Com certeza da conflito, loop na rede e etc.

Qual a configuração quer fazer? Link agregation ? Vlan?

@dgnonline:

in file pkgdb_iterator.c:396: disk I/O error
Assertion failed: (p != NULL),

O ponto importante da mensagem de erro é esse disk I/O error Erro de I/O no disco.

@mmartins:

Alguém me consegue ajudar.

Configurei o Squid + Squidguard com autenticação local, com bloqueio de sites por conteúdo.

Mas preciso também que esta autenticação expire depois de algum tempo, alguém sabe se é possível e como fazer ?

Melhor usar a autenticação integrada do captive portal que tem disponível no squid.

E no captive portal, escolha a autenticação local.

@marcelloc:

Essa é a minha principal motivação para trazer o e2guardian para o pfSense. Se tiver feito uma boa pesquisa, vai ver que o squid tem alguns "bugs" com a interceptação de trafego a um bom tempo.

De qualquer forma, no squid, a opção 'splice all' é a mais indicada para ambientes onde você não pode instalar o certificado nas maquinas.

Na parte de cima do fórum, tem vários tópicos fixados com uma infinidade de tutoriais.

Já li seu tópico do e2guardian parabéns por estar trazendo esta solução pro pfsense ainda não o testei mas perece ser muito bom, esse final de semana vou testá-lo na em casa em minha rede virtual, realmente o squid apresenta alguns bugs com a interceptação de trafego, se ocorrer tudo bem com o e2guardian quem sabe coloco ele para funcionar aqui na empresa.

@davibo:

Boa tarde a todos, venho solicitar uma ajuda já que estou queimando neurônios e não encontro solução.

Tenho 2 unidades na empresa onde trabalho com firewall pfsense nos 2 lados, vamos chamar de unidade A e unidade B. Estou fechando um túnel de VPN IPSEC para comunicação entre as redes de cada unidade, na unidade A tenho uma rede única 192.168.0.0/24 porém na unidade B tenho duas redes separadas por interfaces diferentes 192.168.111.0/24 e 192.168.112.0/24. Bom ao fazer a configuração do túnel de VPN IPSEC correu tudo bem, porém na quinta-feira houve a queda na Phase2 que interliga as redes 192.168.0.0/24 (unidade A) e 192.168.111.0/24 (unidade B) e desde então não reconecta mais.

Na unidade A tenho o Pfsense 2.4.2 e na unidade B 2.3.4

Após verificar tudo no firewall percebi que no status do túnel IPSEC no menu SPDs na unidade B não aparece a rede de origem e destino especificadas, alguém saberia me apontar o que pode estar causando esse problema? Como a unidade B fica em outro estado não tenho facilidade para fazer reboot nem instalar versão atualizada por isso gostaria de uma solução que não englobasse atualizar versão ou fazer reboot.

Obrigado desde já.

Bom dia fera.
Muito legal…

vamos lá!

1)  Vá na configuração do seu ipsec e aumente o log para mais "verbosidade";
2)  Abra o status de serviço e reinicie o serviço do ipsec;
3)  em status de log, olhe o que houve na saída da vpn e fases;
4)  após isso, garanta que as regras das interfaces estão ok;
5)  verifique também o nat de saída dos pacotes, assim como o de entrada para escuta 500/udp, 4500/udp e ESP.

Para ajudar, segue o manual para VPN: https://doc.pfsense.org/index.php/VPN_Capability_IPsec e https://doc.pfsense.org/index.php/Routing_internet_traffic_through_a_site-to-site_IPsec_tunnel

@marcelloc:

@germinoskull:

No e2guardian há alguma configuração para sempre forçar a validação do squid e logo após aplicar a regras?

Não conheço, só sei que os plugins de autenticação do e2guardian fazem o meio de campo entre a estação e a autenticação do squid.

Consegui…
O Grupo default não pode ter a opção Filter ssl sites forging SSL Certificates selecionada.
Sendo assim, deixei habilitado em todos os outros grupos.

@Leite:

Não teria outra forma?

Tem uns documentos na internet pra forçar o youtube em http, pode ser uma alternativa.

@Leite:

Pois fazendo inspeção SSL comprometeria o desempenho do server

Depois faz um lab com o e2guardian. A performance dele é impressionante.

Estava utilizando o Snort como IDS/IPS e achei que fosse ele que estive bloqueando a geração do pdf.
Mas já desabilitei ele e limpei a lista de alerts e blocks mas não resolveu.
No Squid coloquei o site na whitelist e no firewall liberei a porta que o sistema usa.
Preciso fazer mais alguma configuração?

Obrigado.

@ricardo.duarte:

@josimarsis:

Boa tarde Pessoal,
Atualizei meu pfSense da versão 2.1.4 para a versão 2.3.2, e depois da atualização não consigo mais fazer NAT do meu IP público para o IP privado do servidor FTP e também não consigo mais acessar nenhum FTP externo. Estou a mais de uma semana pesquisando tanto no fórum quanto no Google ainda não consegui resolver o problema. Vi na documentação do pfSense que a versão 2.3.2 não possui mais recursos nativos para acesso a FTP, vi também em vários posts que para resolver o problema basta instalar o pacote FTP Client Proxy, porém não funcionou. Já fiz todo tipo de liberação no firewall das portas 20,21 do range de portas passivas padrão do Filezilla e também não funcionou, inclusive já tentei limitar as portas passivas do Filezilla da 5000 até a 5050 e nada. Já não sei mais o que fazer. Conto ajuda de vocês. Se não resolver isso vou ter que voltar para a versão que estava utilizando.

Josimarsis

Por acaso você chegou a fazer uma regra NAT apontando o IP Interno do Seu Servidor FTP para o protocolo 21?

Eu utilizo a versão nova aqui no Serviço e  funciona dessa forma…

Não sei se irá lhe ajudar, Mas aqui utilizo dessa forma, até para TS Externo.

Boa noite pessoal,

Ricardo para min funcionou dessa forma apontando uma porta alta externa e redirecionando para o ip interno do ftp na porta 21, só achei esquisito que quando eu seto a porta 21 externa para redirecionar para o firewall internamente ele não aceita, mais colocando uma porta alta como por exemplo a sua 3010 aceitou tranquilamente, alguém mais passou por esse problema e encontrou alguma solução queria deixar como padrão a porta 21 para que quem fosse acessar utilizando o protocolo ftp não necessitasse adicionar a porta.

@lf.fsilva:

o ip é setado no proxy, e é feita autenticação por usuario no squi. acresci a lista de sites no whitelis do squid mas mesmo assim nao permite a passagem

Alguns site dão erro passando via proxy infelizmente. Se a mensagem de erro no log não for TCP_DENIED, a melhor alternativa é colocar como exceção no proxy e passar por fora.

Estou utilizando a versão 2.2.6-RELEASE (amd64).

Os clientes não estão pegando o mesmo ip.

O servidor fica no cliente não tem como eu acessar o SSH agora ( a não ser que não tenha outra forma e seja  certeza que vai dar certo a visita)

Sobre as regras de Firewall de PPTP estão assim:

Proto  Source  Port Destination Port Gateway    Queue    Schedule    Description

IPv4      *       *          *          *      *        none                 Allow PPTP to Any Rule

Obrigado

@marcelloc:

@terainfo:

se conhecer e tiver algo que seja especifico para porta 80 por exemplo.. ficarei grato!

É exatamente um dos primeiros exemplos do link que eu sugeri.

Desculpe Marcelo, sua replica passou despercebida por mim.. agradeço novamente a ajuda!!!

Segue em anexo.

clamav.png
clamav.png_thumb

@rafamaximo2014:

Consigo ver o Log disso no pfsense?

Só onde você já viu mesmo(dashboard). Isso é uma questão de rede, protocolo, etc. Não é uma 'feature' do pfSense.

Mas fique tranquilo, o tcp sabe retransmitir um pacote quando entende que não foi entregue e avisar em caso de falha(connection failed ou algo do tipo)

Olha so como estão.. de toda a forma o squidguard está obedecendo somente a common acl.


@AndreBatista96:

Minha dúvida é a seguinte. Existe uma forma que eu consiga separar quem se conectar pelo roteador por quem se conectar pela rede cabeada?

Só se você fixar no dhcp o ip de cada dispositivo wifi que você conectar.

@Rodrigo:

Estou seguindo a risca seu video, srsrsrs

Cuidado com os pequenos detalhes de versão, arquitetura e configuração porque o video é do e2guardian4, mas que bom que conseguiu instalar .

@samuel.guio:

Já dei uma olhada sobre isso.

Mas o que eu quero é o seguinte.

Tenho um usuário USUARIO.CAPTIVE, eu amarro esse usuário á um MAC 00:00:00:00:00:01.

Digamos que esse usuário tente acessar de um dispositivo diferente com MAC 00:00:00:00:00:02.
Nesse caso ele não deve conseguir acessar.

Qual é o seu objetivo com essa função? É bloquear o usuário de logar em vários dispositivos simultâneos? se sim tem solução!

Fernando,

Post do tempo de EPA, srsrsrs mais estou em um problema parecido, voce conseguiu resolver ???

Grato,
Rodrigo