não. A certificação funciona para qualquer tipo de sistema operacional. Tenta fazer essa atualização ou então faz um teste fazendo uma outra instalação.

Der uma olhada neste tópico.

https://forum.pfsense.org/index.php/topic,39778.0.html

Com certeza ele explica melhor a questão da segurança que você precisa.

@rec.br9:

Limpe todo o cache do navegador do usuário e tente novamente.

Limpei, apaguei todo histórico do Google Chome e Internet Explorer.

Reiniciei o pfSense.

Desinstalei os pacotes SQUID e SQUIDGUARD e instalei novamente.

Os serviços estão habilitados porém sem controle de internet (tudo liberado).

Obrigado.

Me chama no skype

Boa tarde pessoal!

Estou com o mesmo problema do nosso amigo, conforme o Fernando nos orientou, não é aconselhado fazer tal upgrade, porém vem a dúvida, onde encontrar o arquivo necessário para a atualização manual da versão 2.1 para a 2.2 ?

Faz um teste:

Crie uma rota(System/Routing/Static Routes) com destino a 10.10.12.123/32 e veja se funciona.

@danilosv.03:

@dbastos:

@danilosv.03:

A maioria das placas de rede hoje são mini. Mas pode comprar qualquer TP-link que roda 100%. A unica indicação é que todas as placas tem que ser iguais para não ter problemas.

danilosv.03, quando você diz que "…todas as placas tem que ser iguais...", você ta dizendo que eu não deveria fazer uma combinação de placas de rede diferentes? (exemplo: placa onboard da placa mãe diferente da placa off)

Se for isso, então o ideal seria uma placa mãe com 2 placas onboard ou uma placa offboard com 2 interfaces, é isso?

placas idênticas que eu digo são as offboard e não a onboard. Pode ficar tranquilo enquanto a isso. Agora para você saber se sua onboard é giga você tem que dar o comando ifconfig -m e ver no relatório se ela  vai pegar /100 /1000 etc

Ah ta, valeu!

na configuração do carp você altera o valor para deixar um como backup e o outro como master, da uma olhada nesse valor de cada pfsense os mesmos não podem ser iguais, veja o video com o passo a passo:

https://www.youtube.com/watch?v=Tmc35Ku1cHM

@catatau77:

Eu não consegui usar o path, a solução que encontrei até o momento foi passar o proxy e as exceções de sites através do wpad.dat e proxy.pac incluindo um site http que deve estar liberado no firewall, com isso o usuário deve acessar esse site para chegar na tela do captive portal.

Consegui fazer aqui da forma como você falou. Valeu! No caso posso acessar qualquer site http que funciona, com https o próprio browser bloqueia o redirecionamento.

obrigado pela repostas estou testando no ambiente virtual pra ver se haverá perda.

Bom dia,

O FTP de vocês é PASSV ou ATIVO?

Outra coisa que tu pode testar é o seguinte. A maioria desses dispositivos certamente está executando o Chrome e visitando sites de produtos do Google. A Google tem um protocolo chamado QUIC que move HTTPS sobre UDP construído no Chrome por um determinado tempo. Você pode obter uma quantidade bastante grande de tráfego UDP ao visitar o YouTube, Google Maps, etc. Abra o Chrome em uma das máquinas e veja chrome://net-internals/#quic para stats.
Eu geralmente configuro o limite de udp do roteador (para roteadores gerenciáveis) para mais ou menos 20.000, para as inundações estacionárias UDP. Se você realmente começar a ser atacado, irá passar dos 20 000. Isso se o ataque estiver vindo de sua própria rede lan.

Valeu Danilo, vou testar. Agora ficou mais urgente o FTP e assim que resolver testo e posto aqui.

Michel Coutinho

Bom dia Milton,

Esqueci de falar eu uso túnel ipv6 consegui arrumar, agradeço a atenção.
Gostaria de mais uma ajuda se você pudesse.
Eu tenho esse tunel em ipv6 que é o principal mais queria fazer um failover para um tunel ipv4, fazendo os testes aqui os tuneis so funciona quando desabilito o tunel ipv6 (nem dando stop não funciona tem que desabilitar mesmo), e dai subo o ipv4.
O que preciso e não estou achando é os comandos para fazer isso para criar o script você poderia me informar onde acho os comandos para desativar e ativar os tuneis do openvpn?

Obrigado por enquanto.

Por um acaso a porta 3128 está inclusa no alias  "PORTAS WEB" ?

Bom, você pode fazer um "host overrides" no DNS, mas a porta terá ser informada do mesmo jeito.
Use um site padrão para a primeira conexão ou hospede uma pagina interna "http" para que seja redirecionado para a pagina de login do CP.

@israboy:

Boa tarde, tenho uma duvida:
posso criar a interface wan com ip 192.168.1.65 e a lan com ip 192.168.1.16, ambas com a mesma mascara 255.255.255.0
existe algum problema nesta configuração ?

estava utilizando assim a muito tempo, porem fui habilitar o portal captive e tudo parou de funcionar ….

Se tiveram IPs distintos não é pra haver problema.

@renatodru:

pfsense 2.3.2-RELEASE-p1 (amd64) com a ultima versão do squid (squid-3.5.19_1), ja vi todas as vídeo aulas sobre o assunto.
A configuração que preciso para o meu ambiente é proxy transparente para http e https.
Adicionei o certificado do pfsense nas estações, acessando o pfsense fica verdinho o certificado.
A maioria dos sites em https acessa normal (P.ex: facebook) e não da erro, mas em alguns da o problema do HSTS (NET::ERR_CERT_COMMON_NAME_INVALID"), dai eu sei que não tem como fazer, tem que dar bypass.
como por exemplo o gmail.com, esse ai tudo bem, dou o bypass que nem sempre resolve funcionar, ou uso o squidgard para redirecionar para mail.google.com (no modo anonimo o redirecionamento não funciona).

Quando o bypass resolve não funcionar, tem maquina que acessando diretamente os sites *.google.com o certificado da erro de segurança porque acusa uso de SHA-1. detalhe fica funcionando para um site e não para outro.

por exemplo para o site www.nfe.fazenda.gov.br, mesmo configurado para dar bypass, o bypass não funciona, e consigo usar o site mesmo ficando com o cadeado vermelho, erro: (net:::ERR_CERT_AUTHORITY_INVALID), em outros momentos o bypass funciona e o cadeado fica verde (funcionando como deveria), como também ocorre do bypass não funcionar e o cadeado ficar verde, sem erros.

tem esse site aqui https://vhsys.com.br ele usa vários ip's fazendo balanceamento. percebi que quando ele pega um ip especifico não dá problema, mas em outros sim. Esse se não entrar no bypass não funciona.

criei um alias com todos os sites que estão dando erro de HSTS, coloquei para dar bypass no alias e coloquei os sites diretamente no whitelist das ACL's do squid, mas os problemas persistem.
colocando para não verificar o certificado remoto, também persiste.
desmarcando as opções do Certificate Adapt, também persiste.
adicionar as seguintes linhas, também persiste:
always_direct allow all
ssl_bump server-first all

O maior problema é ter que adicionar todos os sites que dão erro de HSTS na lista, e o fato do bypass funcionar quando quer

Os testes foram feitos usando Chrome em modo anonimo e com cache sempre limpo, maquina linux e windows 7 recém formatado.

Com tudo isto a unica conclusão que eu posso chegar é que o squid esta com sérios problemas de instabilidade, quando bypass/whitelist e man-in-the-middle são usados juntos.

Tira print de todas as suas configurações e tire um print de onde o seu certificado está sendo instalado. E quais navegadores você está utilizando e como você está fazendo para o certificado serem instalados nos computadores.
tenho 100% de certeza que isso não é bug do squid, porque os bug que ele tinha foram todos corrigidos nessa nova versão. Essa ISO que você baixou do pfsense é direto do site do pfsense?

Isso é no menu SYSTEM -> ROUTING
edite seus gateways, dentro deles (em advanced) tem as opções de thresholds para configurar esses valores

ou se o seu link é assim tão instável, pode até mesmo desligar isso na opção GATEWAY MONITORING