Seu Acces Point,
está com DHCP ativo ou Bridge?

proxy autenticando no ad

Okidokie… ninguém me respondeu... fui demitido, mas como sou brasileiro e não desisto nunca consegui descobri a resposta na tentativa e erro :(

era só usar a key exchange version =  IKEv2 :D... dai ele permite multiplas fases 2 no tunel.

@evertonaperes:

Bom dia , esse correcao e pra resolver qual problema ?

Mais informações:
https://www.netgate.com/blog/no-plan-survives-contact-with-the-internet.html

Primeiro teste:  Retirei o ip da minha rede no Allowed Subnets mesmo estando marcado a LAN, deixou de bloquear pelo squidGuard.

Nao tenho um tutorial feito, mas tenho ambientes como o que voce esta pensando em montar
Se tiver problemas ou duvidas mais específicos, me habilito a ajudar.

Opa!
          Obrigado pela dica! mas não querendo ser abusado, teria um tutorial ou coisa parecida de como utilizar o track interface?
          Pois eu tentei mas não deu certo!

Agradecido.

entra nas acl do proxy vai ate a whitelist e coloque esses enderecos

download.skype.com
mobile.pipe.aria.microsoft.com
apps.skypeassets.com
ui.skype.com
a.config.skype.com
crl.microsoft.com

Prezados, funcionou. Obrigado pela ajuda!

Ola, obrigado pela resposta, eu já tinha dado uma olhada nesse tópico, mas minha situação e a seguinte, pelo que vi o PfSense não tem um pacote de instalação do Mysql como o freeradius, então eu teria que ter um servidor separado ou instalar na mão e não manjo de linux por isso minha dificuldade em gravar nesses arquivos. Eu queria algo que fosse possível instalar tudo no PfSense, na verdade e algo pequeno que vou implementar e se fosse possível fazer editando o arquivo users seria perfeito, mas de qq forma vou estudar essa possibilidade que você passou, mais uma vez obrigado. Se alguém tiver mais ideias serão bem vindas.

Voltei a trabalhar no MailScanner.

Tenho um ambiente para teste.

Refiz do instalação e configuração.
Porem não consigo start do Mailscanner, Não inicia!

/usr/local/etc/rc.d/mailscanner: WARNING: run_rc_command: cannot run /usr/local/sbin/mailscanner

Marcello se puder me ajuda eu agradeço.

@freddd_:

Boa tarde, amigos!

Estou com um problema no pfSense de uma filial da empresa que trabalho.
Inicialmente a placa de rede WAN estava travando constantemente, troquei a placa e o problema parecia ter resolvido. Porém, ela voltou a travar, percebi que antes de travar gerou o seguinte log:

Oct 2 14:36:33 sshd 15920 fatal: Unable to negotiate with 58.218.198.148 port 35462: no matching key exchange method found. Their offer: diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1 [preauth] Oct 2 14:36:59 sshd 16130 fatal: Unable to negotiate with 58.218.198.148 port 46882: no matching key exchange method found. Their offer: diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1 [preauth] Oct 2 14:37:24 sshd 19253 fatal: Unable to negotiate with 58.218.198.148 port 59796: no matching key exchange method found. Their offer: diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1 [preauth] Oct 2 14:37:50 sshd 53884 fatal: Unable to negotiate with 58.218.198.148 port 19147: no matching key exchange method found. Their offer: diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1 [preauth] Oct 2 14:38:16 sshd 54094 fatal: Unable to negotiate with 58.218.198.148 port 30303: no matching key exchange method found. Their offer: diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1 [preauth] Oct 2 14:38:42 sshd 90444 fatal: Unable to negotiate with 58.218.198.148 port 41565: no matching key exchange method found. Their offer: diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1 [preauth] Oct 2 14:39:07 sshd 90643 fatal: Unable to negotiate with 58.218.198.148 port 60341: no matching key exchange method found. Their offer: diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1 [preauth] Oct 2 14:39:13 sshd 92631 fatal: Unable to negotiate with 221.194.47.224 port 49705: no matching key exchange method found. Their offer: diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1 [preauth] Oct 2 14:39:30 sshd 93134 fatal: Unable to negotiate with 58.218.198.148 port 13682: no matching key exchange method found. Their offer: diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1 [preauth] Oct 2 14:39:56 sshd 30071 fatal: Unable to negotiate with 58.218.198.148 port 33000: no matching key exchange method found. Their offer: diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1 [preauth] Oct 2 14:40:22 sshd 33365 fatal: Unable to negotiate with 58.218.198.148 port 44050: no matching key exchange method found. Their offer: diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1 [preauth] Oct 2 14:40:46 sshd 68451 fatal: Unable to negotiate with 58.218.198.148 port 13073: no matching key exchange method found. Their offer: diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1 [preauth] Oct 2 14:41:10 sshd 70638 fatal: Unable to negotiate with 58.218.198.148 port 17159: no matching key exchange method found. Their offer: diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1 [preauth] Oct 2 14:41:38 sshd 6306 fatal: Unable to negotiate with 58.218.198.148 port 50423: no matching key exchange method found. Their offer: diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1 [preauth]

Alguém tem ideia do que pode ser?

[Fez teste de cabeamento ?

Muito Obrigado, segui como de acordo mas não funcionou.
Tive que mudar porta e protocolo.
Assim conectando com sucesso.

Segue as dicas do marcelloc acima,
e posta sua topologia mais detalhada, suas regras, quantos computadores, quais serviços vc utiliza no pfsense. etc.

Tem alguns aplicativos tipo "Web-Proxy" que utilizam porta 8080, ou até mesmo alguma aplicação local pode estar mal configurada.
Se vc acertar as regras do PFSense, vc vai bloquear todo saida indesejada, e ainda pode usar os logs para verificar o que esta sendo bloqueado e daonde está vindo.

@th-rex:

Boa tarde Pessoal.

sou iniciante no Pfsense, tenho ele instalado na minha rede como router, mas ultimamente estou tendo um problema aonde meu provedor de internet me informou que na minha rede esta saindo um acesso para um ip pela porta 8080 que ele sabem que é um possível TROJAN na minha rede fazendo isso. Como monitorar para saber qual pc esta fazendo esse acesso? como bloquear esse IP para que ninguém em minha rede acesse ele?

Desculpe se o assunto as vezes parece básico. Mas gosto de aprender e sempre temos que começar por algum lugar! =)

Desde já obrigado aqueles que venha a ajudar!

@danilosv.03:

O que eu recomendo você fazer é, você dar uma pesquisada bem detalhada do serviço que você deseja liberar e adicionar como aliase no seu fw.

Amigo, coloquei todas as urls conhecidas da Play Store nos aliases já (dando block), mas o problema é que a loja acaba conectando diretamente a um IP (um dos milhares do Google).
O Pfsense não tem mais suporte nativo a L7, então entei com o Snort(que foi a sugestão oficial do pessoal do pFsense quando removeram suporte nativo a L7), utilizando os OpenAppID (que funciona muito bem para tudo, exceto a Play Store). Somente há appIDs para o gplay_music e gplay_books.


Veja os tutoriais do snort e do suricata no proprio pfSense.

O pacote já é bem "ready to use" e a complexidade de configuração bem amenizada.

Mas em qualquer rede, um ids/ips sempre precisa de ajustes para ficar rendondo.

Inicie somente alertando e vá desativando as regras que dão falsos positivos na sua rede antes de habilitar o modo ips

@ricardomoreira:

Realmente tem que remover os pacotes e reinstalar novamente os mesmos ou eles podem funcionar?

O processo de update já faz isso.

Reveja as configurações e teste primeiro o squid sozinho depois teste o squidguard.

Fiz contato com a NET, para questionar se o modem está nateado, informaram que não.
:-\