@GustavoPru:

um dos meus clientes deseja bloquear completamente a rede dele e liberar somente o necessário

Vc pode criar uma regra de deny all diretamente no firewall, vá em aliases e cria um com os site permitidos. Mas confesso que é estranha essa ideia… hehehehe

Se quiser seguir a ideia do Tomas, tem esse link aqui:
https://eliasmoraispereira.wordpress.com/2017/06/21/pfsense-proxy-transparente-mitm-no-modo-splice-all-com-squid-e2guardian/

agradeço pela dica, usei a forma que o Tomas sugeriu, no link que você me passou funcionou direitinho mas, não sei porque, quando vou liberar somente o necessário sites em HTTPS não liberam no squid coloco os sites dentro da whitelist e não libera enquanto no E2GUARDIAN por não ter experiencia não sei onde apontar os sites a serem liberados.

Pessoal,

Add CARP Shared Virtual IP Addresses
On the primary cluster node, add a virtual IP addresses of the CARP type in Firewall > Virtual IPs. The virtual IP addresses must fall within the same subnet of an IP address defined on a real interface (WAN, LAN, OPT1, etc.). A unique VHID must be used for each shared virtual IP address on a given interface. The lowest skew states that the node should be the CARP master for that VIP. The XMLRPC process will automatically add +100 to each skew when synchronizing the VIPs to the secondary node. We recommend setting the skew to 0 or 1 on the primary node CARP virtual IPs. pfSense will handle the rest.

A caixa primaria possuía Skew 100 logo a secundaria possuía Skew 200 com o acréscimo de +100, quando sincronizei a secundaria (que se tornou primaria) com a antiga primaria ela acrescentou +100 indo para o máximo de 254, quando configurei o HÁ na antiga primaria ela acrescentou +100 na outra caixa, resumindo as duas estavam com Skew de 254 e ficavam disputando a posse do IP.

Pessoal boa tarde
Resolvi o problema, era o endereço que estava errado. Me desculpem.

Muito Obrigado.
Funcionou!

A principio tu tem 2 gateways, correto?

Crie uma regra e coloque ela por primeiro na lista.

Action: pass
Interface: Lan
Protocol: tcp
Source: single host or alias > 192.168.0.106
Destination: any

Advanced Options
Gateway: velox (ou o gw referente a operadora que tu deseja)

Cara, deu certo.
Eu ja tinha tentado, eu estava invertendo as coisas.
Valeu !

Pessoal resolvido.

Tinha que colocar uma nova regra acima das regras de Load Balance e FailOver, da seguinte forma.

Toda origem da LAN1 sai pelo default gateway quando for para LAN2. Isso fez com que o pfsense entendesse que a minha LAN1 saísse pelo gw correto e enxergasse a rede da LAN2.

Att
;) :) :) :)

Se foi você que é responsável pelo o tópico, você pode trancar o mesmo. Basta editar o post e trancar.

Obrigado Tomas!

vou testar!

corujito, tem como? pelo o que eu estava lendo não teria como fazer o checkin como um hotspot, apenas a autenticação, voucher ou sem autenticação, conte-mais de como está configurando^^

André, tudo bem.

Correria aqui, e peguei uns dias de folga.

Agora voltando a lida :)

Só repassando.

Formatei a maquina e subi pfsense zerado.

Só ativei Captive portal, e fiz uma configuração basica de visitante, e criei um usuario de teste.

Quando eu conecto via WIFI … funcionou certinho, pede login e senha, eu coloco usuario de teste, e navega ... LOGA certinho no PFSense.

Só que agora mudou o problema, nesse meu micro que é via CABO, obrigatoriamente eu preciso autenticar no Captive portal, se não ... eu nao navego.

Mais alguma sugestão, por favor.

EDITADO,
Amigo, vendo uns videos aqui, acho q não estou sabendo direito para que serve o Captive, porque vi um video mostrando como integrar ao AD - que achei bem TOP.

Em resumo, me corrija se estiver falando besteira,,

Eu só vou conseguir SEPARAR rede LAN, da WIFI se eu usar a terceira interface ... para ai sim .. deixar a LAN como esta e ativar o captive portal na terceira interface, é isso ???

Ativando captive na LAN, 100% da rede vai ser obrigada a passar pela autenticação do captive ... ou, nesse caso ... usando a LAN, eu consigo separar ... para que apenas quem estiver na WIFI passe.

Opa! Que bom!

Ah! Edite o seu primeiro tópico e coloque o [Resolvido] nele.

Flw!

Boa,

Edita o primeiro topico, coloca como RESOLVIDO.

Posta print das configs do squid

Olá colega, você conseguiu solucionar definitivamente o problema? 
Era mesmo o serviço do Akamai ?
Estou com mesmo problema, porém IPs microsoft nos Estados Unidos, com certeza então deverá ser updates do Windows - mas o engraço que eu também pelo States não consegui identificar da LAN, mostra apenas fritando na WAN 1 ,

Até mais colega ..

Att..

Obrigado  Tomas Waldow, vamos ver se vai ter um Widget para monitorar esse raid

Como Danilo falou, falta ajuste de várias coisas.

Sobre HTTPS, ses não habilitar o proxy transparente ou marcar o proxy no navegador não vai conseguir.

Pessoal resolveu sozinho aqui deve ser algum bug que deu, mesmo assim Obrigado.

Wizarded,

Verifica  se o MAC da WAN é o mesmo setado na interface onde inseriu o ip estático. Está selecionado:  System > Advanced > Networking > Network Interfaces:  Hardware TCP Segmentation Offloading

Me add no whatsapp, posso tentar ajudar:  021 9 6403-5250