Quando coloco transparente não consigo colocar ele autenticado. No squid normal sem o pfsense tem como fazer com o kerberus. existe uma forma de fazer no pfsense assim?

Fala Flávio, tudo certo !? Como nosso colega chipbr já questionou acima, precisaríamos de maiores informações para poder ajudá-lo de forma mais direta. Aconselho você a assistir este vídeo, é um passo a passo bem objetivo e, acredito que irá sanar parte de suas dúvidas. http://professor.prochnow.com.br/artigo/bloqueando-sites-https-ssl-com-proxy-transparente-no-pfsense Att,

Monitora via tcpdump para ver se os pacotes 53 udp e tcp estão voltando ou só saindo.

Sim, você DEVE utilizar o DNS do AD nas máquinas. Isso é basico de configuração do AD. o seu "problema" deve ser o pfsense entregando outro DNS via DHCP para as máquinas

Parece que o problema é realmente no MAC clone Está virtualizado? Já peguei casos com VMWARE e Hyper-V onde tinha que clonar diretamente no virtualizador

Você tem essas linhas dentro do form na página de autenticação do Captive Portal?

É possível ter 2hdcp na mesma rede desde que entreguem ips em ranges diferentes da mesma faixa ou que tenham configuração de sincronismo entre eles. Em versões anteriores, essa sincronia do dhcp gerava alguns problemas de entrega de ip, não sei como está na 2.4

Tranquilidade, desde que seu switch seja gerenciável. Aí vc cria VLANS e isola as LANs dos seus pfsenses. Se não for gerenciável ou vc não quiser utilizar VLANs dá certo também, mas não é uma prática recomendada.

Configura o Captive Portal com autenticação local, por exemplo. Configura pra zona funcionar com a LAN. Depois, no Squid, marca pra ele trabalhar com esta LAN, em modo transparente, por exemplo. E, na aba de autenticação do squid, marca a opção Captive Portal Auth.

@flaviolima: Então Pradox, eu posso então passa a parte que ele pede para configurar logo no inicio e configurar ai né isso? Se for entendir. Mas a questão de saber qual a placa de rede que vou colocar como wan ou lan que eu não sei o mac da placa de rede no chipset dela vem bem pequeno. Normalmente a primeira placa que o pfsense pede para configurar é a WAN e em seguida a LAN. Não tem erro!! Caso vc configurou ao contrário, é só inverter os cabos na placas!! MASSSSS se realmente a configuração exija a placa correta, é só reconfigurar com a opção 01.

Só acrescentando os amigos acima, Checa as configurações de TCP/IP da interface de rede do servidor, se tiver faltando um Gateway pode ser motivo de não voltar tambem, teve uma vez q o gateway "sumiu" após atualizar o driver no windows 2012. Checa tambem o firewall local do windows se por acaso não tem um permissionamento somente para rede local e vc ta vindo com IP de tunnel. Vc consegue pingar? Vc ta indo pelo IP ou pelo DNS do server? Resolve nome?

Com certeza da conflito, loop na rede e etc. Qual a configuração quer fazer? Link agregation ? Vlan?

@dgnonline: in file pkgdb_iterator.c:396: disk I/O error Assertion failed: (p != NULL), O ponto importante da mensagem de erro é esse disk I/O error Erro de I/O no disco.

@mmartins: Alguém me consegue ajudar. Configurei o Squid + Squidguard com autenticação local, com bloqueio de sites por conteúdo. Mas preciso também que esta autenticação expire depois de algum tempo, alguém sabe se é possível e como fazer ? Melhor usar a autenticação integrada do captive portal que tem disponível no squid. E no captive portal, escolha a autenticação local.

@marcelloc: Essa é a minha principal motivação para trazer o e2guardian para o pfSense. Se tiver feito uma boa pesquisa, vai ver que o squid tem alguns "bugs" com a interceptação de trafego a um bom tempo. De qualquer forma, no squid, a opção 'splice all' é a mais indicada para ambientes onde você não pode instalar o certificado nas maquinas. Na parte de cima do fórum, tem vários tópicos fixados com uma infinidade de tutoriais. Já li seu tópico do e2guardian parabéns por estar trazendo esta solução pro pfsense ainda não o testei mas perece ser muito bom, esse final de semana vou testá-lo na em casa em minha rede virtual, realmente o squid apresenta alguns bugs com a interceptação de trafego, se ocorrer tudo bem com o e2guardian quem sabe coloco ele para funcionar aqui na empresa.

@davibo: Boa tarde a todos, venho solicitar uma ajuda já que estou queimando neurônios e não encontro solução. Tenho 2 unidades na empresa onde trabalho com firewall pfsense nos 2 lados, vamos chamar de unidade A e unidade B. Estou fechando um túnel de VPN IPSEC para comunicação entre as redes de cada unidade, na unidade A tenho uma rede única 192.168.0.0/24 porém na unidade B tenho duas redes separadas por interfaces diferentes 192.168.111.0/24 e 192.168.112.0/24. Bom ao fazer a configuração do túnel de VPN IPSEC correu tudo bem, porém na quinta-feira houve a queda na Phase2 que interliga as redes 192.168.0.0/24 (unidade A) e 192.168.111.0/24 (unidade B) e desde então não reconecta mais. Na unidade A tenho o Pfsense 2.4.2 e na unidade B 2.3.4 Após verificar tudo no firewall percebi que no status do túnel IPSEC no menu SPDs na unidade B não aparece a rede de origem e destino especificadas, alguém saberia me apontar o que pode estar causando esse problema? Como a unidade B fica em outro estado não tenho facilidade para fazer reboot nem instalar versão atualizada por isso gostaria de uma solução que não englobasse atualizar versão ou fazer reboot. Obrigado desde já. Bom dia fera. Muito legal… vamos lá! 1)  Vá na configuração do seu ipsec e aumente o log para mais "verbosidade"; 2)  Abra o status de serviço e reinicie o serviço do ipsec; 3)  em status de log, olhe o que houve na saída da vpn e fases; 4)  após isso, garanta que as regras das interfaces estão ok; 5)  verifique também o nat de saída dos pacotes, assim como o de entrada para escuta 500/udp, 4500/udp e ESP. Para ajudar, segue o manual para VPN: https://doc.pfsense.org/index.php/VPN_Capability_IPsec e https://doc.pfsense.org/index.php/Routing_internet_traffic_through_a_site-to-site_IPsec_tunnel

@marcelloc: @germinoskull: No e2guardian há alguma configuração para sempre forçar a validação do squid e logo após aplicar a regras? Não conheço, só sei que os plugins de autenticação do e2guardian fazem o meio de campo entre a estação e a autenticação do squid. Consegui… O Grupo default não pode ter a opção Filter ssl sites forging SSL Certificates selecionada. Sendo assim, deixei habilitado em todos os outros grupos.

@Leite: Não teria outra forma? Tem uns documentos na internet pra forçar o youtube em http, pode ser uma alternativa. @Leite: Pois fazendo inspeção SSL comprometeria o desempenho do server Depois faz um lab com o e2guardian. A performance dele é impressionante.

Estava utilizando o Snort como IDS/IPS e achei que fosse ele que estive bloqueando a geração do pdf. Mas já desabilitei ele e limpei a lista de alerts e blocks mas não resolveu. No Squid coloquei o site na whitelist e no firewall liberei a porta que o sistema usa. Preciso fazer mais alguma configuração? Obrigado.

@ricardo.duarte: @josimarsis: Boa tarde Pessoal, Atualizei meu pfSense da versão 2.1.4 para a versão 2.3.2, e depois da atualização não consigo mais fazer NAT do meu IP público para o IP privado do servidor FTP e também não consigo mais acessar nenhum FTP externo. Estou a mais de uma semana pesquisando tanto no fórum quanto no Google ainda não consegui resolver o problema. Vi na documentação do pfSense que a versão 2.3.2 não possui mais recursos nativos para acesso a FTP, vi também em vários posts que para resolver o problema basta instalar o pacote FTP Client Proxy, porém não funcionou. Já fiz todo tipo de liberação no firewall das portas 20,21 do range de portas passivas padrão do Filezilla e também não funcionou, inclusive já tentei limitar as portas passivas do Filezilla da 5000 até a 5050 e nada. Já não sei mais o que fazer. Conto ajuda de vocês. Se não resolver isso vou ter que voltar para a versão que estava utilizando. Josimarsis Por acaso você chegou a fazer uma regra NAT apontando o IP Interno do Seu Servidor FTP para o protocolo 21? Eu utilizo a versão nova aqui no Serviço e  funciona dessa forma… Não sei se irá lhe ajudar, Mas aqui utilizo dessa forma, até para TS Externo. Boa noite pessoal, Ricardo para min funcionou dessa forma apontando uma porta alta externa e redirecionando para o ip interno do ftp na porta 21, só achei esquisito que quando eu seto a porta 21 externa para redirecionar para o firewall internamente ele não aceita, mais colocando uma porta alta como por exemplo a sua 3010 aceitou tranquilamente, alguém mais passou por esse problema e encontrou alguma solução queria deixar como padrão a porta 21 para que quem fosse acessar utilizando o protocolo ftp não necessitasse adicionar a porta.