Se o appliance tiver ipsec, não vejo problema. Mas por que não outro pfSense na ponta?

Tô na lista também  :)

@x-ecuter:

COMPATÍVEL

Pfsense 2.2X

Placa-mãe com CPU integrada e 4 x Gigabit Intel:

Jetway NF9HG-2930
Intel Celeron N2930 1.83 - 2.16 GHz Quad Core Processor
4x Intel i211AT Gigabit LAN; Supports 1x Mini PCI-E (half length)

Coloquei um cooler por segurança, está com um 4 GB RAM e SSD m-sata de 60 GB rodando bem a seis meses. A placa mãe possui ainda um mini-PCIexpress que permitiria a instalação de uma placa Wifi e o gabinete possui saída para antenas, mas não vale a pena para o meu uso.

Foto do gabinete mini-ITX aberto.

Foto do gabinete fechado.

Update desse post aqui.

Rodando bem o 2.4.2-RELEASE-p1 assim como todas as versões anteriores.

Ainda em 2015 eu removi aquele cooler grande da foto, e posteriormente adicionei mais 4 GB de RAM e uma placa atheros wifi que nunca utilizei, por curiosidade, essa semana eu a habilitei e está funcionando. A temperatura da CPU fica estável na entre 68-72 graus, parece alta mas a temperatura máxima permitida na matriz desse processador é de 100C, mesmo com o cooler a diferença era pequena e essa placa é da linha industrial e foi feita para operar em ambientes com temperatura até 60 graus.

É uma pena que a partir do proximo major release somente cpus com AES-NI serão suportadas e por isso já fiz testes rodando o OPNSense, Utangle, Sophos UTM e ClearOS e todos funcionaram bem nesse hardware.

Pode fazer um regra de DNS apontando para o IP interno mudar o NAT para NAT Reflection.

Cansado de mexer no ambiente em produção para descobrir o problema e por vezes derrubando todas as conexões resolvi construir um laboratório de maquinas/redes virtuais e segui este tutorial criando um ambiente do zero.

https://forum.pfsense.org/index.php?topic=144212.0

E consegui conectividade entre si entre todos os hosts pfsense também entre hosts pfense e os servidores localizados na matriz.

Com este resultado fui no ambiente de produção e criei um novo openvpn server em porta diferente e comecei a migrar as filiais da antiga configuração para novo com sucesso.

O link acima é muito prático e produz muito pouca configuração nos clientes, controlando quase tudo pela configuração.

Obrigado aos amigos que tentaram ajudar.

Agora vou poder descansar a cabeça, 8) 8) 8) 8), pois faz mais de 7 dias que nao pensava em outra coisa.

Trabalho com ambos e nunca tive esse problema.

Então, estou com pfsense com proxy desativado.

Ai estou tentando descobrir o que ta errado, porque nao posso ativar e ficar lento como tava, povo quer meu coro .. kkkkk

Rodrigo

erro de camada 4. você criou as regras para ambas se comunicarem?

Dê uma olhada em sua timezone em General Setup.

@mottinha:

Olá pessoal! Estou usando pfSense a menos de um ano, e já sabem, muito show!
Seguinte, estou com dúvidas referente a fontes para pesquisar sobre o assunto que vou relatar abaixo:

Possuo um cliente que tem uma "VPN" instalada pela operadora de internet contratada.
A "VPN" pelo que analisei não roda em túnel de protocolo, não possui criptografia e tal.
Essa rede "VPN" faz ligação de 3 prédios aqui na cidade, gerando 3 faixas de ip, (ex. 10.0.0.0/24, 10.1.1.0/24 e 10.2.2.0/24) através de routers com mikrotik.
E cada rede possui seus devidos gateway.
Isso tudo foi montado em cima de rotas? certo?
Minha tarefa é substituir estes mikrotiks e colocar servidores firewal com pfsense. Um firewall em cada prédio sem afetar essa "VPN".
Vou ter que trabalhar em cima de rotas, correto?
Preciso indicações de material pra mim me orientar, pois não sei exatamente como pesquisar referente este assunto se é rotas ou vpn.

Com o pfSense eu costumo utilizar em minhas VPNs sempre o OpenVPN… ele é fácil e 100% funcional.

Basicamente vc vai trabalhar da seguinte forma.

1 pfSense em modo Servidor - Matriz, e os outros
2 pfSense em modo Cliente - Filias.

Então primeiro vc vai construir o Matriz, só após montar a Matriz, ai sim vc vai dar continuidade no Filiais (Clientes).

Da para trabalhar na mesma faixa de IPs que os mikrotik ja utilizam.

@strevisol:

Boa tarde;

Estou com dificuldades (na verdade um cliente) em implementar um túnel IPSEC, pois o cliente alega que o equipamento dele não é capaz de processar um NAT/BINAT translation e da origem (eu) é preciso traduzir a rede, pois a mesma já é utilizada em outro cliente. O cliente, cujo equipamento é um Juniper SRX 240 diz que não pode executar esta operação do lado dele.

Ao que achei em pesquisas seria possível sim, mas gostaria de ouvir alguem com mais experiência que eu!

minha rede = 192.168.1.0/24
rede do cliente = 10.1.4.8/32

Agradeço quem puder me ajudar!

Fala strevisol.

Sim funciona.
Sua fase 1 da vpn, já está fechando ?

Att.

@ironlion:

No caso do proxy autenticado, consigo criar um grupo e todos os logins que estiverem nesse grupo tenham uma regra de limite (independente de ip)?

Não!!!

Me parece que você esta um tanto desatualizado destas informações. As listas em questão foram abandonadas pelo proprietário que cuidava disto. Hoje além de shalalist temos esta solução mas que infelizmente é paga e gerenciada pelo sr. Benjamin E. Nichols.  http://www.squidblacklist.org/

@hyoka:

Bom dia a todos,
Acompanho o fórum a algum tempo e agradeço a quem conseguir me ajudar.

Utilizava a versão 2.2.6 porém minha placa mãe queimou e resolvi atualizar para a versão 2.4.2 no novo pc. Fiz a restauração porém, o squid não inicia. Alguém saberia o que pode ser?

Tentei começar do zero, utilizava proxy autenticado, porém não era necessário fazer login no navegador, eu setava as configurações de proxy para as máquinas via gpo, tentei fazer novamente esta configuração, mas como montei a máquina a uns 3 anos, não me recordo,  caso alguém possa me indicar um tutorial, agradeço também.

Obrigado.

A questão do Squid não querer iniciar não tem haver com o AD, a interação do AD com o pfSense é somente para criação de usuários do Proxy.
Na tela de serviços do pfSense o Squid não fica 'verdinho' ?

@Rodrigo:

pskinfra, muito obrigado pela resposta.

easyrule pass wan tcp 1.2.3.4 192.168.0.4 80

easyrule pass <interface><protocol><source ip=""> <destination ip="">[destination port]

por favor, voce poderia me informar o que seria <source ip=""> > no exemplo é 1.2.3.4 > seria um IP, nao entendi essa parte.

Grato
Rodrigo</destination></protocol></interface>

ip de origem fera  8)

Sim Danilo, o cenário é o seguinte:

Atualizei o pfSense para a versão 2.4.2 (o caso não envolve restauração de backup, somente atualização).

Tenho mapeamentos estáticos no DHCP Server, sendo que quando edito eles ou crio um novo funciona normalmente, o dispositivo comunica-se, fica o registro na tabela arp, certinho. Porém, nos logs do pfSense, aparece a mensagem que descrevi no início do tópico. Um caso semelhante pode ser visto no seguinte link:

https://forum.pfsense.org/index.php?topic=137015.0

PS: Um detalhe é que na atualização apareceu uma mensagem informando "Major OS version upgrade detected. Running "pkg-static install -f pkg" recommended". Não executei o comando pois não sei quais as implicações e, visto que o ambiente está funcional, informando estar na última versão, decidi por hora não executar o comando.

Bom dia Pessoal,
Ainda não deu certo, alguém já passou por isso ?

atc,

habilitei Enable the FTP Proxy.

debug.pfftpproxy 0
debug.pfftpports 21

mas sem sucesso

Posso fazer p vc amigo.

Att,

Boa tarde!

Edita o tópico e marca como [RESOLVIDO].  :)