Решил тут пар выпустить?))

Это вопль, прошу прощения. Завтра продолжу. Надо отдохнуть

Отдыхай, может к утру озарение придет)

Если не взлетит - присылай настройки, подправим если что не так.

@renft а озвученная идея у Вас работает?

"PBR отрабатывает, но не работает nat, пакет уходит с ip адресом wan вместо адреса ovpn интерфейса"
Это не исправляется, именно поэтому в частности squid на 127.0.0.1 не балансирует исходящий трафик в MultiWAN. Такой дизайн, раньше разрабы pfSense пилили свою версию pf и в ней был хак для этих дел. Потом пререшли на сток FreeBSD, там этого нет и не будет скорее всего, т. к. всегда скажут:
Weak End System Model: 2.b A host MUST NOT restrict itself to sending (non-source-routed) IP datagrams only through the physical interface that corresponds to the IP source address of the datagrams.

Конкретно не rocketchat но смысл такой же. Да, работает. Для этого haproxy и существует.

Кто bgp поднимал? Что лучше выбрать frr или openbgpd?

Поднял frr, пока воюю с ним. Не могу понять как сделать next hop.

Вот как, спасибо, сэкономили мне кучу времени, я бы сейчас это долго искал. Тоесть freebsd не может так в принципе? Я думал, что просто floating правило отрабатывает первым и пакет идет в обход nat таблицы.

Не freebsd не может, а pf, который идет с ней, если быть точным. PBR ведь он делает

ок, спс, придется static маршруты настраивать

Почему выбрал frr?

Message from Evgeniy deleted. Reason: new user and external link (?)

Пока еще не выбрал окончательно т.к. не было возможности сравнить в бою. Но насколько мне известно frr более прожорливая в плане ресурсов но и более гибкая в настройках. Если нужен чистый bgp и железка не очень мощная то openbgpd будет лучше.

У телеги очень много ip и уж темболее у ютуба, правильней будет добавлять не ip адреса а сразу подсети. По поводу телеги это просто там не так уж и много подсетей а с ютубом сложно, так как это сервис гугла то вычленить один ютуб будет сложно, лучше сразу весь гугол запилить. Я так сделал и работает шикарно, сделал собственную базу подсетей ( в алиасе ) всех крупных сервисов и теперь маршрутизирую как хочу, и да те сети которые я нашел по поводу телеги я ради интереса попробовал заблокировать и на мое удивление мне удалось заблокировать всю телегу в моей сети. Если нужны список подсетей могу предоставить)

Иуда

Я обхожу по списку с сайта antizapret. У них инфа по адресам обновляется несколько раз в сутки, сейчас там порчдка 500000 адресов. Создаю алиас url table с адресом, который я тут не укажу ). Нужно увеличить значение firewall maximum table entries до 600000.

После того как заблокировал телегу,  через какое то время ещё раз проверял работоспособность? Могли и добавить адресов

Да, в течении часа проверял