Quando vc ativa o Proxy, como fica a carga da CPU e memória ?

Algum ser abençoado pra me dar uma luz? Ainda com problemas nessa VPN. Já tentei de tudo e ainda tenho problemas de performance e perda de pacotes. Agora, o maior problema é que depois de um tempo ou tamanho dos dados trafegados, o tráfego é perdido e as estatísticas são zeradas (stats = 0). Percebi que quando chega a 5Mb de dados trafegados ele reinicia a fase 2 e zera o tráfego, não deixando mais trafegar nada. É necessário reiniciar a VPN para retomar o tráfego. Não sei mais o que mudar para resolver isso.

@mcury said in Openvpn não pinga partindo do prorprio servidor: @terainfo said in Openvpn não pinga partindo do prorprio servidor: A nivel de firewall não existe regras definidas para origem...ta tudo liberado *. Inclusive com firewall desligado pfctl -d não resolve.. tem ideia de como contornar isso? O problema não é firewall, é que o IP que o firewall está usando não pode passar por dentro do túnel pois não faz parte da LAN. Um modo de contornar isso é : Isso pode ser feito com Firewall > NAT > Outbound. Ative o modo híbrido. Em seguida, adicione uma nova regra. Na interface, selecione aquele que você atribuiu à instância do OpenVPN de site para site ou OpenVPN, se não tiver. No destino, insira o IP do servidor LDAP e no endereço de tradução, insira o IP da LAN do pfSense, ponha protocolo TCP e destination port 389 ou 636 se você estiver usando LDAPs. O ping não vai funcionar, mas as conexões LDAP irão. Esquece a outra postagem!!! deu certo !!!! não especifique porta nem protocolo. fiz uma regra usando dispositivo openvpn, protocolo qualquer .. origem (this firewall) - destino o ip do lpdap /32 portas deixei em branco -- em tradução escolhi usar uma rede e apontei para o ip de lan do firewall/32 tudo começou a funcionar.. Obrigado pela Luz!!!! Grande abraço

Bom dia, mesmo problema. Nas máquinas do lado do Client pinga em todas maquinas do lado do Server, o contrário não. Já o PFSense Server consegue pingar em qualquer maquina na rede Client. Acredito que seja algo na rota. Coloquei o 'Client Specific Overrides'. Segui o tutorial https://docs.netgate.com/pfsense/en/latest/recipes/openvpn-s2s-tls.html. Antes na 2.6, com shared key, funcionava.

@Maciel Beleza, vou tentar, e retorno se deu certo. Obrigado!

@Maciel said in Acessar outra rede na filial com IPsec: muitíssimo obrigado cara, salvou aqui. Foi só configurar mais uma fase2 nas duas pontas. De nada Maciel. @Maciel said in Acessar outra rede na filial com IPsec: Agora estou estudando formas de bloquear o que eu preciso só para esta rede. É só criar regras de firewall permitindo o acesso dos IPs, criando um alias facilita, que você precisa para essas redes. E em seguida, por uma regra embaixo dessa, bloqueando a rede, por ex LAN_NET, para essas mesmas redes. Edit: Nesse caso, ter IPs estáticos no DHCP para esses hosts seria necessário.

@acamoura , estou com a versão 2.6.

@selmoandrei Boa tarde, Dispositivos com IP estático não aparecerão em Status > DHCP Leases. Mas sempre que houver comunicação IP entre o pfSense e algum dispositivo, o dispositivo deverá aparecer na tabela ARP, pois para que pacotes possam ser enviados ou respondidos, é necessário conhecer o MAC Address para endereçar o pacote. Então, se o dispositivo teve alguma comunicação com o pfSense recentemente, ele vai aparecer na tabela ARP. No pfSense, você pode instalar o pacote nmap. Depois, logando no pfSense via ssh, você pode fazer um scan de toda a rede, para verificar dispositivo que estão up, salvando o resultado em arquivo, exemplo: nmap -sn 192.168.1.0/24 -oG nmap_output.txt Logo em seguida, poderá dar um cat ou less no arquivo nmap_output.txt Poderá também ver a tabela arp atualizada com: arp -a ou arp -an Também é possível instalar o pacote arpwatch, que permite monitorar a rede mantendo uma tabela de dispositivos e respectivos IP e MAC Address, podendo ser avisado cada vez que ocorra alguma mudança (seja pela entrada de um dispositivo novo, seja pela mudança de IP de algum MAC Address já conhecido anteriormente).

@Leodamaso-0 Eu sempre uso placas de rede da Intel.. Evite as chinesas. Genericamente é assim que eu sigo. Pesquiso preços, depois pesquiso compatibilidade aqui no fórum, e as vezes caso eu não encontre, dou uma olhada lá no compatibility list do FreeBSD na versão que o pfsense está.

@imortalis12 boa tarde. Você conseguiu selecionar o problema?

@marcoafm olá, sim é possível permitir o acesso a internet/rede apenas com os macs autorizados, faça o seguinte processo: Na interface de rede em DHCP, ative a opção "Allow known clients from only this interface", desse modo apenas os equipamentos que estiverem com o mac cadastrado pegarão IP, do contrário ficarão com o IP 169.XXX.XXX.XXX. Espero ter ajudado

resolvido aqui: https://forum.netgate.com/topic/181618/when-updating-to-pfsense-2-7-ce-stunnel-ldap-google-does-not-work-use-in-captive-portal/