Monitorano serviço com telnet na porta do próprio serviço uma vez que a rota para sua rede chega.

O tcpdump na wan via console vai te mostrar se os pacotes estão chegando ou não

http://www.cisco.com/c/pt_br/support/docs/wireless-mobility/wireless-lan-wlan/97066-dhcp-option-43-00.html

http://www.cisco.com/c/en/us/support/docs/wireless-mobility/wireless-lan-wlan/97066-dhcp-option-43-00.pdf

Na parte Servidor DHCP ISC de Linux. Depois de ver as opções que precisa colocar, veja onde elas se encaixam na interface gráfica.

Segue

p1.png
p1.png_thumb
p2.png
p2.png_thumb
p3.png
p3.png_thumb

Voce pode usar um serviço de DDNS da https://www.dnsexit.com/ com seu proprio dominio.

@marcelloc:

@murilocamargo:

Gostaria de saber se esse comportamento é normal? P

sim, é normal. Se não me engano o squid tem opção para remover as configurações ao desinstalar.

@murilocamargo:

Poderia remover as referências desses pacotes manualmente e restaurar o backup com esse arquivo xml editado?

Sim.

Valeu, vou fazer o teste.

@marcelfreitas:

Quando eu falo, tiro é no sentido de passar por outra rede e não nessa rede que o proxy está instalado.

só faz sentido se o proxy for transparente.

Olá!

Pelas minhas pesquisas sao esses CIRs. Faz un alias e depois uma regra para aplica-lás e testa pra ver. Se ainda nao funcionar rode o TCP Dump para ver os Ips distino e vai adicionando.

AS395291 2620:121:5002::/48 2620:121:5001::/48 2620:121:5000::/48 104.193.187.0/24 104.193.186.0/24 104.193.184.0/24 104.193.184.0/23

Pra mim são a mesma coisa. O que sei que tem diferente é lan net e lan address.

Veja a lista de usuário ativos dos dois e compare.

@dengel:

2. Que tipo de Balanceamento que devo escolher (exemplo: none, Round robin, Static Round Robin, Least Connections, Source,  Uri (HTTP backends only)

O ideal seria pelos cookies que citou. pesquise mais pelo Static Round Robin. O source vai balancear de acordo com o ip do cliente.

@joancefet:

eu atualizei para a versão 2.4 e o sistema reconheceu as placas de rede normalmente. Eu não poderia usar essa versão no meu ambiente?

Isso depende muito da criticidade e tamanho da sua rede e o tipo de negócio da sua empresa. Uma vesão beta do pfSense é infinitamente melhor que um modem ADSL chinês fazendo papel de firewall.

Se todas as funções que precisa (driver, regras de fw, alias, pacotes, etc, etc, etc) estão funcionando, você pode considerar o status como RC e não atualizar até sair a release.

É logico que em caso de falha de segurança grave ou a identificação de bugs que passaram desapercebidos, você volta a testar uma versão nova.

Pra você ter uma ideia, tenho testado proxy na 2.4 e estou achando a performance nitidamente melhor que na 2.3.

Avalie os riscos e os benefícios antes de tomar sua decisão  :).

Sei que não é a solução para o que estava funcionando mas já tentou configurar o haproxy no lugar do squid reverso?

Problema resolvido…

Conferi os logs do OpenVPN e apresentava os seguintes erros:

187.113.211.72:58035 TLS Error: TLS handshake failed
Jun 1 14:12:03 openvpn 23410 <ip-cliente>:58035 TLS Error: TLS object -> incoming plaintext read error
Jun 1 14:12:03 openvpn 23410 <ip-cliente>:58035 TLS_ERROR: BIO read tls_read_plaintext error
Jun 1 14:12:03 openvpn 23410 <ip-cliente>:58035 OpenSSL: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
Jun 1 14:12:03 openvpn 23410 <ip-cliente>:58035 VERIFY SCRIPT ERROR: depth=0, C=BR, ST=<estado>, L=<cidade>, O=<organização>, emailAddress=<email>, CN= <nome-comum>Jun 1 14:12:03 openvpn 23410 <ip-cliente>:58035 WARNING: Failed running command (--tls-verify script): external program exited with error status: 1

O que fiz então, foi desabilitar a checagem profunda do certificado.

Em VPN / OpenVPN / Servidores / Editar:
No campo "Certificate Depth" colocar "Do Not Check"

Bastou esse procedimento e funcionou a conexão VPN.

Outro detalhe importante é que continuou a não pingar, devido a restrição do modem (Pace v5471, fornecido pela GVT). Apesar de não parecer interferir nos serviços liberados no pfsense, busquei informações de como permitir o ping remoto para que eu pudesse monitorar a conectividade da internet.

Liberação de ping da porta WAN do modem Pace v5471:

Conectar ao modem, via SSH
Usuário: admin
Senha: gvt12345

Comandos:

cli

set WANConnectionDevice_1_Firewall_AllowRemotePing 1
fcommit
exit
reboot

Obrigado ao pessoal do fórum pela ajuda!

Abraço,</ip-cliente></nome-comum></email></organização></cidade></estado></ip-cliente></ip-cliente></ip-cliente></ip-cliente>

facílimo de fazer: crie uma regra na LAN onde, para determinados IP SOURCE, ele utiliza outro gateway (que você muda nas opções avançadas)

OBRIGADO MARCELLLOC

@marcelloc:

Se o Daemon está morrendo então tem problema. Tente rodar o squid em foreground para ver tudo o que ele loga na tela.

Continuando a saga… antes de colocar o squid pra rodar na operação, eu tinha configurado 2 NATs de saída usando um pool de endereços IPs (IPs virtual). Hoje observei que um dos NATs não estava funcionando, o outro funcionava corretamente.

Quando desativei o proxy de minha máquina, o NAT que estava dando erro voltou a funcionar corretamente (apenas para a minha máquina), se eu habilitasse o proxy na máquina, não fazia o NAT. Ou seja, com o proxy ativado na máquina o NAT não funcionava.

Desculpe a minha ignorância, mas era pra ser assim mesmo?  :o

Montei um ambiente virtual com 2 máquinas (cliente e servidor ad) e 1 pfsense. Configurei o pfsense do zero, na verdade não fiz muitas configurações além das básicas. Configurei apenas os VIPs, NAT de saída usando um pool de endereços. Navegação OK, NATs de saída usando o pool, também OK

Instalei e configurei o squid e squidguard. Primeira coisa que fiz foi verificar os LOGs do cache, e de cara visualizei a informação do No forward-proxy ports configured

Além disso, observei que ocorreu a mesma situação anterior, o NAT não funcionava quando o proxy é habilitado na máquina.

Certamente a informação do no forward já devia estar ocorrendo desde o inicio da implantação do proxy, porém, eu que nunca observei. Resta saber o que posso estar fazendo de errado.

Só confirmando, rodar o SQUID em foreground é com o comando Squid -NsXY ?

Marcelo, desde já eu agradeço a força! vlw

Boa Tarde.
Consegui fazer, indo em Common ACL e negando tudo…
Feito isso, somente os ips que estão nos seus respectivos grupos estão conseguindo navegar.

Valeu galera, acredito que essa é a melhor saída.