Você diz dentro da vpn chegar a um host com ip válido?

Realmente resolveu, liguei o Nat Reflection  Puro Nat, pro nat de wan na porta 8099  que direciona ao servidor correto. E fiz um NAT 1:1 na wan, com subnet ip externo direcionando para o interno e funcionou, muito obrigado.

O serviço de proxy do pfsense não é magico
ele não vai sair bloqueando tudo e a todos mesmo em modo transparente,
ele exige certas configurações ( e livra de outras )

procure aqui no forum tem vários posts e artigos para te ajudar nisso.

@whitexp:

pacotes , porem sempre quando faço isso  dispositivos na lan nao conseguem enviar ou receber pacotes da internet

Não conseguem porque não tem ips válidos na internet. Deixe o firewall ativo e crie uma regra para liberar todo o trafego.

obs: Deixar qualquer acesso passar não é nada recomendado.

@OtSuAf:

Quando mudo o protocolo pra GRE ele não me da opção de porta… muito louco..

Não tem loucura nenhuma, protocolo GRE não é nem de perto o mesmo que dizer porta 47.

Faça o nat do PROTOCOLO GRE para o ip do seu servidor e depois em uma segunda regra
faça o nat da porta de autenticação do pptp 1723 apontando para o mesmo server.

Sugiro fortemente ler um pouco mais sobre o tipo de vpn que quer usar e sobre as considerações do uso desse protocolo jurássico nos dias de hoje onde até o navegador reclama da versão de algorítimo de criptografia utilizado no site.

https://doc.pfsense.org/index.php/PPTP_VPN
https://en.wikipedia.org/wiki/Point-to-Point_Tunneling_Protocol

@odebrecht:

iptables -t nat -A POSTROUTING -o (interface MPLS) -j MASQUERADE

Firewall -> nat -> outbound

@odebrecht:

iptables -t nat -A PREROUTING -p tcp -s (IP público do nosso funcionário) –dport 8090 -j DNAT --to (ip do site do cliente):8090

Firewall -> nat -> port forward

Alguma mensagem deve aparecer, assim fica mais fácil pesquisar uma solução.

olá epboeira, eu achei este tutorial para diminiui o voucher para 6 caracteres mas não obtive sucesso, você realizou algo diferente?

https://forum.pfsense.org/index.php?topic=80949.msg441708#msg441708

@epboeira:

É isso aí. O interessante é sempre procurar soluções ou uma alternativa pro problema que temos.

Acho que não vai ter como deixar o Captive Portal sem autenticação. Mas sugiro você estudar os scripts do Captive. Pode ser que consiga fazer um botão que, em vez de autenticar, pule direto pra parte que libera a navegação. Pode ser que funcione.

Porém, caso não consiga, sugiro que crie os vouchers. Eu fiz isso pra um cliente que não queria divulgar a senha do WIFI. Ele divulgava pra poucos funcionários, mas sempre acabava 'vazando' e quando ia ver, tinha 30 ou mais conectados.
Coloquei outra placa de rede e ativei o Captive Portal nessa placa. Coloquei o roteador em bridge, sem senha. Gerei 1.000 vouchers de 30 minutos e 1000 de 1 hora. O cliente jogou esse arquivo no excell e imprimiu várias folhas com os vouchrers, cortou e fez umas tirinhas. Chega alguém que quer internet, ele descarta uma tirinha e dá pra ele.
Pra facilitar o usuário, eu diminuí o tamanho do voucher pra uns 5 ou 6 caracteres, somente em maiúsculo.

Tá funcionando muito bem.

Eu uso apenas um grupo, pois o próprio LoadBalance faz o failover. Tudo indica que o switch etá fazendo confusão com o grupo de gateway.

Testa deixando apena o LoadBalance.

Estou usando em vários e está funcionando na versão 2.2.4

Exato Marcelo e mesmo assim não consiguia deixar a rota funcionando.

Tentando novamente as configurações, percebi que a única coisa que eu poderia mudar seria inserir um comentário na descrição da rota, e então após salvar com uma descrição, a rota funcionou.

Sim, obrigado, é uma informação bem conhecida.

É possível rodar sem ter acesso privilegiado conforme informo o site:
https://community.openvpn.net/openvpn/wiki/Nonprivileged

@L1P3:

Boa noite senhores,

Estou com duas dúvidas pesquisei e infelizmente não tive tanto sucesso (Peço desculpas se não encontrei no fórum, e caso tenha me informem), vamos por partes..

No PFSENSE eu possuo 3 interfaces, das quais estão divididas da seguinte maneira:

re0 WAN1 - VIVO FIBRA (ONT direto na placa de rede e apontado para a VLAN tag 10 para funcionar, conexão PPOE) IP FIXO
re1 WAN2 - GVT (A Placa recebe o IP por DHCP do roteador da GVT)
alc0 LAN - (Rede interna DHCP)

Configurei o FAILOVER e defini as regras da LAN apontando para o gateway do FAILOVER, deixei como default a WAN1 por ser IP FIXO e também para acesso a VPN, só que anteriormente a essas configurações eu percebi que quando eu ativo a WAN2 a WAN1 para de pingar externamente, isso independente do FAILOVER, até exclui/desabilitei as regras e o FAILOVER mais mesmo assim quando eu ativo a WAN2 a WAN1 para de responder (Externamente), na rede LAN as interfaces funcionam normalmente.

Após muito procurar, constatei que o Gateway da WAN1 esta offiline, o ONT esta ligado direto a placa de rede da WAN1 e configurado para PPPOE, achei estranho que o gateway esta o padrão da operadora mais o status é offline, acho que é por esse motivo que quando colocada a WAN2 a WAN1 para de responder, alguém já passou por esse problema?

Uma solução é virtualizar 2 pfSense e fazer dois proxy um para cada caso.

Boa noite galera, problema resolvido.

segue a solução:

[root@xs-drtic2 ~]# xe vm-list
uuid ( RO)          : 017e3f2f-5910-fb3f-bb94-68a72ab94f79
    name-label ( RW): _rapha.pfsense
    power-state ( RO): running

[root@xs-drtic2 ~]# xe vif-list vm-uuid=017e3f2f-5910-fb3f-bb94-68a72ab94f79
uuid ( RO)            : fcffe9fb-c14e-fb2e-1d78-ff573f335825
        vm-uuid ( RO): 017e3f2f-5910-fb3f-bb94-68a72ab94f79
          device ( RO): 0
    network-uuid ( RO): 0554d323-696b-f54f-fb34-398ff0b56660

xe vif-param-set uuid=fcffe9fb-c14e-fb2e-1d78-ff573f335825 other-config:ethtool-ufo="off"
xe vif-param-set uuid=fcffe9fb-c14e-fb2e-1d78-ff573f335825 other-config:ethtool-tso="off"
xe vif-param-set uuid=fcffe9fb-c14e-fb2e-1d78-ff573f335825 other-config:ethtool-sg="off"
xe vif-param-set uuid=fcffe9fb-c14e-fb2e-1d78-ff573f335825 other-config:ethtool-tx="off"
xe vif-param-set uuid=fcffe9fb-c14e-fb2e-1d78-ff573f335825 other-config:ethtool-rx="off"

@gst.freitas:

quando o proxy não é transparente na matriz.. seria a mesma configuração ?

sim.

Sim, nos tutoriais aqui do FOrum sobre VPN tem um topico explicando como fazer….

@andersons:

Boa tarde pessoal. A versão 64 conta com o script desenvolvido pelo Luiz, para integração do SQUID com AD. Existe alguma forma de conseguir o mesmo com a versão 32 bits do PFSense 2.2.4? Obrigado.

Eu já coloquei os binarios para 32bits no repositorio, só não testei ainda… se quiser, só rodar o mesmo script que ele já identifica a plataforma.

boa sorte !