@Francisco:

atualmente temos um centos rodando squid, e já temos listas de sites  implementadas no squid, num arquivo txt, atraves de um scripts tem com apontar o pfsense para ler esses arquivos ou importa-los sem a necessidade de colocar endereço por endereço  no squidguard?

sim, de diversas formas

transfira os arquivos para o pfSense e cole suas acls em custom options

crie seus arquivos de acl via pacote filer ou shellcmd e cole suas acls em custom options. Desta forma os arquivos de acls permanecem no backup

Instale o e2guardian e distribua suas acls de acordo com sua necessidade

Como quase todos os ambientes que monto, coloco redundância, desligo as vms pars alterar hardware. Já tive resultados aleatórios com hotplug no VMware 5 ou 5.5, então prefiro desligar para aplicar.

@fischerti:

Bom dia Eduardo.

Minha experiência é a seguinte:
Você pode utilizar o IPv6 da Copel Telecom para criar redes VPN tranquilamente.
Algumas dicas são bem valiosas para que isto ocorra com maior facilidade.

1. Tenha um domínio .com.br ou .com que esteja apontado para os servidores NS da HE.NET.
2. Com sua conta no dns.he.net gerencie o DNS deste domínio, atentando para criar todos os registros necessários (MX,A,AAAA,CNAME), caso o servidor que hospeda páginas e e-mails esteja ativo.
3. Criei um registro AAAA no dns.he.net e marque a opção: Enable entry for dynamic dns;
4. Salve esta opção, e encontre a coluna DDNS do seu registro. Haverá duas flechas concêntricas. Crie uma senha para este registro de dns e salve ela em segurança.
5. No PF > Serviços > Dynamic DNS. Crie um novo atualizador e utilize: HE.net (v6) > Host name é o seu registro no DNS > MX em branco > Username é novamente o mesmo hostname criado no servidor de dns he.net > Senha: aquela salva em segurança > Descrição que lhe ajude ;)
6. Pronto o nome deve começar a ser atualizado, e se tudo estiver ajustado, você poderá encontrar o nome na web. Execute um ping de um ipv6 remoto depois de 5 min. Normalmente o TTL é 5 min da he.net
7. Crie seu OpenVPN Server, conforme outros posts a respeito, levando em consideração algumas coisas:
7.1. Crie como UPD6, temos que utilizar o protocolo UDP para VPN (veja a documentação do OpenVPN) na versão do IP 6.
7.2. O server mode vai depender da sua aplicação:
7.2.1. Server to Server
7.2.2. Remote Access
7.2.3. etc.
7.3. Eu utilizo 3 servidores em um mesmo pfsense, e criei conexões peer to peer, onde o cliente utiliza o registro de dns do servidor principal, e eles roteiam as redes automaticamente. Criei também um Remote Access (SSL/TLS + User Auth) para que usuários windows possam utilizar o aplicativo OpenVPN para se conectarem automaticamente ou por demanda com certificado digital do CAs criado no pfsense, utilizando usuários do PFSense. (não conectei com windows server para gestão de usuários). Estas informações vocês pode encontrar em qualquer tutorial de OpenVPN.

Espero ter colaborado contigo.

Atenção:
1.O ipv6 da Copel é alterado com uma frequência, e o firewall pfsense não reconhece o novo ipv6 automaticamente. Eu tive alguns problemas com isto (utilizo o PF em Hyper-V), e como cansei de tentar resolver este problema, optei por criar alguns comandos no cron, que fazem um reboot da máquina. Ao reiniciar em 1,5 min, a máquina já tem o novo ipv6. Acho essa opção a menos viável, se alguém tiver outra forma de realizar o trabalho, me ajuda aí também :)
2. Computadores Windows 7,10, etc. devem ter regras no firewall avançado que bloqueiem recebimento de pacotes de redes que não sejam a local na qual se encontram. Você precisa alterar isto.
3. Cuidado com a rede que você roteia dentro de cada serviço OpenVPN, e crie regras no firewall para pf para que a OpenVPN funcione! Inicialmente habilite todo o tráfego para testar, mas depois restrinja de acordo com sua necessidade!

Se alguém precisar de uma consultoria comercial nestes sentido, pode me procurar em www.fischer-ti.com.br
No mais, vamos trocando figurinhas aqui!

Muito Obrigado Fischerti, sua contribuição será muito valida para mim e muitos outros usuários Vlw :D

Boa tarde,

Resolvi o problema alterando a Local Network que estava incorreta. Porém comecei a ter problemas de roteamento, pois como funcionava:

Estação(192.168.0.10)->REDE LOCAL (192.168.0.0) -> IPSEC PFS (172.16.200.25/24) ->TUNNEL<- IPSEC CISCO ASA (172.25.54.0/29) <- Rede CLIENTE (192.168.63.0)<- ECliente (192.168.63.23)
ESTAÇÃO <–----------------------------------------------NAT PORTAS X,Y E Z PARA REDE LOCAL

Mas porque não usa no IPSEC direto a rede local? Pois o cliente já possui outra empresa que tem rota para a rede 192.168.0.0, então tive que criar uma interface e fazer NAT para rede local.

O cliente quando pingava para minha rede local, chegava certinho, pois ele tem uma rota assim: ip route 172.16.200.25/32 via 192.168.63.1.

Do meu lado deixei sem rota, pensando que o IPSEC iria criar automaticamente, sem sucesso. Criei a rota destino -> 172.25.54.0/29 gateway ->172.16.200.25. Parava sempre na imagem a seguir.

Enfim, para resolver, coloquei IP virtual direto no servidor na faixa 172.16.200.x e criei uma rota dizendo que todo pacote para rede 172.25.54.0/29 i gateway seria 172.16.200.25 e resolveu.

i90^cimgpsh_orig.png
i90^cimgpsh_orig.png_thumb

Buenas!

Existe um webinar gravado pelo Luiz Gustavo abordando o assunto. Também há uma aula no treinamento pfSense Intranet do Sys Squad em que a questão é amplamente difundida pelo marcelloc. Por fim, temos um pacote (não oficial) na ConexTI, entregue como serviço, que agrega esta funcionalidade a webGUI de configuração do pacote Squid.

Acho que vais encontrar o que precisa aí… ;-)

Abraços!
Jack

Marcelo muito obrigado pela ajuda, realmente o problema era o servidor e não o PFsense, agradeço pela ajuda sua e do danilo

Boa Tarde..
Alguns são outros não.

Por exemplo, os repositórios do linux é um que volta a funcionar quando reinicio o pfsense.

@Jordan:

Ainda não descobri a não ser reiniciando o sistema…

Já olhou o help do netstat ou já tentou usar ele via console?

https://www.freebsd.org/cgi/man.cgi?query=netstat

netstat -s [-46sz] [-f protocol_family | -p protocol] [-M core]
    [-N system]
    Display system-wide statistics for each network protocol.

-4     Show IPv4 only.  See GENERAL OPTIONS.

-6     Show IPv6 only.  See GENERAL OPTIONS.

-s     If -s is repeated, counters with a value of zero are sup-
    pressed.

-z     Reset statistic counters after displaying them.

Em alguns fóruns dizem ser possível, outros não.

https://forums.freenas.org/index.php?threads/how-to-clear-nic-stats.15468/
https://www.reddit.com/r/PFSENSE/comments/3ygrla/resetting_values_displayed_in_the_interface/

opa. kra.. estava com wpad dae mudei para transparente com splice all tbm. e vi que a memoria e o swap deu uma subida.. mas tive uma atualizacao no squid.. e ate agora baixou.. ta de boa.. achei que era somente comigo o BO kkk.. ou tinha feito alguma coisa errada.. a versao so squid aqui esta 0.4.37 estava com 0.4.36 igual do rapaz do forum em ingles lá .. vou ficar monitorando aqui.

@maykonmendel:

Olá amigo.

Então, eu pesquisei mais a fundo e vi que realmente o problema encontra-se nas configurações de dns. Estou terminando de instalar o servidor onde vai ficar o AD para prosseguir com as configurações do pfSense. Vou tentar e posto se dei certo.

Valeu.

No pfSense em Serviços>>Servidor de DHCP, coloque em DNS o IP do seu Servidor AD. Automaticamente o pfSense vai propagar os endereços de IP para estações já com o apontamento do DNS do Servidor AD.

Obs: Só não esquece de deixar FIXO o IP do Servidor AD.

Olha pessoal não sei se estou falando besteira, se estiver por favor me corrijam, mais desabilitei o box "Enable DNSSEC Support" e está funcionando normal agora. Amanhã vou ver durante o dia como vai ser nos outros computadores.

Tenho duas perguntas:
A rede vai ficar vulnerável?
Pode ser algum BUG ou erro de configuração?

Marcello,
Obrigado como sempre.
Vou tentar fazer o milagre de falar com o cliente dono do Ipsec.

Abraços

@heberprill:

Alguém pode me ajudar? Preciso de relatórios da velocidade do link, para poder reclamar com o fornecedor. :)

Percebeu se as dependencias foram instaladas?

New packages to be INSTALLED:
        py27-speedtest-cli: 0.3.4 [pfSense]
        py27-setuptools: 32.1.0_1 [pfSense]

depois de instalar, o comando para testar é speedtest-cli

Retrieving speedtest.net configuration... Retrieving speedtest.net server list... Testing from RNP (200.1x.y.z)... Selecting best server based on latency... Hosted by NWI Internet Telecom (Brasilia) [0.40 km]: 4.994 ms Testing download speed........................................ Download: 314.76 Mbit/s Testing upload speed.................................................. Upload: 175.29 Mbit/s

@mateusouza:

Boa Tarde pessoal, sou novo no forum e comecei a usar o pfsense a pouco tempo.
Utilizo pfsense com proxy autenticado local, e estou com um problema com o seguinte site https://www.dominioatendimento.com:82
se tento acessar na minha rede com pfsense, eu não consigo, ja se eu tirar aquela porta ali 82, o site acessa mas fica desconfigurado e de difícil utilização para os usuários.
E consigo acessa o site normalmente com aquela porta, em uma rede sem o pfsense, Enfim gostaria de saber se consigo liberar essa porta para o site especifico, ou se tem algum form de direcionar o acesso a esse site para outra porta.

Provavelmente vc está utilizando alguma Regra em firewall, que está redirecionando o trafego da sua rede para 3128???
Se SIM

Delete esse regra!!!
E cria uma bloqueando o acesso as portas 80 e 443.

Vai surtir o mesmo efeito, porém com mais eficiência.

Faça o teste e nos passa o feedback..

@hunterjn:

Bom dia,

Abaixo irei colocar uma rápida dica, que acho interessante. Testar o link de internet sem precisar de sites ou programas terceiros, através do próprio pfSense.

1ª Instalando o pacote:

Acesse o pfSense via SSH (pode ser utilizado putty), selecione a opção 8 "Shell" e digite o seguinte comando:

pkg install py27-speedtest-cli-0.3.4

2º Ao concluir a instalação, faça logout do shell

3º Acesse novamente o pfSense via ssh, selecione a opção 8 "Shell" e digite:

speedtest

Agora é só aguardar o teste.

Por hora é isso,
abraços.

Eu particularmente faço medição de forma diferente.

Quando preciso verificar a velocidade, eu faço o download de qualquer arquivo e vejo o valor da taixa de transferência.

Uso o Putty para efetuar o download usando o comando

# fetch http://www.linkdoarquivoparadownload

Marcelloc, bom dia!

A grande questão que cheguei aqui é que utilizando o DNS Dynamic, com sua função CUSTOM, para o ddns.com.br, o sistema gera duas abas de GW, uma para o monitor (Dashboard) outra para enviar a atualização (CURL), para o provedor ddns.com.br.

O detalhe é que mesmo assim a função do DNS Dynamic do PfSense, seta o GW DEFAULT do Kernel e não o Group Gateway que foi criado para o uso do DNS Dynamic.

Consegue fazer um teste por ai alguem?

Obs.: Fiz teste com o NoIP que já é suportado nativamente pelo DNS Dynamic do PfSense e tudo ocorreu normal.

Qual a outra maneira de efetuar o restart do serviço?