Só pra compartilhar, +/- 120 usuarios, 10 vlan, 4 filiais com openvpn + 1 para acesso a usuarios externos, 3 links WAN Uso em uma VM no Hyper-V com 2 cores de processador, 1 GB de memória e 10 GB de HD Para proxy é outra VM separada, mas com a mesma configuração

Em meu setup, tenho 4 server openVPN site-to-site e uma quinta conexão para acesso peer-to-server para os usuários com notebooks Funciona normal. O que uso aqui é que em TODOS, eu disse TODOS os lugares e configurações da rede e do pfsense, eu aponto os DNS do AD. Veja se na aba GENERAL SETUP se você está usando os IP do AD da sua rede, e mais nenhum. É estes IP que ele entrega pelo OpenVPN por padrão E desabilite o forwarder (ou configure ele para usar o AD - acho mais "certo" desabilitar)

Eu uso pfsense com Hyper-V a anos já Aqui na matriz ele gerencia 10 VLAN, então posso dizer que funciona muito bem. Sem o System Center, você só consegue colocar UMA vlan por interface de rede na GUI, e não consegue colocar ela como trunk. Se for o seu caso de não ter o System Center VMM, utilize os seguintes comandos powershell abaixo, é o que eu uso aqui. Set-VMNetworkAdapterVlan -VMName pfsense -AllowedVlanIdList 2-100 -NativeVlanId 1 -Trunk -VMNetworkAdapterName LAN_Pfsense Set-VMNetworkAdapterVlan -VMName pfsense -Untagged -VMNetworkAdapterName LAN_Pfsense O 1º comando transforma a interface em Trunk, sendo a VLAN 1 a nativa e as VLAN que responde são 2 até a 100 O 2º comando volta a interface ao modo untagged, caso precise Pesquise e leia a documentação da Microsoft sobre eles.

Confere na console se o ip da mesma rede não está atribuido em outra interface, em uma das interfaces fisicas do lagg por exemplo.

Essa é uma questão mais de ajustar o Freebsd com o Hyper-v do que uma questão de pfSense https://www.reddit.com/r/sysadmin/comments/2k7jn5/after_2_years_i_have_finally_solved_my_slow/

@thiagocarlossilverio: @marcelloc: @thiagocarlossilverio: Utilizo proxy transparente, visualizo o trafico pela aba Realtime A aba realtime le o mesmo access.log. Confere sua lista de bypass, provavelmente o trafego está passando direto sem cair no squid. Em minha lista de bypass está apenas os IPS do servidores que eu não quero que passe pelo squid. Observei uma coisa: Se eu deixar como na imagem 01 só o trafico do avast que é encaminhado para o Squid já a imagem 02 funciona normal o squid [image: 01.png] [image: 01.png_thumb] [image: 02.png] [image: 02.png_thumb]

@juliocp1976: Olá Murilo olha a resposta do CORE TEAM Issue #8503 has been updated by Jim Pingle. Status changed from New to Not a Bug     Affected Version deleted (2.3.4) It was an intentional change, see #8220 - https://redmine.pfsense.org/issues/8220 Embora não concorde com a decisão tomada, mas pelo que entendi foi proposital. Mas para minha não faz sentido um servidor deixar duplicar IP, você do principio de ser dinânico (automatizado controle de ip e mac duplicado). Concordo parcialmente em poder duplicar o nome do host. Mas para mim, IP e MAC devem ser únicos na rede. Enfim amigo não tem o que fazer, ou somente mesmo se utilizar versões anteriores. Abraços Concordo com sua opinião isto aconteceu aqui na empresa, usando mapeamento estatístico imagina o BO, uma falta de atenção do meu amigo quando eu estava de férias, conseguiu atribuir o mesmo IP para MAC's distintos… Até entender o porque que isto aconteceu, perdi meu tempo de férias. *Porém depois de um tempo entendi melhor a ideia, exemplo um Notebook Wlan e Lan, ou seja só usa 1 IP indiferente da escolha!!!

Marcello, bom dia. Baseado nas imagens você identificou algo de errado?

Marcelloc, só Deus para lhe pagar pela ajuda! Agradeço pela paciência, fiz apenas com um modem e agora funcionou, acho que ontem o cansaço me fez fazer algo errado. Li e reli tudo que você postou e agora foi. Que a sabedoria e o conhecimento faça parte da sua vida sempre para ajudar meros mortais como eu. Obrigado de coração!

Se for bypass do proxy, você configura via navegador ou serviço wpad. Exceção no squidguard, procura nos diversos tutoriais que tem fixado na parte de cima do fórum. Um com certeza vai te atender. Se não fizer questão de usar ferramenta x ou y, sugiro usar o e2guardian. Proxy poderos, cheio de configurações e rápido.

@verdura: Qual seria a melhor maneira de usar p pfsense para permitir o acesso aos alunos aqui da escola controlando o acesso por utilizador? Tipo user1@domain tem acesso e user2@domain não tem acesso? Recomendaria também o E2Guardian? Se sim, apareceria pop-up para colocar login e password? Gostava de evitar isso. Já que os alunos fazem login em dominio, usava as credenciais já introduzidas… Bem, eu sou um tanto quanto suspeito em responder esta questão, porque acabamos de lançar um módulo específico de integração WMI, Captive Portal, E2Guardian para pfSense - chamado UserAuth (http://conexti.com.br/userauth). Dê uma olhada no site e no vídeo de 'demonstração', acho que vai gostar. De todo modo, o próprio E2Guardian consegue fazer o meio de campo entre o cliente e o squid/ntlm. Não vai ter a mesma performance do wmi, mas funciona. Abraços! Jack

@matheus.oliveira: Marcelloc, fiquei com uma dúvida agora. Você comentou que isso é um bug relatado do Squid mas, usando o E2guadian vou continuar usando o Squid fazendo a interceptação, isso não vai gerar o mesmo erro? Quem faz a interceptação é o e2guardian. O squid vai no máximo fazer autenticação para você a partir de agora.

deu certo marcelo desta forma IPv4 * LAN net * REDE_maquinas net * * none obrigado pela sua atenção podes colocar como resolvido

@dnascimento86: apa! deu certo aqui … apareceu a lista em acls blza.

Testa uma coisa de cada vez, desativa o squid e testa as regras, depois habilita o squid e veja nos logs porque ele não está subindo.

Servidor windows com duas placas de rede e compartilhamento é praticamente juntar tudo o que o windows faz de ruim numa configuração só. Mas o problema podr ser só o roteamento assimétrico que configurou nas interfaces. Normalmente em servidores com mais dr uma placa de rede, só uma fica com default gateway condigurado, além de manter as conexões "locais" em suas respectivas interfaces.

@rafamello: Boa tarde. Estou com um problema, Tenho o Pf 2.3.4 e nele uma regra que libera todo o trafego para o ip 81.84.252.115. Nos logs diz que os pacotes passaram mas não passa. Testei por telnet em outra internet e funciona, aqui na empresa não passa o telnet. Tenho outras regras para outros ip e funciona. Alguma dica? Post mais detalhes da sua config!!!! Coque print de como está montada suas regras. Usa Squid??? Proxy transparente ou autenticado…..e por aí vai!!!

Ai Jorge, Conseguiu resolver a questao do Ping, estou passando por isso agora. Rodrigo

Bom dia Marcelloc! Vou fazer um teste com essa configuração. Obrigado!