Сеть EVPN — это сеть VXLAN. Если вы не хотите запускать VXLAN напрямую на OpnSense (на уровне L2-сети) как шлюз для вашей виртуальной машины (в той же L2-подсети), а хотите делать L3, используйте anycast-шлюз в качестве шлюза для ваших виртуальных машин и определите exit-node в зоне (один из ваших узлов Proxmox), который будет выступать в роли маршрутизатора между сетью VXLAN и реальной сетью. Затем перенаправляйте трафик на ваш маршрутизатор OpnSense. После этого используйте BGP между этим exit-node и OpnSense для анонсирования подсети EVPN (или, альтернативно, используйте статические маршруты на OpnSense). Если бы FreeBSD поддерживал EVPN, можно было бы использовать OpnSense напрямую как exit-node, но это ограничение OpnSense. (Например, маршрутизатор VyOS поддерживает это).

На работе мы используем EVPN с arista-router в качестве EVPN exit-node (в трёх дата-центрах). Каждая виртуальная машина использует proxmox anycast gateway. Таким образом, я могу мигрировать виртуальную машину из любого дата-центра, и трафик всегда идёт через локальный маршрутизатор/anycast-шлюз.

Если же хотим использовать opense/pfsense, то там нет поддержки EVPN. Единственный вариант — это L2 VXLAN на pfSense или L3 BGP на pfSense + proxmox в роли exit-node.

Привет, @spirit! Мне довольно интересно твое решение с использованием Arista-router в роли выходного узла, потому что я применяю роутер vyos для похожих целей. Моя идея — сделать изолированный VRF для каждого арендатора (с соответствующей EVPN-зоной в proxmox), чтобы потом запускать BGP-инстанс, который сможет использовать сам арендатор. Для доступа в интернет vyos настроен как псевдо-интерфейс с VLAN внутри VRF арендатора, который подключен к pfsense. Но не уверен, поддерживает ли vyos такую схему (или есть ли бесплатный роутер, который может работать с evpn+vrf+bgp), потому что сейчас (могу поделиться конфигурацией) я получаю маршруты IP ВМ с proxmox-серверов, но когда пытаюсь обращаться к этим же ВМ, используя роутер как источник, соединение не получается.