Pra atualizar e caso alguem tenha o mesmo problema:

http://unix.derkeiler.com/Mailing-Lists/FreeBSD/net/2011-10/msg00229.html
https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=141023

O pfsense responde o arp-reply com o MAC do VIP, mas esse pacote vai com o MAC da interface local.
Com isso, alguns equipamentos ignoram.

@ramonwag:

Crio uma regra de sair para um TS externo mas o mesmo não conecta! muito menos pinga.

Monitore via tcpdump o trafego da wan no ip de destino desse servidor.

Se o trafego estiver saindo da LAN, pode ser bloqueio no provedor ou no firewall da rede do servidor de destino.

Andei refazendo as coisas por aqui.

Não sei que erro cometi que não consigo mais acessar o pfsense quando estou fora da empresa, só consigo acessar quando conecto por VPN, até ai, sem problemas, é melhor assim.

A estrutura montei da seguinte forma agora (desenho tosco abaixo)

______ link principal entra na WAN do pfsense –--|
link_provedor -->switch--->|                                                                          |------>pfsense
                                          |______Range contratado entra na opt2  _______|

No pfsense a placa OPT2 recebe o meu primeiro ip valido do range
o segundo endereço do range, eu atribui como um virtual ip e fiz um NAT 1:1 para um servidor interno

mas infelizmente isso não resolveu.
Percebi uma coisa, quanli libero o ICMP para o pfsense, independente de qual ip eu pingar (o do link principal ou do range), tenho resposta
Se eu pingo para o endereço que fiz o nat 1:1 tenho resposta também, então desliguei o cabo desse servidor e continuei obtendo resposta, ou seja, quem está respondendo é o pfsense.
Desabilitei a regra de icmp da wan e criei na opt2, e ninguem responde, nem o pfsense, muito menos o servidor.

Sei que não é problema, é questão de configuração. A maioria das máquinas estão no domínio, porém no ambiente existe outro domínio que precisava utilizar o proxy do pfSense.

@jotaherre:

Veja com NAT tranversal. Se você precisa enviar IPSEC passando por um NAT precisa usar NAT TRANVERSAL.

Sim, creio que essa opção de NAT/BINAT na fase2 seja o NAT transversal dele.

@ricardo.duarte:

Pessoal,

Estou com algumas dúvidas referente ao suricata.
Pelo que andei verificando, ele faz todo o bloqueio e Filtragem do IPS e do IDS. Porém gostaria de saber se quando habilitar o mesmo irá infringir algum problema em minha rede?

Ele consume muitos recursos do Servidor?

Quais seriam as boas praticas para utiliza-lo?

Você poderiam me ajudar por favor?

O ideal é tu criar um laboratorio pra testes e virtualizar. Direto no servidor em produção não é o ideal.

Pessoal, achei uma solução, segue:

http://www.virtualresh.com/2016/08/how-to-block-youtube-without-getting-blocked-to-Google-in-Pfsense.html

@marcelowet:

Tentei de td parece q so acontece no navegador google chrome em dispositivos androids desatualizados q redireciona para o https://www.google.com em outros navegadores ele redireciona certinho para a pagina de login

OBS: so acontece em dispositivos androids com google chrome como navegador padrao

Onde trabalho também acontecia isso. Sugeríamos que instalassem outro navegador no android.

vc quer configurar a faixa /28 que recebe da operadora?

Isso é feito na interface WAN. Cadastre o IP base e a máscara, gateway/rotas, etc

Depois de funcionando com o primeiro IP, você cria os outros IP no menu FIREWALL –> VIRTUAL IP

Que confusão

Uma possível solução também séria reduzir sua sub rede para /16.. assim todo mundo fala com todo mundo… super rede...

Ou criar as rotas de uma para outra.

@firetxelo:

Eu instalei o squid e direcionei todas as conexões para a porta 3129. Lá eu bloqueio por usuários e categorias. Pra mim está funcionando muito bem, as pessoas até conectam na rede, porém não conseguem fazer nada.

Como fez esse direcionamento, amigo?

Pode se basear pela config abaixo.
https://store.pfsense.org/XG-1541-1U-pfSense-Security-Gateway-Appliance-P88.aspx

Alguma sugestão ?

@luciano_frc:

Verifiquei que após a instalação do pacote do bind Versão 9.11 no PF 2.3.3 (Alias o pacote Bind foi atualizado no repositório)
esta ocorrendo o seguinte erro

setsockopt(22, TCP_FASTOPEN) failed with Protocol not available

https://forum.pfsense.org/index.php?topic=125953.0

Ja tentou colocar no Java a autenticação do proxy?

Lembrando que tem que ser um usuário liberado nos acessos!

neste caso no provedor? porque antes do pfsense usando apenas roteadores os acessos eram sem problemas