@werter: Доброе. Интереснее разбираться когда не работает куча банк клиентов, эквайрингов и спец софта с портами, которые их ТП не знают или не могут сказать? Отлавливать порты в логах и открывать, проверять, спорить со сторонней ТП Из клиент-банков знавал только один, к-ый пользовал особенный порт. Все остальные пользуют 443\TCP. Разработчики банк. софта - не идиоты. А в остальном - точно так, как вы отписали. Сидеть, отлавливать, создавать правила в fw. Поверте, это намного лучше, чем заморачиваться с торрентами и прочей какой в сети. И да, что это за "контора", в к-ой работникам разрешено пользовать торренты?  :o Золотое правило - разрешать минимум. Остальное открывать по-необходимости. Отвечать-то вам прийдется в случае чего, да ? P.s. Я бы еще и DNS (53 TCP\UDP) на pf завернул бы. Этот спор будет ни о чем. Каждый останется при своем мнении. Про банк клиенты по большей части согласен, но есть ещё куча всякого другого софта и оборудования. Пользовать торренты? А что запретит? Сейчас портативные проги для всего и вся есть. К тому же проги теперь любят ставиться в папки пользователей. Про то что запретить скачку exe, заблокировать в домене и тд не нужно, речь не об этом. Поэтому и спрашиваю как заблокировать, но не через порты. Все же мне именно их предлагают. Повторюсь ещё раз, через лайер7 было отличное решение. Похожая ситуация с блокировкой видео онлайн. Блокируем по маске, вносим все известные форматы… а потом их открываем, тк в выдачах поисковиков при переходе по ссылкам по любому всплывёт наше блокирование по маске, например avi, и приходится его убирать. DNS на контроллерах домена, оттуда на pfsense, всё нормально там. Золотое правило по большей части было актуально при лимитированном интернете и других скоростях, сейчас же всё и вся лезит в инет. Наверно 50% всей работы пользователей (а не которых и 90%) находится теперь в инете. Здесь у каждого своя ситуация. Всё равно если я не дам доступ, то его не получит ничто и никто. Давайте не будем оффтопить и подытожим: блокировка торрентов либо портами, либо никак. А, ну ещё полосой пропускания.

К сожалению не получиться. Блокируйте весь ютубчег.

Доброе. Версия пф ? Забэкапьте конфиг и обновитесь до 2.4. Но это крайний случай. Основной лог.

@pigbrother: так собственно и сделал - на длинке просто поднят PPPoE раздаётся вайфай Я предлагал как раз обратное - поднимать PPPoE НЕ на роутере, а на pfSense, и указал чем это предпочтительнее. Единственный плюс вашего решения - возможность использовать Wi-Fi роутера. Пока ещё не дошли руки связать pf + MS AD Если не планируете использовать прокси с авторизацией\управлением доступом в интернет\VPN и т.п - связь  pf + MS AD вам ничего особенного не даст. Вот как раз в целях опыта и хочу связать =) больше знаю меньше сплю так сказать ))) отрабатываю разные варианты применения

Можно попробовать написать dbaio, автору пакета apcupsd в теме https://forum.pfsense.org/index.php?topic=70830.45 или ЛС. Однако появлялся он давно: June 20, 2017, 10:12:59 am

Загрузка процессора при передаче - 5-15%. Это то, что показывает дашбоард? CPU- многоядерный? Повторю - на загрузку CPU при передаче данных на обеих сторонах. Если процессор многоядерный - на загрузку ядра, которое использует процесс OpenVPN . Стандартные рекомендации - UDP (хотя попался как-то провайдер, резавший UDP и переход на TCP повысл скорость в 10 раз), понизить уровень шифрования до минимально приемлемого, вплоть до отключения, отключить TLS authentication, поиграть экзотческими директивами mssfix и mtu-test (применимы вроде только в UDP) еще раз напомню про это: https://forum.pfsense.org/index.php?topic=135378.msg741547#msg741547 Почитать также эту ссылку: https://forum.pfsense.org/index.php?topic=120551.60 Из которой можно сделать вывод - для "среднего" железа  3-4 Мегабайта\сек скорость вполне приемлемая. Чем, кстати, ее тестируете?

Смотрели там все в порядке. Из Lan1 в Lan3 идут Трассировка маршрута к 10.1.0.41 с максимальным числом прыжков 30 1    <1 мс    1 ms    <1 мс  pfsense.local [192.168.30.5]   2    1 ms    1 ms    1 ms  192.168.1.177   3  709 ms  459 ms  448 ms  192.168.10.253   4  1426 ms  738 ms  698 ms  10.1.0.41 Трассировка завершена.

Чтож, копнул глубже - и да, вроде как AES поддерживается,  причем популярный AES128/256-CBC. https://s3-ap-southeast-1.amazonaws.com/mediatek-labs-imgs/downloads/1f9d1b96f0f20242df0e3826fccc9da0.pdf?response-content-disposition=inline%3B%20filename%3DMT7688_Datasheet_v1_4.pdf&X-Amz-Content-Sha256=UNSIGNED-PAYLOAD&X-Amz-Security-Token=FQoDYXdzENf%2F%2F%2F%2F%2F%2F%2F%2F%2F%2FwEaDBFvJPxLbC%2B%2FbBmZjCKmAwK25w%2Flc2Z5rl4fBiqVnX6V2WxcWTt4RF5kJh3HHjJAbRWSfndMI2mk5gT%2B8wl04oQ1Q3wOHBWbfhgVNa8j63nvSD7FvoATI7xaJyk86xLupg9R%2BVpBfNQY8wRjjHVseupFoJi3MxPUjFzXawPMHWw7vZx9ONqcq%2BvYOjgYZSMegw%2BiJHlohAGsFxT50zOQR70Un0ZQ0jV8yrp%2BdB705cDvbH2mZrCzxZxJ3ZXdcYCKlibN9q%2FWWXAreS2OWDKuhiH3ASTHPtrNSLCXPstMRPh06A%2FAcasmT3Bo%2BMT%2FDOcAQx64q2ZQnUwkPar2lahVksycrRbxYd1pporZX%2FRfPajh1eY3BR9Ybkx85beQxOo1KmgtjSS8fkwa%2BbyFJrnlQZ7nZe5ffamiuEgXu68DhCVA8ufPTdKM%2BHwemeUDZGB2TNZ0QXZp0v3Ok%2F5VT98JtSH0w7h%2FSbH0xi9R3h99XK%2FoINmadlfJXWu5Jhm68QFTiiCr3v7onvz1npQTEiZtce2miQNCSMcwkd6UXG0ByuYiD4mbfcJ%2B3PSLWWSu1Fkno4ZpeYhGKPrZw84F&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=ASIAJHII3S73UYZQP2SA%2F20171001%2Fap-southeast-1%2Fs3%2Faws4_request&X-Amz-Date=20171001T142250Z&X-Amz-SignedHeaders=host&X-Amz-Expires=600&X-Amz-Signature=97f4d499e38c38d6427ba4b5f3e1a8cd6646235034ad04997b4ea58ea7d49c6e

Доброе. Директива route в Адвансед и вписанное в Remote Network - одно и тоже (если хотите объявить пфсенсной сети маршрут в сеть клиента - пишите в Remote network, наоборот - в Local network). Исправляйте. Плюс об iroute в Client specific overrides не забывайте. И вам точно надо весь трафик впн-клиента в туннель заворачивать?

Проверили предыдущее ? Или уже можно к Вам выезжать ?

Пошаговые мануалы по обновлению vmware esxi - https://tinkertry.com/category:Virtualization

Спасибо, проверю - отпишусь.

Проблема с настройкой моста на pfSense была.

Со свитчами и Асусом разобрался, всё работает, Wi-Fi тоже работает, в DHCP прописал всю привязку статических адресов локальных хостов, вроде с этим всё нормально. Но!  Теперь возникла еще одна проблема, с которой пока не разобрался. Этот… хм... пардон... pfSense подменяет мне TLS-сертификаты от Let's Encrypt на какие-то левые собственные.  У меня в локальной сети есть web-сервер, на котором работают кое-какие веб... не знаю, как назвать... службы, которые должны быть доступны извне, в частности, к примеру, Nextcloud.  Я настроил Port Forwarding HTTP и HTTPS на соответствующий локальный хост.  На Асусе у меня такая штука работала без проблем.  Здесь же pfSense при обращении к нему ....  аааа, кажется, сообразил.  На Асусе веб-интерфейс самого Асуса работал через нестандартный порт.  Сейчас попробую на pfSense сделать аналогично. Edit: Настроил веб-интерфейс pfSense через HTTPS port 8443.  Лучше не стало.  Всё равно при обращении к портам 80 и 443 пытается отдавать свои сертификаты.  Как от этого избавиться? Edit2: Он теперь, оказывается, делает еще хуже.  Форвардит все HTTP и HTTPS на порт 8443. Сейчас попробую правила пересоздать заново. Edit3: Не понимаю, Port Forwarding не работает так, как требуется.  В System / Advanced / Admin Access для webConfigurator указан Protocol HTTPS TCP port 8443 Сам веб-интерфейс pfSense работает через https://192.168.1.1:8443 , с этим всё нормально. Но при этом он нормально настроенные правила Port Forwarding для HTTP и HTTPS пытается форвардить на тот же порт 8443.  Что за ерунда?  Ну, сейчас попробую просто в явном виде порты прописать вместо HTTP и HTTPS. Edit 4: Не работает. Не понимаю пока, в чем дело.  Похоже, не форвардится ничего.  Не вижу на целевом хосте никаких обращений.  Как настроить такую штуку, кто-нибудь знает?  Чтобы 80 и 443 порты нормально форвардились на локальный хост без вмешательства pfSense?  Демилитаризованную зону прошу не предлагать, на том хосте еще и локальные сервисы работают.  На Асусе с этим не было абсолютно никаких проблем.  С pfSence сплошные проблемы.  Как решить?  Подскажите, пожалуйста. Edit 5: Возникает большое желание снести эту … хм... pfSense, поставить нормальную FreeBSD и попробовать сконфигурировать всё вручную, безо всяких веб-интерфейсов.  В pfSense, конечно, всё красиво, но не работает так, как требуется.  Во всяком случае, пока.  Если в ближайшее время не удастся настроить pfSense, то, пожалуй, так и сделаю.  Никогда подобных вещей вручную не конфигурировал, но я прежде много чего никогда не делал из всего того, что делаю сейчас. Samba-сервер на том же локальном хосте, кстати, тоже недоступен в локальной сети. Сейчас хоть его попробую открыть в файрволе.

Доброе. Создайте на LAN правило, где в src - локальный IP проблемного сервера, а в gw явно укажите шлюз второго вирт. WAN-a. Поставьте его самым первым. Возможно, что прийдется и аналогичное явное правило NAT создавать специально под проблемный сервер. Надо пробовать на месте.

Тогда не понятно как это вообще у вас работает. По какому мануалу делали?

benderator Без понятия. Обошёлся без магии - никаких ошибок не было. SEA80 дело говорит - никаких других самб не должно быть. samba-tool не установлен, testparm выдаёт: Load smb config files from /usr/local/etc/smb4.conf Loaded services file OK Server role: ROLE_DOMAIN_MEMBER

Доброе. Сквид - транспарент ? SSL-траффик фильтруется? Какие браузеры пробовали? Кеш браузеров чистите?

Спасибо за ответы. Тему можно закрывать.