boa noite,

eu tenho na matriz (AD server2008, Pfsense com VPN)
na Filial eu tenho um (Pfsense com vpn)

Se eu adicionar na matriz no dominio um micro ele autentica normalmente tanto na matriz quanto na filial, qualquer usuario, porem na filial
eu não consigo adicionar no dominio o micro.
não esta resolvendo o netbio, ping no ip 192.168.0.7 do ad porem não pingo no dominio.com

@denicio:

Boa noite.
Analisando seu cenário, é possível criar VOUCHERS com duração de 1 ano ou mais ai poderia ate fazer um rotatividade do código que seria bom, e um ano é um bom tempo de duração.
Com relação a travar com certa quantidade de conexões simultâneas, tem que se observar alguns detalhes:

Use a faixa de IPs da rede Hotspot /16 assim o SV DHCP terá mais IPs livres para liberar já que os APs estão em Bridge; Os APs tem limites de acesso simultâneos principalmente esses APs domésticos que suportam entorno de 16 a 30 conexões (isso se não travar); Verificar como está o uso do processador, memoria, MBUF Usage e State table size do servidor; Caso continue a TRAVAR com essa configuração de apenas de usuário desative a autenticação e monitore se vai continuar a travar;

Espero que ajude. ;D

Boa tarde.

Quanto aos vouchers, nessa situação não seria possível, o cliente deseja que mantenha a senha padrão deles.
Quanto aos AP's, estarei verificando na próxima oportunidade de ir a cidade do cliente e verificar suas configurações.
Estamos implementando em um cenário semelhante, mas com a utilização de ap's coorporativos (unifi's da ubnt).
O firewall está bem. E sem o captive não temos problemas. Inclusive, quando trava, acessamos remotamente, desativamos e ativamos novamente o captive portal, assim todos conseguem conexão. (Sempre trava por volta de 50 a 55 conexões simultaneas).

Grato pela resposta, em breve volto com resultado do ambiente de testes. Abrss

Olá, a opção "Bypass Proxy for These Source IPs" esta dento de  "Transparent Proxy Settings"

Não faço uso do Proxy Transparente….

Ponto de situação, defini o tal gateway que estava offline, como default, e consegui fazer o pfsense aceder à net, até consegui actualizá-lo para uma versão mais recente e ainda ver os addons disponíveis nos repositórios, mas mesmo assim ainda não consigo pingar das minhas redes privadas, mesmo tendo as interfaces definidas para isso.

Aqui segue a que estou a usar para configurar tudo:

http://prntscr.com/eh57go
http://prntscr.com/eh57o5

Já alterei o gateway para as duas WANs que lá estão (WAN_GW e WAN_KANGURU que eu criei) nada. No status das gateways esta da kanguru continua offline. =/

Firewall no momento está bloqueado!

Compre um desse e seja feliz.

http://www.intelbras.com.br/empresarial/wi-fi/para-sua-empresa/roteadores-check-in-facebook/hotspot-300

Amigo existe duas formas de bloquear ou por firewall ou por proxy, detalhe seu ambiente para que possa ser melhor entendido.

Então, antes eu tinha criado a regra como TCP/UDP mas como não funcionava tinha alterado só pra UDP. Coloquei de novo como TCP/UDP mas não consigo nem autenticar os ramais.

@AntonioJunior:

Quais equipamentos wi-fi vc utiliza?

Tenho uma máquina onde está instalado
O pfSense.
Um Switch não gerenciado.
E 3 Unifi da Ubiquiti espalhado na planta
de toda indústria.

Nessa configuração o desempenho fica
muito bom.

@rafamaximo2014:

Legal seu Post.

Você teria a página sgerror.php personalizada?

Obrigado!

Obs: não manjo de html

rafamaximo2014 confere o link https://forum.pfsense.org/index.php?topic=125690.0

Abraços

Squid.conf

# This file is automatically generated by pfSense # Do not edit manually ! http_port 192.168.1.1:3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=60MB cert=/usr/local/etc/squid/serverkey.pem capath=/usr/local/share/certs/ cipher=EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:EDH+aRSA:!RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS tls-dh=prime256v1:/etc/dh-parameters.2048 options=NO_SSLv2,NO_SSLv3,NO_TLSv1,SINGLE_DH_USE,SINGLE_ECDH_USE http_port 127.0.0.1:3128 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=60MB cert=/usr/local/etc/squid/serverkey.pem capath=/usr/local/share/certs/ cipher=EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:EDH+aRSA:!RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS tls-dh=prime256v1:/etc/dh-parameters.2048 options=NO_SSLv2,NO_SSLv3,NO_TLSv1,SINGLE_DH_USE,SINGLE_ECDH_USE https_port 127.0.0.1:3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=60MB cert=/usr/local/etc/squid/serverkey.pem capath=/usr/local/share/certs/ cipher=EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:EDH+aRSA:!RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS tls-dh=prime256v1:/etc/dh-parameters.2048 options=NO_SSLv2,NO_SSLv3,NO_TLSv1,SINGLE_DH_USE,SINGLE_ECDH_USE icp_port 0 dns_v4_first on pid_filename /var/run/squid/squid.pid cache_effective_user squid cache_effective_group proxy error_default_language pt-br icon_directory /usr/local/etc/squid/icons visible_hostname Firewall cache_mgr giorgioghisleni@gmail.com access_log /var/squid/logs/access.log cache_log /var/squid/logs/cache.log cache_store_log none netdb_filename /var/squid/logs/netdb.state pinger_enable on pinger_program /usr/local/libexec/squid/pinger sslcrtd_program /usr/local/libexec/squid/ssl_crtd -s /var/squid/lib/ssl_db -M 4MB -b 2048 sslcrtd_children 30 sslproxy_capath /usr/local/share/certs/ sslproxy_options NO_SSLv2,NO_SSLv3,NO_TLSv1,SINGLE_DH_USE,SINGLE_ECDH_USE sslproxy_cipher EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:EDH+aRSA:!RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS sslproxy_cert_error allow all sslproxy_cert_adapt setValidAfter all logfile_rotate 0 debug_options rotate=0 shutdown_lifetime 3 seconds forwarded_for on httpd_suppress_version_string on uri_whitespace strip refresh_pattern -i microsoft.com/.*\.(cab|exe|ms[i|u|f]|asf|wm[v|a]|dat|zip|psf) 4320 80% 43200 reload-into-ims refresh_pattern -i windowsupdate.com/.*\.(cab|exe|ms[i|u|f]|asf|wm[v|a]|dat|zip|psf) 4320 80% 43200 reload-into-ims cache_mem 256 MB maximum_object_size_in_memory 256 KB memory_replacement_policy heap GDSF cache_replacement_policy heap LFUDA minimum_object_size 0 KB maximum_object_size 12 MB cache_dir ufs /var/squid/cache 1024 16 256 offline_mode on cache_swap_low 90 cache_swap_high 95 cache allow all # Add any of your own refresh_pattern entries above these. refresh_pattern ^ftp:    1440  20%  10080 refresh_pattern ^gopher:  1440  0%  1440 refresh_pattern -i (/cgi-bin/|\?) 0  0%  0 refresh_pattern .    0  20%  4320 #Remote proxies # Setup some default acls # ACLs all, manager, localhost, and to_localhost are predefined. acl allsrc src all acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 443 3128 3129 1025-65535 acl sslports port 443 563 443 acl purge method PURGE acl connect method CONNECT # Define protocols used for redirects acl HTTP proto HTTP acl HTTPS proto HTTPS # SslBump Peek and Splice # http://wiki.squid-cache.org/Features/SslPeekAndSplice # http://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit # Match against the current step during ssl_bump evaluation [fast] # Never matches and should not be used outside the ssl_bump context. # # At each SslBump step, Squid evaluates ssl_bump directives to find # the next bumping action (e.g., peek or splice). Valid SslBump step # values and the corresponding ssl_bump evaluation moments are: #  SslBump1: After getting TCP-level and HTTP CONNECT info. #  SslBump2: After getting TLS Client Hello info. #  SslBump3: After getting TLS Server Hello info. # These ACLs exist even when 'SSL/MITM Mode' is set to 'Custom' so that # they can be used there for custom configuration. acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 acl whitelist dstdom_regex -i "/var/squid/acl/whitelist.acl" acl blacklist dstdom_regex -i "/var/squid/acl/blacklist.acl" acl block_reply_mime_type rep_mime_type -i "/var/squid/acl/block_reply_mime_type.acl" http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !safeports http_access deny CONNECT !sslports # Always allow localhost connections http_access allow localhost request_body_max_size 0 KB delay_pools 1 delay_class 1 2 delay_parameters 1 -1/-1 -1/-1 delay_initial_bucket_level 100 delay_access 1 allow allsrc # Reverse Proxy settings # Custom options before auth # Always allow access to whitelist domains http_access allow whitelist # Block access to blacklist domains http_access deny blacklist # Block access with mime type in the reply http_reply_access deny block_reply_mime_type acl sglog url_regex -i sgr=ACCESSDENIED http_access deny sglog ssl_bump peek step1 ssl_bump splice whitelist ssl_bump bump all # Setup allowed ACLs # Default block all to be sure http_access deny allsrc

–----------------UPDATE----------------------
No Proxy Server: General Settings/General, estava desmarcado a opção "Allow Users on Interface" e na ACL's em Allowed Subnets estava vazio. Foi marcar e funcionou a navegação controlada pelo Squid.

Fiz as alterações no squidguard, cliquei em aplicar e ao tentar acessar a página https://www.terra.com.br/ dá a mensagem SSL_ERROR_BAD_CERT_DOMAIN.

Obs. Já desinstalei a CA e instalei novamente na máquina que estou realizando testes.

SQUID_GENERAL_SET_001.png
SQUID_GENERAL_SET_001.png_thumb
SQUID_GENERAL_SET_002.png
SQUID_GENERAL_SET_002.png_thumb
SQUID_GENERAL_SET_003.png
SQUID_GENERAL_SET_003.png_thumb
SQUID_GENERAL_SET_004.png
SQUID_GENERAL_SET_004.png_thumb
SQUID_LocalCache_001.png
SQUID_LocalCache_001.png_thumb
SQUID_LocalCache_002.png
SQUID_LocalCache_002.png_thumb
SQUID_LocalCache_003.png
SQUID_LocalCache_003.png_thumb

É possível.

Você cria uma agenda com o horário que pretende realizar a tarefa.

Firewall > Agendas

Depois na regra da WAN, opções avançadas, você seleciona o grupo de horário criado anteriomente, para a regra que libera o NAT específico, fique ativa somente nas horas X.

Também é possível criar um script pra dar um CAT /tmp/rules.debug e alterar a linha do NAT com SED…

Mas não precisa chegar nesse ponto de loucura  :P

@empbilly:

Tem esse também.
https://forum.pfsense.org/index.php?topic=108846.0

Usei este, eu já personalizei para meu ambiente, testei e já coloquei em produção. Muito Bom.

Vlw pela dica.

Olá,

Tenta usar esse exemplo abaixo, sem acentuações ou caractere especiais.
Coloque virgula (,) no lugar de (%2c)

ldapusersearch ldap://192.168.1.168:3268/DC=dominio,DC=com,DC=br?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=AcessoTotal,OU=00_Internet,DC=dominio,DC=com,DC=br))

Comigo funciona perfeitamente dessa forma, alias foi a unica forma que funcionou comigo.

Abraços.

https://doc.pfsense.org/index.php/Main_Page

https://www.youtube.com/playlist?list=PLQ7gVTPc8Kmij4-2RpiQMAQjkj3XkolGI

Recomendo você postar essa dúvida no forum do pf2ad no facebook.

Da uma olhada nesse link do Luiz Gustavo. Vai te ajudar.

–> https://www.youtube.com/watch?v=eQ7-QPt5hpY

valews empbilly… to analisando aqui oq realmente eh ai o segredo. obg

Está usando squid ou squid + squidguard? Tem interceptação de SSL habilitada?

Viu que ele não consegue resolver o nome.

Veja o arquivo hosts na máquina comprometida, deve estar cheio dessas entradas.