@andrezaomac:

No Squid Proxy Server, existe algum tipo de bloqueio nas ACL?

No SquidGuard, vc efetuou algum bloqueio de download ??

N, tudo liberado.

Tbm n.

Na propria descrição do teu questionamento tem o erro.

wesleyaleixo says:

Coloquei os mesmos ip que tem no modem na WAN do pfSense e conectei no Modem, quando fiz isso a conexão caiu em todas as máquinas.

Com certeza irá cair. O que tu precisa fazer é deixar que a WAN receba IP via DHCP do roteador ou solicitar que o roteador seja configura em bridge, pois dessa forma tu pode configurar manualmente na interface WAN o IP que a Algar disponibiiza ou ainda configurar outro IP na WAN do teu pfsense.

Ex: Se na WAN do roteador tem o 192.168.1.1, na WAN do pfsense tu poe o 192.168.1.2. O que tu precisa tomar cuidado é para que o roteador não distribua o 192.168.1.2 para outro host.

Bacana!  ;D

Edita o titulo do teu post e poe na frente como [RESOLVIDO]…

@dougstein:

@Marco:

Acredito que você possa salvar as credenciais de login no computador, ai o usuário estará navegando de forma autenticada porem sem precisar informar usuário e senha.

Libera a porta 80 e 443 dos diretores e eles conseguirão navegar sem precisar marcar proxy, pois passarão por fora do squid.

Para os visitantes você me pegou, mas acredito que você possa fazer o mesmo procedimento da segunda resposta minha. Crie um alias com um range de IPS que o dhcp irá distribuir para os visitantes e libere no firewall para passar fora do proxy. O problema disso é que se um esperto colocar esse ip do range na maquina dele, ele conseguirá navegar livremente.

Se você tivesse mais uma plaquinha, teria um controle bem melhor.

Boa Noite Marco,

Eu estava pensando numa situação parecida.

A minha vantagem é que os usuários não conseguem alterar o IP dos computadores, ai seria mais fácil.

Eu estava pensando em fazer assim, após o seu comentário.

Amarrar todos os computadores pelo Mac Address, já definindo o IP para cada computador, incluindo os diretores.

Criaria um range de DHCP pequeno na rede (por volta de 20), somente para visitantes.

Os diretores, eu deixaria até com proxy, mas criaria uma exceção para o grupo Diretoria que tem no AD, pois as vezes os diretores logam com seus usuários em computadores dos funcionários …

Creio que assim facilitaria, o que acha?

Eu ainda estou aprendendo a trabalhar com o PFSense, eu tenho mais costume a trabalhar com o Endian, mas estou começando a instalar os novos firewall com PFSense e depois irei migrar os Endian para o PFSense.

Opa boa noite.

É uma boa, melhor ainda se não for desmarcar o proxy dos diretores pois ai não precisa habilitar a 80 e 443 para eles, apenas para os visitantes.

Sobre o que o amigo falou ai em cima é válido também. Se os seus visitantes for utilizar a placa lan pra wifi, além da falha de segurança voce pode ter problemas de desempenho. Imagina por exemplo a empresa toda autenticando, inclusive o active directory gerando trafego na LAN, e ainda mais alguns visitantes abusando. Sua placa de rede pode ficar sobrecarregada.

Se tu conseguir descolar uma plaquinha de rede extra ( não precisa ser top, até pq vai ser para os visitantes rsrsrsrs) o cenário vai ficar perfeito.

É noís.

Edita o primeiro post, coloca como [RESOLVIDO] no Subject  :)

ALAN.
Boa Tarde!

O DNS da operadora não é capaz de resolver os nomes das suas máquinas da rede Interna, somente irá resolver endereços publicos de Internet.
Na ausência de um DNS  na rede Interna, as máquinas acabam se achando por NETBIOS e não por DNS, O que pode falhar bastante de acordo com as configurações de cada máquinas, exemplo: FIrewall habilitado nas máquinas.

Abraço
Fabricio Guzzy.

Que tipo de alterações?

Boa tarde Felipe

Estou iniciando no pfsense mas já apanhei um bocado.

Cria um Alias com o nome LogMeIn e adiciona os seguintes ip's:
64.74.17.129
64.74.17.130
64.74.17.131
64.74.17.132
67.74.17.133
104.31.75.124
63.251.46.193
65.55.50.157
134.170.58.221
134.170.58.222
secure.logmein.com
logmein.com

Depois adiciona no bypass do Squid.

Essas redes achei monitorando via tcpdump a conexão com o logmein.

Um abração, boa sorte.

Não Não li. Irei fazer isso amanhã a noite e posto aqui depois o resultado, obrigado.

Esse pkg é o gerenciador de pacotes, pode estar tentando fazer atualização do repositório, etc..

vixi, eu que tô maluco mesmo, não prestei atenção na data rsrsrs

mas o pior é que eu não estava conseguindo acesso mesmo, aqui não acessava o nem o site  :-[

Amigo
É o seguinte as portas que você vai ter que liebrar no seu pfsense são as 37777 e a 554 para acesso via software ISIC 6 via celular, se vc tiver um IP dedicado você vai ter que criar uma regra de NAT para direcionar para seu IP interno.

Marcelloc , obrigado pelo retorno.
Sei que precisa do boot para efetivar o update , mas não no exato momento horário comercial, pensei em agendar o reboot. Não estou encontrando o script para agendar no cron.

Chipbr , há muito tempo procuro esta opção no PFsense "Custom Options (Before Auth)"
Como vc fez para ela aparecer ? Tem que instalar algum pacote alem do Squid e SquidGuard ?

@danniel:

opa seguinte deixa eu explicar melhor
eu quero pessoal acesse o webmail da empresa pelo outro link
por exemplo no Linux eu adiciona via ip route o ip do webmail para sair pelo 2º link
e agora com o pfsense quero fazer a mesma coisa
não sei se consegui ser claro na explicação

Só fazer o que eu coloquei nos tópicos acima, definir o gateway de saída na regra do firewall que da certo. Se você quer que só este site do webmail seja acessado por este link, você tem que criar uma regra onde o destino dela é o endereço do webmail.

Legal.
;)

Você não disse que está conectado PELA VPN (cliente).
Pela foto, parece que você está na mesma rede do servidor e o ping não funciona, logo, nada tem a ver com o Openvpn

Além disso, por padrão o pfsense não pinga mesmo, você tem que liberar o ping através do protocolo ICMP que citaram acima

tenho esta regra no meu, coloquei nas configurações manuais em

Squid proxy –> aba GENERAL --> advanced options --> custom options (before auth)

acl noproxy url_regex -i "/usr/local/etc/squid/bypass.txt"
http_access allow noproxy

o que isso vai fazer é deixar qualquer pessoa com acesso ao proxy, mesmo as não autenticadas, a acessarem os sites que estão cadastrados dentro do arquivo bypass.txt

@rlcdo:

Pessoal, não consigo liberar o Skype nem a pau no PFSense. Alguém pode me ajudar?

Li esse tópico https://forum.pfsense.org/index.php?topic=62836.msg666129#msg666129 porém não resolveu, até porque eu não utilizo proxy transparente. Eu preciso liberar no Squid e SquidGuard, onde no SquidGuard eu tenho uma categoria que libera especificamente o skype e o whatsapp. O do WhatsApp funciona perfeitamente. Já o do Skype, ele pede login, senha, mas quando vai entrar mesmo fica girando um tempo e não consegue entrar. Ao monitorar, vejo que ele barra uma pancada de IPs, e cada hora é um IP diferente. Liberar todos esses IPs é praticamente enxugar gelo.

Meu domain list de liberação na categoria no SquidGuard está assim:

whatsapp.com whatsapp.net skype.com microsoft.com digicert.com msocsp.com live.com windowsupdate.com crl.microsoft.com mscrl.microsoft.com mobile.pipe.aria.microsoft.com cdp1.public-trust.com

A versão do skype é a última: 7.40.0.103

Adicione essa lista na sua ACL withlist.

hotmail.com/ outlook.com/ apps.skypeassets.com/ login.live.com/ mail.live.com/ auth.gfx.ms/ crl.verisign.com/ crl.geotrust.com/ ctldl.windowsupdate.com/ config.skype.com/ a.config.skype.com/ pipe.skype.com/ mscrl.microsoft.com/ evsecure/ sb.symcb.com/ crl.microsoft.com/ microsoft.com/ api.trap.skype.net/ api.skype.com/ apps.skypeassets.com/ windowsupdate.com/ ocsp.comodoca3.com/ ssw.live.com/ gfx2.hotmail.com/ ssw.live.com/ live.com/ rad.msn.com/ mscrl.microsoft.com/ auth.gfx.ms/ skype.com.br/ skype.com/ dsn16.dsn.skype.net/ dsn0.d.skype.net/ pipe.skype.com/ prod.registrar.skype.com/ wer.microsoft.com/ watson.microsoft.com/ mscrl.microsoft.com/ auth.gfx.ms/ atwola.com/ globalsign.com/ bing.com/ doubleclick.net/ trust.com/ skypeassets.com/ skype.com/ microsofttranslator.com/ cdp1.public-trust.com/ ctldl.windowsupdate.com/