, что мак адрес карп интерфейса идёт с определённого мак-диапазона. Чтобы работать с этим маком - требуется поддержка маршрутером. У меня аналогично было с длинком DES3028. Я писал в саппорт длинка, и  после моего тикета длинк выпустил прошивку для совсем давнешнего EOL  железа, за что ему спасибо.

По сути ссылку на инструкцию которую я дал в первом посте дублирует эту инструкцию Ну в общем-то да, но в инструкции в первом посте нет ничего про правила на LAN, а без этого не будет работать: 17. Перейдите на страницу Firewall | Rules 18. нажмите кнопку [+] для добавления нового правила брандмауэра 19. Выберите действие pass 20. Выберите закладку LAN интерфейса 21. Установите протокол (Protocol) в any 22. Установите источник (Source) в LAN subnet 23. Установите назначение (Destination) в any 24. Добавьте описание (Description) 25. В расширенных возможностях (Advanced Features), под шлюзом (Gateway), нажмите кнопку Advanced для промотра дополнительных возможностей 26. Установите шлюз (Gateway) в значение LoadBalanceGroup 27. Сохраните (Save) изменения 28. Примените (Apply) изменения, если необходимо в Cookbook нет упоминания про Default gateway switching Это да) именно поэтому я и написал про это в своём первом сообщении в этой теме - больше всего запомнилось  ;D Когда у себя делал failover по этому cookbook больше часа потратил - искал в чём же я ошибся, пока не нагуглил про эту галку.

Не помню можно ли по RFC прописывать две CNAME записи, A - точно можно — пропишите обе записи для одного домена, будет сразу и балансировка. Или как вариант если вам не нужна балансировка -— можете просто создать еще одну ddns запись, на которую будет ссылаться site.domen.ru, контролируемую pfSense  и чтоб она переобновлялась при отвале основного провайдера.

Еще раз здравствуйте. Нагрузка на процессор стабилизировалась, видимо первый раз какие-то пакеты неправильно установились, ну и хорошо. По поводу подключения через WAN, ограничивающих правил на внешнем интерфейсе у меня нет, так что переведу подключение на нестандартный порт и поставлю глушилку, это будет, я думаю, самое правильное. Спасибо большое.

ошибка в написании канонического имени сертификата пользователя. Вероятно - Common Name. Да, достаточно ошибиться регистром. Ну тут уж  извините - искать такие ошибки исключительно ваша прерогатива.

@PbIXTOP: Если между зданиями устойчивая связь, можно обойтись и одним pfSense. Дотащив в него по VLAN сигнал со второго ADSL, дав каждой сети по своему канналу. Связь устройчивая, можно получается физически чтобы адсл роутеры стояли на местах? Примерно как можно сделать чтобы VLAN соседнего здания через адсл в этом же здании выходил в инет через ПФ?

Доброго. @T-Virus: Будет ли потеря производительности сетевых карт из-за того что они работают через гипервизор, а не напрямую с гостем(vt-d)? Скажем так - Вы этого не почувствуете. Но рекомендую все же использовать что-то прилично-гигабитное - intel, broadcom или свежее от реалтек.

Добавил ссылки.

Доброго. Неплохая шпаргалка по директивам OpenVPN на русском - https://z11grun.blogspot.com/2017/09/openvpn.html

Доброго. 2 chieftech Скрины правил fw на LAN,VPN, настроек шлюзов. А также покажите таблицу марш-ции на вашем пф. Вот когда такое просят - уж соизвольте. Потому как гадать, что и как у вас настроено - просто терять время. К-го и так немного.

Отключение "Allow DNS server list to be overridden by DHCP/PPP on  WAN" пофиксило мою проблему - 3 недели полет нормальный.

Доброго. Для qos в 2017-м году лучше пользовать FAIRQ https://forum.pfsense.org/index.php?topic=111231.0, https://forum.pfsense.org/index.php?topic=110938.0, https://forum.pfsense.org/index.php?topic=126637.135

А директорам это надо?! Сами себе на планшет/смартфон понаставят программ для просмотра и давай нам изображение с камер… Это надо прежде всего вам. Спрашивать будут с вас. А сумеете ли втолковать нач-ву - это уже др. дело.

Откатил pfsens ко вчерашнему дню, настройки длинков и микротиков не трогал. Перенастроил vlan-ы на pfsense. Пинги до всех (трех) удаленных шлюзов появились  ::)

Доброго. Remote Cert Checks: Do not verify remote certificates Поиграться с настройками. https://forum.pfsense.org/index.php?topic=124059.0 https://forum.pfsense.org/index.php?topic=139667.0

Вопрос решается обращением в группу вконтакта. вконтакт/mgts Выглядит дико, но вопрос решается.

а можно поподробнее, а то я не догоняю

Та не вопрос… Унизу однако.  

@werter: Доброго. Ну и "карусель"  :o  А белую статику они хоть предлагают для физ. лиц? да конечно. Я не сильно понимаю как это работает, но предполагаю что в основе технология PAT кстати в этой сети априори не работает PPTP и всё, что плохо работает с NAT-ами (UPnP, PEER-to-PEER и т.п.) Т.е. в ВК я хожу через один внешний ip, а на ОК - через другой? И всё это - у одного провайдера? На кой такая схема? Профит какой ? выгода очевидна. Экономия белых IPv4. А бонусом - лёгкая и простая балансировка каналов (например на каждый межпровайдерский линк по своему IP адресу).