@werter Спасибо большое, добрый человек! Тему закрываем.)

@stalkerjs Еще раз. Как соединены офисы? Если никак - тупой способ. Если адресация в сетях разная - кабель\VLAN из LAN второй сети, где мало устройств дотянуть до первого PF и воткнуть, как второй WAN, настроить балансировку. Первый офис получит второй канал, для 2-го - ничего не изменится. Для нетупого способа рисуйте схему с адресацией.

@electricshock Добрый. Вряд ли получится, т.к. зум пользует облако с сотнями адресов ( Попробуйте у себя поднять jitsi meet, bigbluebutton (bbb) или mirotalk sfu. У bbb лучшая из предложенных решений админка и оч просто поднимается официальным скриптом https://github.com/bigbluebutton/bbb-install У себя развернули в виде вирт. машины на proxmox ve и радуемся ) P.s. В ЛС отправил свои контакты , если не будет получаться.

Добрый @skynetyad Гляньте тут: https://docs.netgate.com/pfsense/en/latest/troubleshooting/low-throughput.html https://docs.netgate.com/pfsense/en/latest/hardware/tune.html

@shkiber Вам на месте виднее. Зы. Цент ОС - всё ( Редхат от развития отказалась еще год назад. Переходите на debian.

@pigbrother Ролик best practices VoIP PfSenes https://www.youtube.com/watch?v=C0JgrzxXIBY&ab_channel=Netgate

@luka21 Здр в целом , все верно ко всему Есть такое понятие PBR - Вы когда создаете правило на Lan интерфейсе , принудительно указываете , через какой шлюз будет отправлен трафик как это сделать написано здесь https://docs.netgate.com/pfsense/en/latest/multiwan/policy-route.html

@kamazik971 всё работает сошласно порядку правил , запушил изменения

Добрый @nabi92 Какую роль у Вас сквид играет? Что Вы им ограничиваете-разрешаете?

В целом проблема сохранилась и оформилась в такую картину. Сеть не "моргает", в т.ч. BFD не регистрирует потерь, соседи в сстоянии Full. Нагрузка на CPU не превышает 5%, памяти достаточно. При этом сразу после запуска/перезапуска FRR все выглядит предсказуемо, OSPF DB соответствует конфигурации. Но... ровно через час (буквально до секунды) и без единой записи в логи происходит следующее: из Net Link States пропадает линк на соседа из OSPF network routing table выпиливается маршрут в транзитную сеть из OSPF external routing table пропадает маршрут в целевую сеть При этом OSPF Neighbors без изменений, сосед в Full, в BFD интерфейс Up. Из замеченного: в Thread statistics for ospfd появляется ospf_maxage_lsa_remover. Лечится (ну если можно так назвать) через FRR/Global Settings - Force Service Restart (ну тут в логах все красиво), после чего все работает... ровно час. Конфиг: frr defaults traditional ... log syslog service integrated-vtysh-config ! interface tun_wg0 ... ip ospf network non-broadcast ... ip ospf dead-interval 12 ip ospf hello-interval 3 ip ospf bfd router ospf ospf router-id Х.Х.Х.Х log-adjacency-changes detail redistribute kernel route-map ХХХ timers throttle spf 200 1000 10000 passive-interface vmx1 area 0.0.0.0 shortcut default neighbor 10.Х.Х.2 poll-interval 10 ! ... bfd profile profile1 detect-multiplier 3 receive-interval 300 transmit-interval 300 echo-interval 50 no shutdown echo-mode ! peer 10.Х.Х.2 local-address 10.Х.Х.1 interface tun_wg0 profile profile1 Немного помогает добавление альтернативных маршрутов, тогда при отвале одного включается другие, правда иногда ассиметрично, при том, что косты расставлены корректно и для каждого конечного маршрута однозначно. Т.е. ручной рассчет дейкстры не совпадает с выбранным маршрутизатором. Да собственно и в OSPF external routing table виден результирующий кост, который больше, чем живые альтернативы. Уже обновлял PFSense и FRR, играл с FW и MTU/MSS, медитировал на BFD и OSPF пакеты на интерфейсах... Идеи закончились. Угнетает тишина в логах при потере маршрутов. Готов возвращаться на статику (BGP не предлагать). Буду благодарен за любые конструктивные идеи.

@mefisto74 И что вы в этом пункте прописываете? Предположу, что синтаксис неверный.

You need to go in pfsense along this path System -> Advanced -> Networking (tab) and check the "Disable hardware checksum offload" checkbox.

Добрый @ik_bazilio Если есть возможность и желаение, то на али по фразе 'pfsense pc router' много вкусного)

@vasilev посмотрите /var/etc/ipsec/ipsec.conf - это для старых версий PF для новых , думаю файл swanctl.conf эти файлы генерируются автоматически системой . Все ли в них нормально ( согласно Ваших настроек) ? очень желательно все-таки посмотреть лог файл соединения . ip адреса инициатора и ответчика можно скрыть

@werter ядра сети каждого объекта объединены по L3VPN, по этим же каналам планирую синхронить пфсенсы, 1-к-1 работает, а нужно сделать 1-к-многим, т.к. набор правил и алиасов +/- одинаковый.

@las15 .*radio.* попробовать указать Order - попробуйте выше всех поставить Загуглите как по mime type блокировать. И да, если у пол-ля в браузере будет установлено дополнение с VPN , то сквид тут не поможет.