Desculpe pela demora, irei novamente retomar aos testes pois obtive alguns imprevistos… Vou atualizando

bypass para esse ip. pode ser uma conexão não http passando pela 443

Já instalei em maquinas virtuais para realizar uns testes antes de ir para a maquina física

Ótima dica, obrigado.

Olá

Desculpe a ignorancia, mais não consegui filtrar o wireshark para pegar os ips que o skype pega, poderia me auxiliar?

Obrigado

bom dia, grato a todos por terem respondido.

eu já fiz todo tipo de teste:

no hosts: nomepc.dominio.corp nomepc

no resolve.conf: search dominio.corp
                        nameserver 192.168.0.2 <–ad
                        nameserver 192.168.4.1 <-- firewall filial

tudo interligada pela vpn.

agora se eu der um nslookup domínio.corp ou ip da matriz não resolve nem a pau.

as regras de firewall que liberei foram na vpn liberei todo tipo de protocolo entre as filiais.

os gw envolvidos são o do servidor filial com ip: 192.168.4.1  e do da matriz com ip: 192.168.0.1, interligados pela openvpn.

fico muito grato a todos que responderam!

Essa alteração que fez no arquivo será perdida quando atualizar o pfSense.

Porque precisa mudar a porta do Captive Portal?

Oá Marcelloc.  Grato pela msg.
Sim, já postei lá também em Inglês. POr hora, nenhuma resposta.

Abraço e Obrigado.
Fabrício.

Está correta a configuração do nat. Já verificou se não existe uma regra na wan negando o acesso antes da regra criada junto com o nat?

Note que o nat é traduzido antes das regras, então vai ver na wan uma regra de any para o ip do seu servidor de aplicação.

É importante lembrar também que o firewall precisa ser Gateway desse servidor, em algum nível de saltos/métrica

Veja se este esquema resolve teu problema:

https://forum.pfsense.org/index.php?topic=128036

@Sorriso:

Parabéns a todos e a Sys Squad pela excelente iniciativa!

Tks! :-)

Abraços!
Jack

Então, este pfSense eh o 2.1.5. Mas tenho em alguns clientes o 2.3.4 e bloqueia normal pelo Splice. Se conseguisse todos os IPS, talvez bloqueasse. Mas, não achei no bgp….

@michelbragaguimaraes:

Quanto vale a versão paga?

Vc pode encaminhar esta sua solicitação em pvt através do e-mail: modpf@conexti.com.br

Abraços!
Jack

Cria uma regra antes permitindo o acesso interno sem alterar o Gateway

Esquece, consegui identificar.

o que ocorre é um Nat, quando o pacote entra no túnel, o endereço de origem do pacote muda fazendo com que a requisição chegue em meu servidor radius como 172.16.1.2 ao invés do cadastrado no servidor NAP

obrigado!

Sim, você está passando ou por falta de regras ou por um problema de roteamento assimétrico.

Monitore o trafego para identificar qual dos dois está acontecendo.

Entendi. Bom, eu criei uma CA como "Create an internal Certificate Althority".

Meu certificado eu criei como "Create an internal Certificate", colocando como o Certificate Type a opção Server Certificate.

Fiz errado? Realmente não tenho experiência com certificado no pfsense.

Começa pelo básico.

Verifique se tem espaço em disco.
Verifique o system log
Execute o squid -k parse
Execute o squid direto na console com squid - NsXY

Achei uma opção, para quem precisa somente vincular determinados ip´s com nome de usuário, é possível editar dentro de um arquivo de configuração do LightSquid,  segue link:

https://itbr.org/phpbb3/viewtopic.php?t=599

@Jandergarcia2016:

Olá sou novo no grupo não sei se é o local certo para a pergunta!
Tenho uma rede cm 50 computadores cadastrados no pfsense usando a porta Lan esses computadores usam proxy acessam também uma página interna meu poblema e que qualquer um que chegar na minha rede e conectar o computador amarrar um IP na mesma faxa vai acessar minha rede como se estivesse cadastrado teria alguma maneira de apenas computadores cadastrados ter acesso a rede e computadores com IP statico serem bloqueados?coloco a rede conectada na Lan e os servidores na Wan? Que dai só os computadores cadastrados teriam acesso a página e ao proxy?

Você pode criar uma Alise ex; LAN
dentro desta alise voce informa somente os IPs de sua rede.
Em todas suas regras de firewall vc substitui LAn adress por sua alise LAN.
Mas creio que isso não impediria um acesso a um computador da rede, a não ser que voce tenha um AD bem configurado.

Outra opção é acessar o DHCP services.
cadastrar todos os MAC e marcar a opção para acessar somente os endereços MAC cadastrados.

mas o ideal é a sugestão do Marcelo, criar uma rede separada.

Att.