а зачем вообще второй пфсенсе для второго провайдера, можно узнать? И я согласен с высказывание что лучше будет ipsec.

Спросили тип овпн, а не тип туннеля

я про то, зачем поднимать второй пфсенс, когда появился у него второй канал (интернет)

Долгая история можете по чату пролистать

Есть внешние сервисы у которых разрешаются доступ только по белым спискам. У нас для них отдельный пфсенс. Короче таких куча

ну так и на одном можно это сделать, ну да ладно. может и вправду надо, Вам виднее

Там долгая история :)

Скорее: не надо, но очень хочется

Preliminary DNSBL Group Policy
https://www.reddit.com/r/pfBlockerNG/comments/kdg5wq/preliminary_dnsbl_group_policy/?utm_medium=android_app&utm_source=share

Хорошая новость для тех, кто не осилил сквид

Почему?

Ключи на клиенте придется менять... В так если перенесешь все на другой ПФ то только Ипак в настройках подключения...

У меня в карпе по два сенса на территорию в голове и в одном большом филиале ещё и по два провайдера в феиловер. ВПН клиенты сами цепляются на живые ноды... Маршрутизация пока скриптом... Надо в динамику все перенести, но пока негде поиграться... :(

А не легче было сразу опенвпн поднять как сервис отдельно и настроить слушать ему локалхост, а на него прокидывать все что захочется? А клиентам сразу врубить всех провайдеров?

Теперь лучше уж так делать, чтобы третий раз не переделывать сертификаты клиентам

@Doc

Не тому ответил

Как сказали выше, по любому придётся переносить ключи (в этом может помочь импорт экспорт конфигурации на pf) но у другого pf получается будет другой адрес, следовательно придётся менять адреса во всех конфигурациях клиентов либо натить с первого pf на второй 🤔
Это то что приходит в голову. А вообще вопрос интересный, когда решите, напишите сюда что по итогу сделали)

Чуть чуть почитал чат. Если задача выдать доступ к внешним сервисам, доступ к которым разрешён с белого списка адресов.
Ещё интересно что это за сервисы. Если какой нибудь РДП с белого адреса или что угодно где используется ip адрес, в таких случаях я делаю правило нат с перенаправлением на pf, чтобы юзер обращался к адресу pf (с которого разрешено подключение) по нестандартному порту и перенаправлялся на нужный ресурс, в таком случае доступ будет как бы с разрешенного адреса
Если этот внешний сервис это какой то сайт, тут уже сложнее ибо сделать зеркало сайта конечно можно, но ssl не даст сделать соединение защищщенным (разве что самоподписанный серт)

Ещё я так понимаю что сейчас проблема доступа с белого списка адресов решается через перенаправление трафика через VPN. Не проще ли банально проксю поднять?