@rafamaximo2014:

Então como você separou a banda para alguns e outros!

Criei um grupo de Gateway para uso do FailOver. No caso o Servidor distribui DHCP. Criei um Alias com os hosts que fariam parte deste grupo e na parte de Regras a primeira delas define que todos estes hosts (que estão no alias) saem pelo FailOver - > GVT - Net Secundária e terciária.
Toda vez que rodo meuip.com.br em um destes hosts mostra o IP da GVT. Demais equipamentos mostra da Internet Secundária.

Mas o que eu preciso como te falei acima, e tentar ativar algum log que mostre o uso da banda e o que estou recebendo quando estou navegando, para ter certeza se há ou não algum problema na operadora (e não no PFsense).

Preciso mostrar isso ao meu chefe |o|

tudo implica que ele deverá aumentar a capacidade fisica do equipamento.

Boa tarde a todos!!
Mantive os 2 links de internet na placa de rede Intel PCIe (4 portas) e mudei a LAN para a placa de rede onboard e até o momento o problema foi resolvido (firewall e proxy rodando lisos).
Aparentemente se trata de problema de incompatibilidade com a placa Intel.
Realizarei mais testes.
Obrigado a todos pela ajuda!!

@marcellaino:

Pessoal,

estou atualizando o meu pfsense de 2.1.5 para 2.4.2, subi um novo pfsense e restaurei o bkp. tudo funcionou perfeitamente inclusive squid e squidguard.

Porem tenho uma vpn ipsec no 2.1.5 conectada com mikrotik, essa vpn nao conectou no 2.4.2 . Alguem tem alguma documentação do que precisa alterar para o IPSEC funcionar ou se devo alterar para openvpn ?

gostaria de recomendacao, documentacao do que seguir.. eu nao entendo e nem administro o mikrotik.

Qual erro ? Poste!

@welrbraga:

Salve todos,

Tenho um pfSense 2.4.2 rodando beleza há alguns meses com vários NATs 1:1 traduzindo os IPs internos dos meus servidores para um IP válido no meu range "/24" e todos os demais clientes saindo pelo "WAN address" do firewall.

Essa estrutura foi herdada do meu velho firewall Linux+iptables quando eu só tinha uma rede interna e nunca foi problema já que só tinha uma rede interna, agora minha rede está segmentada e eu gostaria que cada segmento (rede_rh, rede_diretor, rede_contab e rede_ti) tivessem seus próprios NATs, ao invés de todos traduzirem para o Ip do firewall.

Nos testes que fiz, eu criei um NAT 1:1 (assim como feito para os servidores) mas ao invés das máquinas de cada segmento saírem com o único IP fornecido, elas saem cada uma com um IP do meu range válido. Eu já procurei tanto no Google quanto nos posts que fazem menção a NAT aqui no fórum e não encontrei nada que funcione.

A dúvida então é como eu faço para cada segmento de rede traduzir para um único IP válido?

Grato.

Fera, é fácil. É só utilizar o " Firewall > NAT > Outbound "

Att.

Já coloquei esse link vivo_fibra 5mg na Matrix porém na filial (o link é 5mg full da Veloo, que usa a plataforma da vivo) estou tendo problemas
para subir o link, mesmo eu configurando "Vlan tag 10", na quarta feira vou até a filial que fica longe de onde eu moro para resolver o problema desse link e fechar a OpenVPN, e te digo se tudo deu certo.

desde já muito obrigado.

Depois de muitas tentativas e pesquisa consegui encontrar a solução deste problema.
Muitos e muitos sites e nenhum resultado.
Porém em um site Americano achei a solução, segui o passo a passo e graças ao Gringo ficou Show, rodando liso tudo certinho NLB, e qualquer coisa que eu acrescente como regra para minha VPN ou qualquer NLB de qualquer ponta.

Para obter o Windows NLB (MultiCast) com PFSENSE, adicione este parametro no Menu:

SYSTEM>
            ADVANCED>
                            SYSTEM TUNABLES >
                                                          NEW >

Tunable:        net.link.ether.inet.allow_multicast
            Value:            1
            Description:    Microsoft NLB

E reinie o PFSENSE, após ping o endereço IP NLB.

Abraço a todos e espero ter ajudado alguém que parou com o PFSENSE ou que está passando por esta dificuldade.
Agradeço a ajuda dos que se dedicaram a colaborar com esta duvida.

@brunorrjj:

Prezados, Bom Dia!

Estou com problema para liberar o App do Itau.

uso proxy transparente e ja foi colocado no Bypass Proxy for These Destination IPs o site do itau e nada.

Desativei o squiGuard para validar se o bloqueio estaria sendo feito por lá e para minha surpresa nao era.

O squid que esta bloqueando.

Como foi identificado por vc, sendo que foi o squid que bloqueou, então coloque o domínio itau.com.br e tbm adicione
os IP ou URL que o squid bloqueou, coloque tudo na ACL do Withlist do Squid.

Depois nos retorne se deu certo.

Bom dia pessoal!

Resolvi o problema da seguinte forma, mantive a regra NAT da porta FTP 21 que mostrei na print e criei mais uma com o range de portas configurado no servidor FTP FileZilla, e adicionei o meu IP externo (fixo) na tela de configurações do modo passivo no FileZilla, segue imagem:

Espero que ajude outros com o mesmo problema!

Abraço!

Funcionando aqui, obrigado !

@Marcos:

Eu já tenho o zabbix monitorando meu pfsense porém a minha dificuldade é com os templates os que eu encontrei são apenas para as versões 2.1 e 2.6, não funcionam tão bem na versão 2.4.1

Marcos,
Acredito que neste caso não seja um tópico para um forum de pfsense, recomendo a procurar em um forum destinado a zabbix que o pessoal irá te auxiliar melhor em um template pronto para pfsense.

Eu particularmente personalizei o meu com as informações que queria usando user parameter.

Recomendo também a utilização deste script abaixo junto com o passo a passo para fazer o monitoramento dos seus links, com auto discovery.

https://github.com/lndgoncalves/zabbix-pfsense-gateway

Oi Marcello,

Putz, agora vendo sua resposta, é obvio - ficamos focados no problema, que nem pra pensar se realmente to no lugar certo (no caso o squid me ferro a rede - ai to tentando achar onde to errando ) ai achei que era ele que tava bloqueando > sem or.

Valeu.

Usem sempre o tcpdump na console para resolver essas questões, em poucos testes você consegue ver exatamente o trafego está parando.

@calijurio:

o que faço?

Monitora via tcpdump e/ou nos logs do squid para ver que conexões o celular está fazendo sem ter resposta ou recebendo um deny.

Já olhou os logs do firewall se esse ip não está atribuido  a outra máquina.

Altera a mascara do limite de banda de 5mb que criou para source address.

Desta forma, cada ip de origem terá 5mb de banda.

Na regra do firewall, não precisa de alias se for aplicar para a o lan net toda por exemplo.

Use sempre o tcpdump para verificar problemas de conectividade

Ouça a interface wan e lan na porta que fez o nat. Dessa forma você pode ver o trafego chegando(ou não) do modem/internet para o pfSense e se quando o pacote chega se ele sai pela lan para conectar no servidor sql.

Se o pacote chega na wan e é enviado pela lan para o seu servidor, significa que seu windows está bloqueando o acesso quando o ip não é local.