Добрый @Mad-Axell Как указали выше - 2 и 3 правила не нужны. Loadbalance и так будет отрабатывать в случае падения одного из линков - в настройках LB есть пункт Member down. Тут работает принцип ИЛИ: или балансировка или failover. Можете сами проверить это выдергиванием линков по очереди.

@JonathanLee Read this article. everything is written down there. https://osbsd.com/vosstanovlenie-sbros-parolya-pfsense.html

@tty1 У меня более 10 pfSense в разных местах работают без этой галки, с подобным поведением первый случай. Можете объяснить причину такого поведения, опираясь на трафик и детальные логи unbound? 1 Потому что БЕЗ этой галки ваш пф будет пользовать КОРНЕВЫЕ днс, а не те, что вы указали в настройках. 2 НЕ ИСПОЛЬЗОВАТЬ гуглоднс - к ним завтра доступ прикроют и останетесь без инета. Для конторы хватит и я-днс.

@Lares Добрый день! Можно закрывать тему. Я разобрался. У меня на компе какая-то гадость частично блокировала работу COM-порта. С другого компа установка прошла на 5+, всё работает, все счастливы.

@DIMADUR Здравствуйте Не совсем понял , зачем в такой схеме проброс портов ? Насколько я вижу , Вам надо просто правильно настроить статические маршруты , 1 чтобы 10.x.x.1 знал о том , что сеть 10.168.1.0/24 находится за шлюзом .10.x.x.2 2 чтобы 10.x.x.2 знал о том , что сеть 10.168.45.0/24 находится за шлюзом .10.x.x.1

Добрый. @danilov В правилах fw на ВАН создайте правило для нужного IP + галку на Логирование поставьте. И после в Логах смотрите. Есть еще доп. пакет ntopng https://osbsd.com/ustanavlivaem-ntopng-dlya-monitoring-trafika-v-kompyuternoj-seti-na-pfsense.html

Оставлю этот пост здесь, на случай, если кто-то столкнется с подобной проблемой. @tty1 said in Не работает AirPrint между VLAN (Avahi): Правда только один из трех почему-то Всё дело оказалось в домене home.arpa, который по умолчанию pfSense присваивал принтерам через DHCP (а на том принтере, с которого печать работала домен .local был указан вручную). Решение: в настройках DHCP для VLAN с принтерами указал домен local, все принтеры сразу стали находиться.

@BirBar а на нем уже добавляются Virtual IPs и к ним отдельные Gateway возможно , что именно тут и кроется суть проблемы Надо смотреть , какие конфиги создаются системой в этом случае, и как отрабатывает ПО PF в этом случае ( может быть это ошибка разработчиков именно для Вашего случая, не знаю) Для анализа , возможно Вам потребуется 1 выгрузить XML файл конфигурации PF 2 посмотреть содержимое файлов папки /tmp/gbe0 (1-2-3__xxxxx 3 и уже смотреть , что делает код PF возможно , что в Вашем случае нужен другой путь создания необходимой конфигурации ( средствами FreeBsd ) Использовать Netgraph ( встроен в ядро) На мой взгляд , понадобятся модули 1 ng_ether 2 ng_bridge 3 ng_eiface Идея состоит в том , чтобы на начальном этапе загрузки PF , выполняется скрипт , который создает несколько виртуальных Ethernet интерфейсов, присваевает им случайные Mac-адреса , и потом присваиваются нужные ip адреса После загрузки у Вас появляются несколько интерфейсов раздельных с отд ip для каждого , видимых системе , у которого будет свой отдельный gateway Картинку , как это могло бы выглядеть в теории , скидываю [image: 1701422419019-97e6bb79-642b-4e5b-88f7-54e87ff509c5-image.png]

@Tim2000 Откройте тем, кому надо. Не мучайтесь.

Нашел время для решения этой проблемы. На путь истинный натолкнула ветка англоязычного форума https://forum.netgate.com/topic/183033/static-routes-ignored-in-2-7-0/17 Если коротко, то проблема в автоматических правилах NAT. По настройкам: В шлюзах прописываем оба шлюза (в моем примере это 100.0.0.1 и 100.0.0.10 ) В стат маршрутах прописываем статические маршруты (у меня сеть 100.0.1.0/24 доступна через шлюз 10.0.0.10) Шлюз по умолчанию назначаем основной шлюз. (у меня 100.0.0.1) Прописываем правила для LAN интерфейса (в моем примере разрешаю подсети 192.168.0.0/24 ходить через шлюз по умолчанию, а подсети 192.168.1.0/24 задаю выходной шлюз 100.0.0.10) В правилах исходящего NAT переводим из авто или гибрида в ручное. В настройках интерфейса WAN шлюз IPv4 - ничего. Пятый пункт раньше шестого делаю для того чтоб авто правила перенеслись в ручное автоматом. PS всем добра!

Всем спасибо - разобрался - некоторые записи Client Identifier были на русском языке)))

@tty1 1 ничего советовать тут не могу , и так и этак пробовал , отличий особых не нашел , как создавались дубли фазы-2 , так и создаются ( пришлось своим путем идти неформальным) . тут дело не в инициаторе соединения , а кто инициирует обновление ключей . 2 тоже не вижу проблем в том , кто первый пакет отправит (см настройки фазы-1 (responder only) Responder Only Enable this option to never initiate this connection from this side, only respond to incoming requests. 3 Поставьте уровень логгирования Silent и будет заказчику счастье

@pigbrother на версии PF 2.7.0 - не помогло.

@Hitch Здравствуйте Как я уже писал ранее , проблема в том , что PF работает чуть выше уровнем , чем Вам надо (см статью в этой ветке порядок прохождения пакетов ) Если все-таки надо фильтровать на уровне канальном с анализом Ethernet заголовка и именно на PF , то я бы решал эту проблему через Netgraph ( но в лоб ее не решить , нужно приложить некие усилия ) Суть в том , что эта подсистема позволяет перехватывать и анализировать трафик именно в том момент , когда он передается от драйвера адаптера к ядру системы и наоборот Таким образом , можно отсеивать пакеты с неразрешенными Mac- адресами и пропускать валидные пакеты Тут есть 2 пути 1 использовать комбинацию модулей ng_ether +ng_bpf (они уже встроены в ядро PF , и тут надо только написать грамотный скрипт и составить bpf- программу , используя tcpdump) пример такой программы printf "Configuring ${INTERFACE}_bpf..." ngctl msg ${INTERFACE}_bpf: setprogram { thisHook=\"${INTERFACE}_to_bpf_from_tee\" \ ifMatch=\"${INTERFACE}_from_bpf_to_one2many\" ifNotMatch=\"drop\" \ bpf_prog_len=19 bpf_prog=[ { code=40 jt=0 jf=0 k=12 } { code=21 jt=16 jf=0 k=34525 } \ { code=21 jt=0 jf=15 k=2048 } { code=48 jt=0 jf=0 k=23 } { code=21 jt=0 jf=13 k=17 } \ { code=40 jt=0 jf=0 k=20 } { code=69 jt=11 jf=0 k=8191 } { code=177 jt=0 jf=0 k=14 } \ { code=72 jt=0 jf=0 k=14 } { code=21 jt=0 jf=8 k=53 } { code=80 jt=0 jf=0 k=24 } \ { code=84 jt=0 jf=0 k=128 } { code=21 jt=0 jf=5 k=128 } { code=32 jt=0 jf=0 k=30 } \ { code=21 jt=2 jf=0 k=3232236006 } { code=84 jt=0 jf=0 k=4294967264 } \ { code=21 jt=0 jf=1 k=3232235808 } { code=6 jt=0 jf=0 k=65535 } { code=6 jt=0 jf=0 k=0 } ] } printf "OK! \n" 2 использовать комбинацию модулей ng_ether + ng_macfilter тут все несколько отличается от пути 1 и конфигурируется тоже легче , НО тк модуль ng_macfilter не интегрирован в ядро PF , то его придется отдельно собирать под конкретную версию Freebsd https://www.gsp.com/cgi-bin/man.cgi?section=4&topic=NG_MACFILTER https://github.com/freebsd/freebsd-src/blob/main/sys/netgraph/ng_macfilter.c посмотреть , с какими модулями собрано ядро можно командой kldstat -v | grep ng_

Добрый @GOOFY ПРОКИДЫВАТЬ сетевую в ВМ НЕ НАДО. Надо создать на ней БРИДЖ в гипере и после ОТДАТЬ этот бридж в ВМ.

@max5775 Через впн можно.

Добрый. @MIXAIL57 Что у Вас ПЕРЕД пф стоит ? Можно. Можно. Написал Вам в ТС.

@Vasilev да , посмотрел внимательно ,, речь идет только о порте источника в настройках NAT , никак не о порте назначения Тогда Ваш путь верен , пробрасывать с нужным портом на PF назначения

@rnduser вот сегодняшняя история. триггер хайлос и латенси. [image: 1698749747983-d0b142a3-fee9-4a74-8585-9640d4ab0fa2-%D0%B8%D0%B7%D0%BE%D0%B1%D1%80%D0%B0%D0%B6%D0%B5%D0%BD%D0%B8%D0%B5.png]

@bazyak Спасибо мил человек, я так же сделал, все получилось.