@marcelolop3s:

Como eu faria para colocar essas rotas dentro do meu Pfsense para quando meus usuarios logar na vpn eles consigam acessar essa rede ?

Nas configurações do túnel no próprio openvpn. Veja a descrição dos campos, lá mesmo tem a sintaxe de rotas adicionais.

@miguelibiapina:

Preciso fazer com que, os computadores da interface LAN, que é a rede local, ao acessarem o site "WWW.SOULMV.COM.BR", os mesmos seja redirecionados para a interface OPT1, na qual está ligada a fibra. E o resto dos sites para a interface WAN.

Eu consegui fazer isso com IP's nas regras de firewall. Lá eu disse que, qualquer IP da classe A 10.0.0.0, seja direcionado para a interface OPT1. E qualquer outro IP (Exceto os IP's da classe C 192.168.0.0 que é da rede local) Vá para a interface WAN.

Não ficou claro que você já conseguiu fazer a configuração ou não. De qualquer forma, a regra na LAN direcionando o trafego para o ip do site privado é um das soluções. Outro solução seria fazer o seu dns apontar para o ip interno da aplicação atrás do links OPT1.

Se estiver usando proxy, não esqueça de configurar no fw ou nas configurações do squid, um dns que conheça o ip do site interno.

Oque estava ocorrendo era o campo winbind max clients do arquivo smb.conf estava com valor "baixo" mesmo estando com 1000 conexões.

verifiquei isso pelo log log.winbindd

aumentei para 99999 e não tive mais esse problema.

Antes das regras que definem a saída para o Gateway x ou y, cire regras permitindo o tráfego interno sem alterações de Gateway. Se não puder publicar os sites internos com os ips internos para a comunicação lanx to lany, use o nat reflection ou acerte a publicação interna se estiver usando por exemplo o haproxy.

@empbilly:

@danilosv.03:

Tu já tentou fazer atualização dele via comando dentro do console?

Bah cara, tentei de tudo já!! kkkk

Consegui resolver. A solução esta no topico em inglês.
https://forum.pfsense.org/index.php?topic=130054.0

No seu dns interno, crie a entrada para os seus sites apontando direto para o web server.

Se fez a publicação via nat, mude a gui do pfSense de porta e no nat marque a opção de reflection.

@danilosv.03:

@marcelloc:

@m4kin:

Inclusive pcs que estão fora do squid sofrem com o mesmo problema

99% de certeza que a questão está na cadeia de certificado nacionais ou tipo de certificado 'antigo'.

Existe outro meio sem deixar o splice all selecionado? Para fazer a correção desses erro de CA?

marcelloc says:

Se for o caso, você pode tentar habilitar a opção na interceptação que não verifica o certificado no servidor remoto. Isso mascara o erro mas te deixa muito longe de um ambiente seguro porque o squid vai aceitar 'qualquer coisa', inclusive sites comprometidos, forjados, etc..

Habilita o ssh. Conecta como root, menu opção 8 e em seguida o tcpdump.

Via web também tem o packet capture.

Bom dia Pessoal, Obrigado pela ajuda, consegui resolver aqui, era isso mesmo, criei apenas o CAs, precisava criar o certificado também e mudar os dois campos no RADIUS.  ;D

vou testar

@Scrimfx:

Seria possível me explicar porque disso ?

Sobreposição de rede? Isso bagunça completamente o roteamento além de ter situações onde a estação x não vai mandar o trafego para o gateway porque segundo a máscara de rede, ambos estão no mesmo segmento.

@andrezaomac:

@ogoid:

@marcelloc:

@ogoid:

Alguém saberia me dizer o que pode ser o problema?

O captive portal captura conexões da porta 80 somente. Qualquer outro protocolo (ping, smtp, pop,imap,https) que tentar passar antes da autenticação, sera bloqueado.

Os dispositivos móveis já fazem essa verificação automaticamente e alertam o usuário que a rede precisa de credenciais.

Sugiro deixar uma página http como página inicial do navegador.

Obrigado Marcelo,
Como se trata de vários dispositivos moveis a minha intenção era forçar a navegação para algo em http assim que ele conecta na wifi para cair no captive e assim evitar dar esta instrução as pessoas. Mas acredito que não vai ser possível.

Mas obrigado pela informação.
Att,
Diogo

Nos aparelhos que usam iOS, quando vc clica no sinal wifi e tenta conectar automaticamente ele já é redirecionado para a tela de login do Captive Portal, acredito que os Android trabalha da mesma forma.

Olá,
Sim, ambos notificação, porém infelizmente nem sempre o usuário final observa isso e realizada. Então tenta navegar e fica neste problema. Mas sem problemas vamos mantendo assim.
Obrigado a todos!

Obrigado Pelo Retorno Marcelo
Creio que encontrei, opção é [Overall Bandwidth Throttling]


mais simples é, basta apontar o DNS

quanto ao custo, realmente eu não sabia, a Cisco comprou a OpenDNS e agora tem outro serviço, Cisco Umbrella que é a versão paga do opendns.

ele faz outras coisas também, mas é mais caro sim

edita teu primeiro post como resolvido.

@openti:

Boa noite a todos!

Tenho pfsense 2.3  configurado como proxy não transparente e adicionei ao meu proxy a blacklist Shallalist. Se por exemplo bloqueio a categoria "games", percebo que nem todos os sites na categoria games são bloqueados. Tem como corrigir?

Já aconteceu isso comigo tbm.

Eu até achei as listas dentro do pfSense, eu editei elas via terminal, mas não resolveu.

Eu resolvi fazendo minhas próprias lista negras, uso junto com as da Shallalist,
Vc pode criar uma com o nome GAMES dentro dela vc adiciona por Fragmentos de Palavras. EX>  jogos|gamevicio|videogame|playgames|

E por ai vai….funciona 100%

André,

Agora funcionou conforme você havia dito. Agradeço muito sua ajuda e paciência para comigo. Muito obrigado!

Vá por partes,
1 - tenha certeza que o squid esta devidamente configurado e rodando;
2 - adicione um site em blacklist do squid e teste o acesso, site simples exemplo pudim.com.br
3 - crie a blacklist e crie uma lista teste com um site simples qualquer.
4 -  configure as acl do squidguard a common com tudo allow e um grupo com uma restrição qualquer, teste o acesso

Recomendo os cursos da sysquad. São excelentes e bem mão na massa.
Mesmo já mexendo com pfsense a anos, eu já fiz o curso a uns anos atrás e aprendi bastante coisa, principalmente as que a gente não tem o hábito de mexer no dia-a-dia mas que são importantes saber

http://sys-squad.com/

acho que até está com promoção, recebi um email semana passada.

Com toda certeza. Ele só funciona com IP publico.