@anemacuore:

Boa noite.

Tenho uma rede onde os ips são configurados manualmente, eu preciso que a lan e wan fiquem na mesma range

lan 192.168.1 2
gateway 192.168.1.1

wan 192.168.1.3
gateway 192.168.1.1

existe alguma forma de eu conseguir fazer isso através de alguma configuração no Pfense?

Obrigado

E qual seria a ideia de ter o mesmo Range nas duas interfaces?
Voce poderia usar a rede 192.168.1.0/24 para a Wan e a Rede 192.168.2.0/24 para a Lan por exemplo mas de qualquer forma o Gateway seria diferente.

@anemacuore:

que vergonha, tem mesmo, eu nunca tinha percebido.

;D

Tópico no fórum internacional

https://forum.pfsense.org/index.php?topic=126901.0;topicseen

@empbilly:

@jomimota:

@empbilly:

No pfsense, tu adicionou alguma rota estática em System > Routing > Static Routes?

Como poderia fazer isso se não sei qual o IP do túnel vai ser atribuído a cada um dos clientes?
E também não tenho num interface criado para o VPN.

Mas como tu quer que o pfsense conheça essas rotas se não tem anda configurado? Faça um diagrama desse cenário que fica mais fácil o entendimento.

Ok,

O Cenário como já disse atrás é o seguinte:

Servidor:

1 Pfsense OpenVPN Server c/ duas subnet (10.0.0.0 + 10.0.25.0) - tipo "Acesso Remoto (SSL/TLS + Autenticação de Usuário) Rede de Tuneis: 10.0.0.8/24 (configurada no servidor)

Clientes:

3 Clientes OpenWRT com a respectiva subnet (10.0.1.0 + 10.0.2.0 + 10.0.3.0) Usuário do Pfsense e certificado pk12 por cada cliente. Client Specific Overrides para cada cliente com:
a)Redes Locais: Redes do Servidor e dos Clientes
b)Redes Remotas: Rede especifica do Cliente

Até mais.

Marcelloc,

O vídeo pode ser exagerado em explicações, mas com certeza ajuda. E o complicado teu pode não ser o dele. :D

Mas se a melhor forma da configuração ser feita é o que tu explicou, muito melhor pro mrmreis.

Amigo poste suas configurações para analisarmos. No squid em SSL Man In the Middle Filtering - SSL/MITM Mode: você seleciona o Splice all. Assim não haverá necessidade de instalar as CA nos PC. Porém não fica tão seguro quanto a CA instalada. Acredito que o Marcelloc pode reforçar mais um pouco sobre isso.

@ricardoteixxeira:

@empbilly:

Só não sei se fica transparente o acesso, pois acho que é necessário a instalação do samba pra isso.

Verdade amigo, funcionará mas não será de forma transparente, solicitará usuário e senha no navegador! De toda forma muito obrigado! Ajudou bastante…

Bacana! Se o topico foi resolvido, edite o titulo do teu primeiro post e coloco como [RESOLVIDO]. :D

Para corrigir o problema, é necessário alterar o arquivo:
/usr/local/pkg/squidguard_configurator.inc

Crie uma copia do mesmo e edite

cp /usr/local/pkg/squidguard_configurator.inc /usr/local/pkg/squidguard_configurator.inc.orig

Edite o arquivo

nano /usr/local/pkg/squidguard_configurator.inc

procure pelas linhas:

–---------------------------------------------------------------------------- squid config options ------------------------------------------------------------------------------

define('REDIRECTOR_OPTIONS_REM',  '# squidGuard options');
define('REDIRECT_CHILDREN_OPT',    'url_rewrite_children');
define('REDIRECTOR_PROGRAM_OPT',  'url_rewrite_program');
define('REDIRECT_BYPASS_OPT',      'url_rewrite_bypass');
define('REDIRECTOR_PROCESS_COUNT', '16 startup=8 idle=4 concurrency=0');

Altere o valor 16 para o valor desejado

Dá uma olhada.

https://forum.pfsense.org/index.php?topic=38257.0
https://forum.pfsense.org/index.php?topic=44689.0
https://forum.pfsense.org/index.php?topic=107308.0

Bacana! Edita o titulo do teu primeiro post e coloca como [RESOLVIDO].

Quanto melhor o hardware, mais capacidade de vazão, filtro de conteúdo (IPS, interceptação de SSL, etc) e condições de 'aguentar' um DDoS você vai ter.

zabbix talvez?

@guilmars:

Alguém poderia me dar uma orientação sobre o que posso fazer??

O ip da WAN do pfSense pode estar caindo em algum bloqueio nesse site e quanto você testa por outro ip externo(pelo menos foi isso que entendi do que descreveu), você tem a falsa impressão que é o pfSense que não está abrindo a página.

@lsavi:

Tenho uma regra em meu pfsense que bloqueia o youtube pelo endereço da url a exemplo: www.youtube.com / youtube.com.br

Se é pela URL, você não deveria estar com esse problema.

Já olhou via firebug ou F12 quais são as urls que não estão abrindo?

Uso sempre em meus servidores Captive Portal essa conf:

Captive Portal + Squid + SquidGuard.

Deixo o Squid com proxy transparente>> crio os usuários no Squid e fim.

E no lightsquid, configuro para mostrar por Usuários.

Bom dia.

obrigado pela resposta. Eu realmente nem tinha percebido esta opção la no PF….

Como você apontou, no meu caso vai resolver mais ou menos uma vez que a pessoa pode ficar alternando os dispositivos.

No caso dos visitantes até que isso não vai ser problema. A pessoa pode levar 30 celulares q só vai usar um por vez. E os visitantes raramente ficam mais de uma semana.

O grande problema são os funcionários mesmo que não colaboram. Para estes devo fazer reservas no DHCP para os celulares corporativos e permitir somente os IPs cadastrados la no CP.

No seu caso como você usa autenticação por AD acredito que você terá que fazer uma mudança radical pra conseguir o que quer. As opções que vejo são:
a) criar outro user no AD somente para autenticação do celular (um user para cada funcionário que você vai liberar celular na rede)
b) fazer como eu fiz: criar uma rede wifi somente para celulares (e que pode ser usada pelos visitantes). Para tal, colocar mais uma placa no seu PF e nesta placa conectar um radio WIFI e se necessário cascatear deste primeiro WIFI para outros (a fim de abranger o sinal para mais locais). A vantagem é que além de ficar mais organizado vai melhorar a segurança pois será uma rede separada da sua rede atual (onde provavelmente você tem servidores, ativos de rede, etc) e se tiver duas WANs pode fazer com que esta lan de visitantes saia somente pelo link secundário deixando seu link principal livre.

Bom dia.

obrigado pela resposta. Eu realmente nem tinha percebido esta opção la no PF….

Uma forma para impedir os usuários de acessar com seus dispositivos particulares é fazer reservas no DHCP para os celulares corporativos e permitir somente os IPs cadastrado lá no CP.

Dá uma pesquisada no OpenAM da forgerock. Se não me engano tem alguns plugins OAuth que podem ser integrados ao pfsense. Só dar uma pesquisada no google tu acha. :D

Entendi. O que sugeri foi adicionar mais fases2 para incluir as outras redes.

@jarod:

certo vou testar aqui, tenho que ler muito sobre PF Sense , tem muitas coisas que quero fazer.

Só precisa abrir um pouco a mente para entender onde cada coisa fica. Se não tive regras com L7, a migração vai ser rápida.