W PF nie ma takiej funkcji, albo po tylu latach jeszcze jej nie odkryłem. Ale na 95% nie ma.

Hej,
na kartach jest ok. Zmieniliśmy konfiguracje na Squid i wygląda to znacznie lepiej. Na kartach jest czysto a faktycznie popatrze jeszcze na dyski w czasie godzin pracy.

No to masz przyczynę. Ściągaj operatora aż do skutku.
Dobry kabel działa bez błędnie na odległość ponad 100m. Czasem wystarczy licha wtyczka albo źle zrobiona i będzie sypać błędami.

Używam tego rozwiązania od ok 4-5 lat. I na chwilę obecną nie zamieniłbym na inny produkt. Tym bardziej iż miesięcznie router mi przerzuca po sieci ok 1TB danych między vlan-ami. Gotowe rozwiązanie jest zdecydowanie za drogie.
Bezpieczeństwo także jest na wysokim poziomie.

Byś widział jakie jest obciążenie każdego z vlanów doinstaluj paczkę: Status_Traffic_Totals
A żeby zobaczyć który IP aktualnie ciagnie za dużo to zobaczysz w: Status -> Traffic Graph (tu już sobie definiujesz który vlan chcesz oglądać)
Byś miał pełną kontrolę postaw sobie proxy (squid+squidGuard) to będziesz wiedział co kto i ile czego ściąga. I w razie co zablokujesz komunikację z konkretnymi domenami.
Poza tym w limiterze możesz zrobić tak że dany vlan może mieć do dyspozycji 10Mb/s i więcej nie pójdzie bez znaczenia ile jest hostów. A możesz też ustawić że ten limit będzie przypisane dla każdego adresu co w efekcie wysyci łącze.
Wszystko zależy co wybierzesz przy konfiguracji limitera w polu "mask":

none: limit przypisane ogólnie bez znaczenia na ilość hostów. (2 klientów ściąga duży plik= wysycenie łącza) source addresses: ustawiony limit działa na każdego hosta z osobna (10 klientów ściąga duży plik = suma poobierania dla wszystkich nie przekroczy wartości zdefiniowanej) destination addresses: np dla strony internetowej. Nie pójdzie więcej niż.

witam
bardzo dziękuję - jest tak jak mówisz, jeśli ktoś używa Squidguard-a to tam ustawia się komunikat dla np kategorii
jesli zablokuje cos w samym Squid to wlasnie - nie wiem skąd pochodzi komunikat zablokowanej strony

O ile pamiętam to obie anteny są używane. Jedna nadaje druga odbiera.

Ok, problem rozwiązany. Wynikał z infrastruktury sieciowej firmy. Teraz śmiga wszystko jak powinno  ;D

Jak w takim wypadku zrobić to elegancko?
Chciałbym wydzielić odrębną sieć dla gości, wyciąłem ją na vlanach, wchodzi w odrębny interface OPT2 w pfsense.
Ruch pomiędzy sieciami lokalnymi jest blokowany.

Jednak jeśli bym chciał dostać się do jakiejś usługi w sieci LAN to mam jakąś możliwość ruchu przez WAN?

Szczerze? to nie wiele… zmieniłam tylko IP z linii serwera, gdzie tam się zapytał o certyfikaty.

W metroethernet dostajesz pule adresów ip. Co chcesz osiągnąć: routing dla sieci wewnętrznej, przypisać adresy ip zewnętrzne dla komputerów w sieci? Wszystko opisane w dokumentacji.

Wszystko znajdziesz w sieci.

https://doc.pfsense.org/index.php/L2TP/IPsec

Czy SERVER ADDRESS i REMOTE ADDRESS RANGE nie powinny być w tym samym zakresie? N.p. 10.10.9.2  i 10.10.9.128

A czy z komputera łączysz się po IP czy po URL do serwera?

Dodam, ze mozecie uzyc pfBlockerNG do tego. Przyklad https://js4.red/r/PFSENSE/comments/40q0f9/L/cyxdrxl

Doproś się od operatora wymiany tego wynalazku na model znacznie wydajniejszy.

Port do którego wpięty jest pfsense winien mieć status "trunk" i mieć przypisane vlany jakieś oczekujesz. 1 jako nietagowany i tagowany 100.
Następnie drugi komputer wpinasz w port nietagowane 100 albo tagowane jeśli karta sieciowa w komputerze wspiera ten standard.
Karta sieciowa w pfsense też musi wspierać ten standard  (IEEE 802.1Q) bez tego nie będzie to działać.

Wszystko zależy od dostawcy. Osobiście mam w pracy 2x DSL od orange na każdym po 8 adresów IP. Każdy z nich jest podłączony obsługiwany przez pfsense. Połączenia od PFsense do modemu/routera operatora to tylko 1 kabel sieciowy. Więcej nie ma potrzeby kłaść.
Jak dobrze ogarniasz VLany i masz odpowiedni switch to po 1 kablu LAN możesz do pfsense puścić np  kilkanaście sieci każda w osobnym VLanie.

Mając 1 wan nie trzeba przypisywać DNS-a. Usuń przypisanie, do tego restart routera. Winno działać.