https://forum.netgate.com/topic/177918/issues-with-cpu-frequency-after-upgrade-23-01/11
https://www.reddit.com/r/PFSENSE/comments/116mt3w/high_cpu_frequency_after_upgrade_2301/

@Konstanti p.s. спасибо за помощь :)

@werter

Все эти протоколы элементарно детектируются системами DPI
У меня внутри РФ все работало через мобильных операторов , за пределы РФ нет
проводной VPN работал без проблем

@legsedel

Скажу честно , мне лично больше всего нравится Ipsec ( и работает на уровне ядра ,и клиент встроен сразу во многие ОС )
Я поставил такое ПО на чистые сервера Linux и Freebsd ( настроил 1 раз и забыл на года , пока не истек срок действия сертификатов)

По поводу Вашей проблемы , настройте разрешающее правило доступа так , чтобы оно тоже попадало в журнал файрвола ( сразу станет видно , что и как пропускает файрвол )
Запустите tcpdump - тоже многое станет понятным
Мое личное мнение , что у Вас после отключения контроля флагов весь трафик шел нормально через Lan интерфейс , а вот что было с ним дальше неизвестно .... Может быть у Вас был настроен исходящий НАТ и меняется адрес источника и тд и тп .... Надо разбираться с этим ( но есть ли смысл ? ) Когда поднимите OpenVpn сервер , появится дополнительный интерфейс и будет все гораздо проще

@werter
На самом деле решение было в том что бы в правло узать сеть не ...1.0/24 или сам хост 1.3 , а указать сеть 100.3 так как адрес который рулит в сеть wan из которого я выхожу в инет 100.2
Снимок2.PNG

@Konstanti
Добрый день.
Я выставлял макс. дебаг в логах unbound - там ничего не появлялось. Т.е там были записи про ДНС-запросы, но только от самого ПФ (NTP и еще чего-то)
Спс, я уже вроде решил проблему. Хотя настройки пришлось делать не так, как в мануале на сайте.

@Begazi

1 используйте исходящий Nat на интерфейсе 192.168.78.4 для сети 10.73.158.0/24
или
2 создайте правило исходящего NATа для сети 10.73.158.0/24 на wan интерфейсе PF

@pigbrother сделал как в мануалах. Теперь да, при трассировке до удаленной сети уходит в корректный шлюз (10.0.10.1) но при этом все равно до конечной сети трафик не доходит. В фаерволе все разрешено.
Странно.

@pigbrother
Да, это скрин для ОпенВПН интерфейса.
Насчет

вместо указания TCP\UDP\ICMP в Кинетике можно использовать знвчение IP. Это как ANY в других системах.

Спасибо. Я так и думал что скорее всего как-то можно не городить такой огород. Теперь буду знать.

Насчет сабжа - тема закрыта. Как я сказал получилось сделать пробросом портов и девайс уже стоит на точке и работает. Экспериментировать с удаленным роутером ну что-то ваще не хоцца :)

Еще раз спасибо за помощь.

@rline По идее, нужно узлу В добавить маршрут в узел Б указав шлюзом А. Для узла Б добавить маршрут в узел В указав шлюзом А.

@rline said in Маршрутизация openvpn клиентов:

поднят openvpn сервер peer to peer (shared key).

От shared key пора отказываться, он пока поддерживается, но как долго - вопрос.
OpenVPN Shared Key Tunnels Deprecated – They still work, but will trigger warnings in the logs and GUI.
https://docs.netgate.com/pfsense/en/latest/releases/2-7-0.html
Да и "правильный" сервер "с сертификатами" намного удобнее в управлении маршрутами - все делается на сервере.

Добрый
@Ivan-6
Проксмокс - гипервизор. Как vmware esxi или ms hyper-v, только ОТКРЫТЫЙ и оч крутой :)

1 https://www.opennet.ru/opennews/art.shtml?num=59334
2 https://forum.netgate.com/topic/163435/proxmox-ceph-zfs-pfsense-%D0%B8-%D0%B2%D1%81%D0%B5-%D0%B2%D1%81%D0%B5-%D0%B2%D1%81%D0%B5-%D1%87%D0%B0%D1%81%D1%82%D1%8C-2/

@dsp3
Отписать в техподдержку, чтобы сменили вам тип подключения на ipoe.

@Reno-0 Всем спс - разрешения на файлы слетели))

Добрый
@ao_kalachev
В баг-репорт смотрели ? Может там чего есть на эту тему.

@legsedel
не может быть простых решений в сетях с несколькими шлюзами
По поводу пропускной способности .... сложно сказать , все проверяется только экспериментальным путем
а так , не за что ... обращайтесь

@werter это понятно что не проверить, просто хотел показать что ресурс доступен напрямую с pf, благодарю за отзывчивость)