Tive o mesmo problema e consegui resolver usando o Internet Explorer.

@brunok:

Não.

A máquina vai aguentar tranquilamente.

A base não é lida em forma de texto, o próprio pacote gera um index .db, o que torna muito eficiente o processo.

Valeu !

O Mikrotik possui proxy também, você pode fazer tudo através deles.

Esse negócio de centralizar a navegação não é uma boa idéia, pode trazer lentidão para as pontas.

Procure como ativar a criar ACLS no proxy do MK.

@vsaad:

Ao meu ver, suas regras estão certinhas.

Seu squid ta em transparente?

Sim, está transparente.

Olá

Então não cheguei a testar não, porem como eu desabilitei o ssl aqui porque estava dando muito problema vou ver se consigo migrar para o e2guardiam para ver se o SSl dele é melhor que o squid.

Quando fizer os devidos tester retorno aqui, quem já tiver o e2guardian rodando faça o teste por favor.

Obrigado

Só por desencargo:

Quando estiver tentando acessar via web, vá no console shell (op 8) e digita

Tente acessar novamente.

O CentOS 5 está defasado. Eu tive alguns probleminhas com ele.

Tente deixar a configuração um pouco mais básica nas pontas (só nesse período de transição).

Depois que estiver tudo PF, aconselho fazer a VPN IPSEC. Tenho 6 locais integrados site-to-site com IPSEC e nunca precisei dar manutenção neste processo.

Resumindo, depois que eu aprendi a trabalhar com "strongswan" (VPN IPSEC), eu abandonei o OpenVPN.

@douglas:

Este comportamento é normal? É possível contorna-lo?

Sim, é normal. Ele está aplicando as acls.  Mas os 66% de uma cpu, o que dá menos de 25% do total configurado.

O bloqueio era feito via cliente ou interceptação de ssl?

@roxton85:

@brassup:

Boa Tarde
Agradeço qualquer ajuda antecipadamente

Senário: PFSense 2.3.4 64b / Squid / SquidGuard => Autenticacacao no Portal Captive c/ FreeRadius
IP Fixo nas Estacoes, com dns1 = PFSense, DHCP Desativado / Numero de estacoes trabalho = 50
Estava funcionando perfeitamente sem qualquer falha a pelo menos 30 dias

Hoje 50% dos usuários autenticaram sem qualquer erro
os outro 50% não recebe a tela de login do portal Captive
se ficar insistindo, abrindo os 3 navegadores hora conseguia.

Nos logs encontrei um ip de uma estacão com os alertas abaixo.

nginx: 2017/06/21 08:05:34 [error] 52623#100073: *34463 limiting connections by zone "addr", client: 192.168.0.78, server: , request: "GET /images/wetzel.jpg HTTP/1.1", host: "www.SITEXYZ.com.br", referrer: "http://www.SITEXYZ.com.br/"

nginx: 2017/06/21 08:05:34 [error] 52623#100073: *34462 limiting connections by zone "addr", client: 192.168.0.78, server: , request: "GET /images/weg.jpg HTTP/1.1", host: "www.SITEXYZ.com.br", referrer: "http://www.SITEXYZ.com.br/"

nginx: 2017/06/21 08:05:34 [error] 52623#100073: *34461 limiting connections by zone "addr", client: 192.168.0.78, server: , request: "GET /images/ventidelta.jpg HTTP/1.1", host: "www.SITEXYZ.com.br", referrer: "http://www.SITEXYZ.com.br/"

o aviso vai das 7hs as 8hs

pesquisei e encontrei = https://forum.pfsense.org/index.php?topic=108566.0
falando que pode ser uma estacão com falha, ou algum processo que não consegue abrir o portal.

Como contornar?
Preciso aumentar o numero de conexões? onde fica?

Obrigado

nao manjo muito de CP mas pode ser algum problema no servidor web NGINX
http://nginx.org/en/docs/http/ngx_http_limit_conn_module.html

Já tive este problema, resolvi setando o endereço do PFsense no dns dos ap´s

@brassup:

Em minha instalação tentei colocar vouchers para a rede visitante, e login criado no pfsense para a rede ADM, funcionou,
O Problema é que o login criado no pfsense funciona em qualquer rede criada no Portal Captive.
Cancelando os usuarios do pfsense e criando no Radius resolveu

Legal saber nao fiz esse cenario ainda. Mas uma pro KB. Valeu brassup!!

@empbilly:

Dá uma lida nesse link abaixo. :D
https://doc.pfsense.org/index.php/What_are_Virtual_IP_Addresses

Eu li ja e traduzi (meu ingles eh pessimo) por isso peco uma explicacao mais (conversa de bar) e informal.

[ RESOLVIDO ]
A empresa não dispõe da versão 2012r2, optei por instalar XenServer7, problema com as 5 vlans foi sanado.

Obrigado

@paulonevesjf:

Olá tomas, por acaso você tem alguma documentação que ajude a fazer o bypass mencionado?

Você já configurou o proxy? Pode tentar utilzar o squid com o e2guardian como gerenciador das listas.

https://forum.pfsense.org/index.php?topic=128127.0

Bom dia Pessoal!
Fiz a atualização de meu pfsense e na versão 2.3.2 eu tinha problemas com a Openvpn - Server (caia de tempo em tempo), já nessa nova versão não houve mais quedas, agora vou subir uma vm em ambiente de testes para verificar a questão do squid com "splice all".
Agradeço a cordialidade de todos.

[]´s

@gesilva:

Boa tarde, eu preciso liberar o acesso de um IP Externo para um equipamento na minha rede.

O quadro atual está da seguinte forma, existe em primeiro lugar uma regra que bloqueia o acesso de qualquer IP externo para o equipamento (Firewall->Rules)
Depois criei uma regra liberando o IP externo para este equipamento.
Deixando desta maneira, ninguém consegue acessar o equipamento, nem mesmo o IP liberado.

Desabilitando a regra que bloqueia qualquer acesso e mantendo apenas a regra do IP que eu quero que acesse o equipamento, qualquer IP externo tem permissão de acessar o equipamento,
eu fiz alguma configuração errada?

a regra de liberacao deve estar acima das de negacao, no caso a regra que libera o tal ip externo.

@detonaytor.si:

@andrezaomac:

@detonaytor.si:

Bom, to com uma duvida em relação a implantacao no seguinte cenario:

Aqui na microempresa utilizamos cerca de 5 a 6 notebooks, entre eles um que uso com windows server, pouco trafego, pouca informação e dados, supre legal a utilização para a finalidade, agora gostaria de implantar o firewall na rede interna, pequeno projeto, a duvida seria: Tem alguma forma de eu utilizar o pfsense para a rede interna da rede, sendo que o windows server ou o router é o responsavel por distribuir o DHCP, iria utilizar em uma maquina virtual, é obrigatorio ter duas interfaces de saida de rede no notebook? é possivel implantar neste cenario?

Sim é possível, tenho clientes que trabalham no mesmo cenário seu, onde investir em máquina dedicada não vale a pena, sendo que a demanda da rede é muito pequena.

Vc pode utilizar esse mesmo computador que possui Windows Server, instalar nele o virtualBox ou VMWare (gosto mais do virtualbox), mas fica na sua escolha.

Não precisa necessariamente de 2 interface de rede física.

Sim vc pode manter um servidor ou router distribuindo o DHCP, apenas desativa o servidor DHCP do pfSense, mas desde que todos estejam na mesma faixa de IP.

Entendi amigo, irei fazer isso: ja estava com ele no virtualbox, porem me deparei com essa questao de duas interfaces de rede, pois eu estava tentando deixar ele como dhcp mas nao obtive sucesso, dae para entrar na interface tive que colocar windows 7 em outra maquina virtual com a mesma interface do pfsense para acessar o GUI.

irei configurar a lan dele na mesma faixa ip dos demais (dhcp do router ou do windows server) desativarei o dhcp do PFSENSE e farei alguns testes para ver se da certo com todos os pcs da rede.

obrigado.

alguma dica inicial ou algo do tipo?

Olha por mais que seja possível nao é recomendado. Procure pesquisar por computadores Mini-Itx que nao ocupam espaco, coloca um HD de 500GB de 7200 rpm e 4 GB de ram e 3 Nics gigabit e uma boa fonte de preferencia seasonic (procure ver se o gabinete suporta essa conf).  Essa conf vai suportar um cenario de uma possivel expansao da rede e voce nao tera dor de cabeca. Acho que vai ficar por volta de 1k a 1,5k tudo e vai permitir crescer a rede aos poucos conforme a empresa cresce. Outra coisa deixe o pfsense ser o DHCP e tambem ser o router com a Wan, no modem deixe apenas como bridge, muitos problemas sao sanados so com essa conf.

@rafamaximo2014:

Me parece que esse Traffic Shaper é apenas para controle de banda!

Quero e dedicas alguns megas para minha VLAN qos mesmo!

Faz o que o marcelo explicou conf 2 limiters um de 5 e outro de 15. Vai fazer o que vc quer. Por exemplo na rede 1 configurado com 15MB o pessoal vai bater nos 15MB deixando os 5MB para a outra rede e para que o pessoal da rede 2 nao use toda a banda faca uma nova configuracao com 5MB.

**** So lembrando que se esse é o throughput real que vc quer por haver variacoes na rede e ate pela qualidade dos links ofertados no brasil eu recomendo mais 5 MB de banda por seguranca. Voce faz os calculos de quanto ira necessitar de velocidade e coloca uma margem de 5MB a mais no link ou contrate o melhor link que seu orcamento permitir mas claro que cada caso eh um caso.

@empbilly:

Ex. Sua faixa de IP é do 192.168.1.2 ate a 192.168.1.254. No DHCP do pfsense na opção "range" tu seta pro dhcp liberar IPs a partir do 192.168.1.45 por exemplo. Dessa forma os IPs que iniciam do 2 ate o 44 tu pode colocar como estático.

Muito obrigado

leia isso

https://community.openvpn.net/openvpn/wiki/BridgingAndRouting

basicamente, TUN = bridge, TAP = routing

com TAP você pode ter uma interface específica do openvpn e criar regras em cima dela