@brassup:

Em minha instalação tentei colocar vouchers para a rede visitante, e login criado no pfsense para a rede ADM, funcionou,
O Problema é que o login criado no pfsense funciona em qualquer rede criada no Portal Captive.
Cancelando os usuarios do pfsense e criando no Radius resolveu

Legal saber nao fiz esse cenario ainda. Mas uma pro KB. Valeu brassup!!

@empbilly:

Dá uma lida nesse link abaixo. :D
https://doc.pfsense.org/index.php/What_are_Virtual_IP_Addresses

Eu li ja e traduzi (meu ingles eh pessimo) por isso peco uma explicacao mais (conversa de bar) e informal.

[ RESOLVIDO ]
A empresa não dispõe da versão 2012r2, optei por instalar XenServer7, problema com as 5 vlans foi sanado.

Obrigado

@paulonevesjf:

Olá tomas, por acaso você tem alguma documentação que ajude a fazer o bypass mencionado?

Você já configurou o proxy? Pode tentar utilzar o squid com o e2guardian como gerenciador das listas.

https://forum.pfsense.org/index.php?topic=128127.0

Bom dia Pessoal!
Fiz a atualização de meu pfsense e na versão 2.3.2 eu tinha problemas com a Openvpn - Server (caia de tempo em tempo), já nessa nova versão não houve mais quedas, agora vou subir uma vm em ambiente de testes para verificar a questão do squid com "splice all".
Agradeço a cordialidade de todos.

[]´s

@gesilva:

Boa tarde, eu preciso liberar o acesso de um IP Externo para um equipamento na minha rede.

O quadro atual está da seguinte forma, existe em primeiro lugar uma regra que bloqueia o acesso de qualquer IP externo para o equipamento (Firewall->Rules)
Depois criei uma regra liberando o IP externo para este equipamento.
Deixando desta maneira, ninguém consegue acessar o equipamento, nem mesmo o IP liberado.

Desabilitando a regra que bloqueia qualquer acesso e mantendo apenas a regra do IP que eu quero que acesse o equipamento, qualquer IP externo tem permissão de acessar o equipamento,
eu fiz alguma configuração errada?

a regra de liberacao deve estar acima das de negacao, no caso a regra que libera o tal ip externo.

@detonaytor.si:

@andrezaomac:

@detonaytor.si:

Bom, to com uma duvida em relação a implantacao no seguinte cenario:

Aqui na microempresa utilizamos cerca de 5 a 6 notebooks, entre eles um que uso com windows server, pouco trafego, pouca informação e dados, supre legal a utilização para a finalidade, agora gostaria de implantar o firewall na rede interna, pequeno projeto, a duvida seria: Tem alguma forma de eu utilizar o pfsense para a rede interna da rede, sendo que o windows server ou o router é o responsavel por distribuir o DHCP, iria utilizar em uma maquina virtual, é obrigatorio ter duas interfaces de saida de rede no notebook? é possivel implantar neste cenario?

Sim é possível, tenho clientes que trabalham no mesmo cenário seu, onde investir em máquina dedicada não vale a pena, sendo que a demanda da rede é muito pequena.

Vc pode utilizar esse mesmo computador que possui Windows Server, instalar nele o virtualBox ou VMWare (gosto mais do virtualbox), mas fica na sua escolha.

Não precisa necessariamente de 2 interface de rede física.

Sim vc pode manter um servidor ou router distribuindo o DHCP, apenas desativa o servidor DHCP do pfSense, mas desde que todos estejam na mesma faixa de IP.

Entendi amigo, irei fazer isso: ja estava com ele no virtualbox, porem me deparei com essa questao de duas interfaces de rede, pois eu estava tentando deixar ele como dhcp mas nao obtive sucesso, dae para entrar na interface tive que colocar windows 7 em outra maquina virtual com a mesma interface do pfsense para acessar o GUI.

irei configurar a lan dele na mesma faixa ip dos demais (dhcp do router ou do windows server) desativarei o dhcp do PFSENSE e farei alguns testes para ver se da certo com todos os pcs da rede.

obrigado.

alguma dica inicial ou algo do tipo?

Olha por mais que seja possível nao é recomendado. Procure pesquisar por computadores Mini-Itx que nao ocupam espaco, coloca um HD de 500GB de 7200 rpm e 4 GB de ram e 3 Nics gigabit e uma boa fonte de preferencia seasonic (procure ver se o gabinete suporta essa conf).  Essa conf vai suportar um cenario de uma possivel expansao da rede e voce nao tera dor de cabeca. Acho que vai ficar por volta de 1k a 1,5k tudo e vai permitir crescer a rede aos poucos conforme a empresa cresce. Outra coisa deixe o pfsense ser o DHCP e tambem ser o router com a Wan, no modem deixe apenas como bridge, muitos problemas sao sanados so com essa conf.

@rafamaximo2014:

Me parece que esse Traffic Shaper é apenas para controle de banda!

Quero e dedicas alguns megas para minha VLAN qos mesmo!

Faz o que o marcelo explicou conf 2 limiters um de 5 e outro de 15. Vai fazer o que vc quer. Por exemplo na rede 1 configurado com 15MB o pessoal vai bater nos 15MB deixando os 5MB para a outra rede e para que o pessoal da rede 2 nao use toda a banda faca uma nova configuracao com 5MB.

**** So lembrando que se esse é o throughput real que vc quer por haver variacoes na rede e ate pela qualidade dos links ofertados no brasil eu recomendo mais 5 MB de banda por seguranca. Voce faz os calculos de quanto ira necessitar de velocidade e coloca uma margem de 5MB a mais no link ou contrate o melhor link que seu orcamento permitir mas claro que cada caso eh um caso.

@empbilly:

Ex. Sua faixa de IP é do 192.168.1.2 ate a 192.168.1.254. No DHCP do pfsense na opção "range" tu seta pro dhcp liberar IPs a partir do 192.168.1.45 por exemplo. Dessa forma os IPs que iniciam do 2 ate o 44 tu pode colocar como estático.

Muito obrigado

leia isso

https://community.openvpn.net/openvpn/wiki/BridgingAndRouting

basicamente, TUN = bridge, TAP = routing

com TAP você pode ter uma interface específica do openvpn e criar regras em cima dela

no servidor (matriz) faça o bind da VPN na interface LAN e depois crie regras de NAT em suas 2 WAN redirecionando a porta externa para a porta da LAN onde está o bind do openvpn

e no pfsense cliente, configure normalmente uma conexão escolhendo um dos IP wan do seu servidor
depois de configurado, vai nas opções adicionais e digita manualmente esta linha

onde o X é o outro IP por onde responde na matriz
faça uma linha remote para cada IP/link adicional que você tenha, além do "primário" já configurado no campo da conexão

Galera estou aqui para postar a resposta da minha pergunta no Forum.
Depois de muito pesquisar e fazer testes, consegui resolver o problema do DDNS/NOIP/ETC não pegar o  VIP criado para o failover.

Para resolver o problema é preciso criar um monitoramento de apontanto para o VIP. Após isso, em todo lugar que pedir o IP da interface, aponte para o GW que foi criado no monitoramento. No meu caso, eu precisei usar em 2 lugares:

1 - No NAT para acesso a servidores interno, onde eu colova o "WAN Adress" eu substitui pelo GW com o meu VIP. Passei a acessar de fora os meus servidores interno pelo VIP.

2 - Utilizei no "Gatway Groups" para fazer o failover de link, segue imagem abaixo do que foi modificado:

Como podemos ver, eu faço failover do link GVT e Horizons. Antes o NOIP pegava o IP que vinha da interface que eu apontava nesse item, estava como "Interface Address", então mudei para o GW que criei  e passou a funcionar corretamente.

Obrigado a todos que me ajudaram a resolver o problema.

Ribamar, obg.
Achei o problema, alterei o DNS alternativo para o da google (8.8.8.8) e resolveu, até semana passada estava ok, porme na quarta feira se nao me engano, por algum motivo alguns clientes nosso tiveram problema com o dns da google, entao alterei e acabei colocando da vivo, e neste firewall tmb havia colocado, só nao tinha assimilado o problema atual com esta mudança feita.
Obg a todos q ajudaram, vlw

Obrigado Marcelo!

Obrigado pelo retorno!

Mas, poderia compartilhar referências ou conteúdo mais objetivo?

Adicionou a porta 9627 na lista de permitidas pelo squid?

Valeu, vou testar.

@fabianopolone:

Olá

Crie uma configuração com proxy transparente e SSL no SpliceAll e coloque autentificação do squid pelo captive portal, no Squid Guard crie os grupos com as politicas de acesso e coloque com os nomes que estão cadastrados no users manager desta forma 'usuario'

Instale o Lightsquid libere sua porta no firewall e seje feliz

Olá

Obrigado, então pelo que percebi o PFsense quando se trata de interceptação de https não funciona muito bem certo. E usar sem o SSL tem algumas coisas que sempre passam.

Mais blz vou ter que ver uma outra forma.

Obrigado pelas respostas Marcelloc

@carlosandre:

Boa tarde Senhores!

Instalei a versão 2.3.4 e configurei tudo para modo transparente, sendo que só funciona quando coloque o ip do proxy no navegador.

A versão 32bits está com problemas no proxy transparente do squid.