cambierebbe poco, non basta 1 ip pubblico per fare ha sync, te ne servono almeno 3 statici
https://docs.netgate.com/pfsense/en/latest/recipes/high-availability.html

sulle linee home non ci sono 3 ip pubblici, a questo punto lo utilizzo stile failover.

ok ma quello era una configurazione del tuo modem non dell'operatore, io ho sempre messo i modem in bridge e assegnato l'ip pubblico direttamente su pfsense
non puoi fare l'HA sync con indirizzi locali
devi configurare CARP e compgnia bella con indirizzi ip pubblici. non è supportato quello che stai facendo

a ecco questo me lo ero perso, quindi devo configurare pfsense in modo che prenda direttamente ip pubblico tramite modem tim?

esiste l'HA sync per l'ipotesi che ti cada fw1.
strano ho girato wind / fastweb / tiscali e nessuno mi ha mai bloccato le porte, solo wind aveva la porta 53 bloccata in ingresso ma me la sono fatta sbloccare con una telefonata. generalmente blocchi sulla porta 25 (per limitare lo spam) e 5060 (perchè usato dai modem per il voip) ci sono sulle connessioni "casalinghe" e non su ip statici, ma non vedo il motivo di bloccare 1194. anche se fosse basta impostare il server vpn su 1195

Io prima avevo fastweb e ora tim, in entrambi i casi se non mettevo il firewall in dmz la vpn non funzionava.

in ogni caso, sto facendo la configurazione in ha, chiaramente la parte dhcp, interfacce, dns resolver va configurata a mano.

tipo:
fw1
LAN 192.168.1.254
VLAN10 192.168.10.254
VLAN20 192.168.20.254
fw2
LAN 192.168.1.253
VLAN10 192.168.10.253
VLAN20 192.168.20.253

2. non può funzionare in ingressso nel caso di servizi in ascolto sulla stessa porta, o usi dmz o usi portforward, mentre in uscita andrebbero entrambi. Se ci pensi, se hai due servizi sulla stessa porta come fa il modem a capire a quale dei due ip inviare il pacchetto ? generalmente i modem danno la precedenza al portforward ignorando il dmz. potrebbe funzionare solo se hai servizi su porte diverse e facessi portforward solo di alcune porte.

Ma a questo punto, nell'ipotesi che mi cade il fw1 (dmz) e il traffico passa per il fw2 avrei dei problemi sopratutto per la vpn, di norma le porte 80-443-53 passano normalmente sui router dei provider, ma le custom tipo 1194 in ingresso sono bloccate.

in questo caso è un ip fastweb ma sopratutto non capisco che sono tutti questi blocchi e mi stanno riempendo il registro.

Aggiungo un altra cosa, io ho un modem tim e la dmz me la fa settare su singolo ip, ora dovrei implementare un secondo firewall e invece di fare la dmz ho pensato di fare un portforwardin di tutte le porte a quell'indirizzo:

fw1---dmz---192.168.1.101
fw2---portforward--192.168.1.102

le porte 1-2-13-23 hanno le vlan 1 untagged (prend il dhcp 192.168.1.0/24) e le vlan 10 e 20 tagged.

sulle porte 1-2 ci sono gli ap
sulla porta 13 c'è pfsense fisico
sulla 23 c'è pg con vlan 4095 dove c'è il pfsense virtuale e la macchina di domotica dove c'è anche il controller wifi.

sembra che questa sia la configurazione migliore
tutte le macchine di servizio, dns e i dispositivi domotici sulla 192.168.1.0/24
la lan interna (tv, pc, smartphone) sulla 192.168.10.0/24
e la guest sulla 192.168.20.0/24

attuale solo pfsense fisico

a tendere pfsense virtuale master e fisico slave

la porta 23 c'è pfsense e ho messo tutte le vlan
sulla 13 c'è esxi con tutte le vlan

quando torno a casa faccio un paio di screen così si vede meglio

il centralino freepbx è configurato con tiscali home.. funziona dopo aver modificato leggermente i sorgenti di asterisk e ricompilato. per il momento ho esperienza solo con tiscali e infostrada e lì funziona. sono abbastanza sicuro che funzioni anche per tim, google è pieno di guide, e probabilmente qualche trucco per farlo funzionare anche su fastweb c'era ... probabilmente

un piccolo OT: vedo che hai una macchina centralino voip, con gli abbonamenti home di tim è configurabile? ho provato con fastweb ma bloccano questo tipo di configurazione sulla parte consumer

pfSense-to-switch mi sembra abbastanza chiaro su cosa fa

vmx0 è la scheda di rete LAN con tutte le vlan associata a pfSense-to-switch

controlla anche lo switch

default di solito è sempre VLAN1

tutte le porte sono in Trunk
la 25 nel mio caso è quella che trasporta tutte le vlan

GE1/2/3/4/5 prende l'ip in automatico dal dhcp della LAN (vlan1)
la GE6/7 la fanno solo passare ancora taggata ma non viene usata la VLAN1 in automatico

nella VLAN 30
GE1 è escluso e non la vedrà mai
GE2/3/4 la fanno passare ancora Taggata
GE6/7 usano il dhcp della VLAN30 in automatico

etc etc etc

Sto mettendo su un piccola infrastruttura casalinga, il mio scopo è quello di segmentare la rete e inserire i dispositivi/servere su una vlan diversa da tutto il resto.

Ho un server con esxi, uno switch 1920s, 2 ap ubiquiti unifi, 2/3 telecamere e una 10ina di switch domotici;
su pfsense ho creato le 2 vlan sull'interfaccia lan, la porta dello switch dove è collegato il server ho dato l'accesso alla vlan 10 e 20.

ora sui portgroup esxi se do la vlan singola la machina funziona regolarmente e prende l'ip stabilito, ma se do come id 4095 (devono passare tutte le vlan) non mi da nessun ip.

grazie mille ora va