Этот вопрос уже был размещен на форуме, посвященном конкретному продукту, и представлен здесь для охвата более широкой аудитории.
Мы оцениваем pfSense как дешевый балансировщик нагрузки с несколькими WAN и формирователь трафика. У нас есть отдельный брандмауэр за pfSense, и мы не планируем заменять его и интегрировать его функции в сам pfSense. Я читал это «соединения маршрутизируются по каждой глобальной сети циклически». . Это может вызвать проблемы, например, с подключениями https, и мы также экспериментируем с устаревшими удаленными серверами ftp.
Документация, которую я нашел, предлагает принудительно использовать определенный трафик в глобальной сети или включить липкие соединения. Первый подход - это неприемлемый компромисс с балансировкой нагрузки. Второй вариант неприменим к нашей системе, потому что реальный LAN, как намекалось ранее, находится за другим брандмауэром, поэтому все запросы приходят с одного и того же клиентского IP, а pfSense будет использовать только один WAN.
Возможно, нам понадобится то, о чем уже просили Вот и не получил ответа.
Можно ли использовать липкие соединения на основе адреса назначения вместо адреса источника? Какие альтернативные способы можно попробовать решить проблемы с подключениями, связанные с циклической маршрутизацией?
Невозможно, если вы уже выполняете NAT все один раз. Двойной NAT нежелателен, несмотря на это, он должен иметь возможность маршрутизировать через другой брандмауэр вместо NAT (или полностью избавиться от другого).