Si, bueno la experiencia que tuve hace años. fue la siguiente.

Primero hice un balanceo tier 1 y 1 (eran 2 enlaces), El problema que la conexión https (bancos, email, sistemas externos etc) el usuario autenticaba sin problemas, pero al cabo de unos minutos el sistema lo sacaba pidiéndole autenticación (nunca fue que la conexión expiro) fue que en algún momento la petición cambiaba hacia el otro wan, por ende el sistema veia que desde esa IP no tenia login ni cookie de hacer autenticado el usuario.

Como solvente? tuve que crear una regla exclusiva para la conexión https con tier 1 y 2.

Por los momentos solo uso balanceo menos a lo que es https y una que otra cosa puntual. De plano, todo lo que es puerto 80 sin problemas.

Recuerda confgurar en cada regla del firewall en la Lan que se use el grupo de gateways donde estan ambas Wan.

@mikeltb

Después de todo este tiempo desde que abrí este mensaje he podido obsevar que subiendo la RAM no es del todo la solución. Mejora pero no te da todo el ancho de banda de los 600 Mb.

Indicaré los pasos a seguir para conseguirlos...

Lo primero indicar y muy importante es que mi pfsense esta montado como maquina virtual en un proxmox.
Después indicar que la controladora eth que tenía configurada era una Intel e1000. Pues bien, cambiando la controladora a VirtiO y reconfigurando de nuevo las interfaces, reconfigurar la conexión a Internet, volviendo a meter las credenciales de conexion pppoe y reasignando las Vlans a las interfaces de VoIP e IPTV, la conexión mejora notablemente hasta llegar a unos 620 Mb.
El problema que me encontré a continuación fue que el test de velocidad de subida se quedaba en apenas unos 30 Mbps.
Consultando en internet me encontré que este problema se soluciona activando la siguiente opción:
System - Advanced - Networking:
Habilitar opcion <<Disable hardware large receive offload>>
Fuente

Espero sirva de ayuda.

igual pienso que lo que te vas ahorrar son unas lineas.

En mi caso que estoy en Venezuela, me basta con:
com.ve
net.ve
org.ve
gob.ve
gov.ve
edu.ve

Y listo, con eso garantizo las entradas a todo lo que sea .ve a la final .ve lo administra Conatel (empresa del Estado que regula los dominios .ve), y esas son las opciones que ellos dan aquí en el país.

Saludos.

Hola

Podrías instalar otro computador con Linux y DNSMasq (También podría ser otro pfsense o un router con DD-WRT). Este equipo tendría que quedar conectado también a la WAN de respaldo con una segunda IP, en paralelo a tu PFSense.

Luego configuras DNSMasq para que use los DNS que usa tu PFSense en la WAN de respaldo pero le sobrescribes los dominios de Facebook y Youtube para que apunten a un servidor DNS falso.

Lo último sería usar la IP de este nuevo computador como servidor DNS de la WAN de respaldo en tu PFSense.

Ejemplo de configuración de dnsmasq.conf (127.0.4.1 es nuestra IP falsa):
listen-address=127.0.0.1
resolv-file=/etc/resolv.dnsmasq.conf
server=/youtube.com/127.0.4.1
server=/facebook.com/127.0.4.1

El archivo /etc/resolv.dnsmasq.conf tendría que contener tus DNS originales (Acá uso los de Google):
nameserver 8.8.8.8
nameserver 8.8.2.2

Creo que es lo más simple. Otras alternativas serían poner 2 servidores proxy con SquidGuard o crear sendas reglas en la WAN de respaldo bloqueando todas las IPs de Youtube y Facebook, esto último no es muy practico porque esas IPs van cambiando.

@ridley Hola, perdóname por mi español pero intentaré ayudarte
Mi idea es muy simple . Tienes qué dividir la red 192.168.25.0/24 en dos partes
192.68.25.0/25 (por ejemplo , dmz , direcciones ip desde 1 hasta 127) y 192.168.25.128/25 (la red 26.0, direcciones ip desde 129 hasta 254) . En este caso puedes utilizar el tunnel para ambas redes

@konstanti Incialmente tenia en "Network" como "LAN Subnet" que es donde pasaba el problema, luego cambie a "Network" y coloque mi "Red Lan" donde igual pasaba, hasta que cambie de versión de PfSense 2.3.5 -> PfSense 2.4.4 donde ahora funciona aparentemente todo, les adjunto las capturas de mi configuración:

PfSense-01:

0_1542154975161_Setting-1.PNG

Phase-1
0_1542154982657_Config-Phase1.png

Phase-2
0_1542155012987_Config-Phase2.png

Rules lan:
0_1542155137632_Rules-LAN.PNG

Rules IPsec:
0_1542155150221_Rules-IPsec.PNG

Estatus VPN IPsec:
0_1542155203689_Status-VPNIPsec.PNG

No justo ese ese el problema. Creo que no me exprese bien:
Lado A:
Firewall (192.168.1.1) 192.168.1.0/24

Equipo X (192.168.1.23)

Lado B:
Cliente VPN (ES OpenWRT - linux con acceso a consola)
Red: 192.168.8.0/24
Equipo Z (10.11.220.61)
Pero en el mismo switch (no es administrable ni nada) de la red esta conectado el equipo con la ip 10.11.220.61

EL problema:

La unica forma que equipo Z me responda o permita comunicacion con el es si la informacion viene de la ip 10.11.220.62

Pero como NO estan en la misma red fisicamente es mi gran problema.
Si estuvieran en la misma red, solo configuro un equipo con la IP .62 y el gateway la .61 t listo

Este equipo el .61 lo que me permite es acceder a otro host que es el 10.11.0.2 (PEro esto ya es otro tema, me interesa solo ver el .61 en este momento)

1 crear las vlan en el pfsense, 2 habilitar el servicio dns en el pfsense 3 instalar y habilitar el servicio proxy el pfsense

@Esquirla @fabo81

La última regla nunca "aplicará" (aunque cambie "This Firewall" por "LAN Address")

Aquí pueden Leer por qué : https://www.netgate.com/docs/pfsense/firewall/firewall-rule-processing-order.html

Tienes instalado squid filtre? Cómo está el tema de aclarar?

que tal si en las reglas de firewall pones permitir ALL to ANY from ANY... si da Internet, la bronca es por tus reglas, el ping, no va a salir porque debes tener habilitado en el firewall las reglas al protocolo ICMP

@gersonofstone gracias por la respuesta. Decidí poner un router para no tocar tanto mi pfSense, ya que tengo otros enlaces y de esa maner lo tengo la configuración más limpia.
Saludos!

@rickygm NO tengo para hacer un ejmeplo en este momento

Protocolo Source Port Destination Port Gateway
IPv4* VLAN11net * This Firewall * *

@bon-jovi dale una leída a esto

https://forum.netgate.com/topic/129047/see-here-for-this-error-cannot-define-table-bogonsv6-cannot-allocate-memory/13

https://justinho.com/blog/2018/03/15/pfSense-Bogons.html

http://centosquestions.com/pfsense-error-cannot-define-table-bogonsv6-cannot-allocate-memory/

Parece que un acl está más configurado, puede comprar que están bien?colored text