@mottinha: Olá pessoal! Estou usando pfSense a menos de um ano, e já sabem, muito show! Seguinte, estou com dúvidas referente a fontes para pesquisar sobre o assunto que vou relatar abaixo: Possuo um cliente que tem uma "VPN" instalada pela operadora de internet contratada. A "VPN" pelo que analisei não roda em túnel de protocolo, não possui criptografia e tal. Essa rede "VPN" faz ligação de 3 prédios aqui na cidade, gerando 3 faixas de ip, (ex. 10.0.0.0/24, 10.1.1.0/24 e 10.2.2.0/24) através de routers com mikrotik. E cada rede possui seus devidos gateway. Isso tudo foi montado em cima de rotas? certo? Minha tarefa é substituir estes mikrotiks e colocar servidores firewal com pfsense. Um firewall em cada prédio sem afetar essa "VPN". Vou ter que trabalhar em cima de rotas, correto? Preciso indicações de material pra mim me orientar, pois não sei exatamente como pesquisar referente este assunto se é rotas ou vpn. Com o pfSense eu costumo utilizar em minhas VPNs sempre o OpenVPN… ele é fácil e 100% funcional. Basicamente vc vai trabalhar da seguinte forma. 1 pfSense em modo Servidor - Matriz, e os outros 2 pfSense em modo Cliente - Filias. Então primeiro vc vai construir o Matriz, só após montar a Matriz, ai sim vc vai dar continuidade no Filiais (Clientes). Da para trabalhar na mesma faixa de IPs que os mikrotik ja utilizam.

@strevisol: Boa tarde; Estou com dificuldades (na verdade um cliente) em implementar um túnel IPSEC, pois o cliente alega que o equipamento dele não é capaz de processar um NAT/BINAT translation e da origem (eu) é preciso traduzir a rede, pois a mesma já é utilizada em outro cliente. O cliente, cujo equipamento é um Juniper SRX 240 diz que não pode executar esta operação do lado dele. Ao que achei em pesquisas seria possível sim, mas gostaria de ouvir alguem com mais experiência que eu! minha rede = 192.168.1.0/24 rede do cliente = 10.1.4.8/32 Agradeço quem puder me ajudar! Fala strevisol. Sim funciona. Sua fase 1 da vpn, já está fechando ? Att.

@ironlion: No caso do proxy autenticado, consigo criar um grupo e todos os logins que estiverem nesse grupo tenham uma regra de limite (independente de ip)? Não!!!

Me parece que você esta um tanto desatualizado destas informações. As listas em questão foram abandonadas pelo proprietário que cuidava disto. Hoje além de shalalist temos esta solução mas que infelizmente é paga e gerenciada pelo sr. Benjamin E. Nichols.  http://www.squidblacklist.org/

@hyoka: Bom dia a todos, Acompanho o fórum a algum tempo e agradeço a quem conseguir me ajudar. Utilizava a versão 2.2.6 porém minha placa mãe queimou e resolvi atualizar para a versão 2.4.2 no novo pc. Fiz a restauração porém, o squid não inicia. Alguém saberia o que pode ser? Tentei começar do zero, utilizava proxy autenticado, porém não era necessário fazer login no navegador, eu setava as configurações de proxy para as máquinas via gpo, tentei fazer novamente esta configuração, mas como montei a máquina a uns 3 anos, não me recordo,  caso alguém possa me indicar um tutorial, agradeço também. Obrigado. A questão do Squid não querer iniciar não tem haver com o AD, a interação do AD com o pfSense é somente para criação de usuários do Proxy. Na tela de serviços do pfSense o Squid não fica 'verdinho' ?

@Rodrigo: pskinfra, muito obrigado pela resposta. easyrule pass wan tcp 1.2.3.4 192.168.0.4 80 easyrule pass <interface><protocol><source ip=""> <destination ip="">[destination port] por favor, voce poderia me informar o que seria <source ip=""> > no exemplo é 1.2.3.4 > seria um IP, nao entendi essa parte. Grato Rodrigo</destination></protocol></interface> ip de origem fera  8)

Sim Danilo, o cenário é o seguinte: Atualizei o pfSense para a versão 2.4.2 (o caso não envolve restauração de backup, somente atualização). Tenho mapeamentos estáticos no DHCP Server, sendo que quando edito eles ou crio um novo funciona normalmente, o dispositivo comunica-se, fica o registro na tabela arp, certinho. Porém, nos logs do pfSense, aparece a mensagem que descrevi no início do tópico. Um caso semelhante pode ser visto no seguinte link: https://forum.pfsense.org/index.php?topic=137015.0 PS: Um detalhe é que na atualização apareceu uma mensagem informando "Major OS version upgrade detected. Running "pkg-static install -f pkg" recommended". Não executei o comando pois não sei quais as implicações e, visto que o ambiente está funcional, informando estar na última versão, decidi por hora não executar o comando.

Bom dia Pessoal, Ainda não deu certo, alguém já passou por isso ? atc,

habilitei Enable the FTP Proxy. debug.pfftpproxy 0 debug.pfftpports 21 mas sem sucesso

Posso fazer p vc amigo. Att,

Boa tarde! Edita o tópico e marca como [RESOLVIDO].  :)

@jao_mezari: Até onde sei, a página de redirecionamento para HTTPS só funciona quando é utilizado o proxy com os certificados instalados (Man in the Middle) No caso, não é o redirecionamento de paginas em https… que é meu problema. Hoje para a acessar meu painel do pfSense eu utilizo **https://**192.168.0.1:9090 Que remover o protocolo https e deixar somente assim **http://**192.168.0.1:9090 - porém quando eu mudo o protocolo, o squidguard não consegue mais redirecionar páginas bloqueadas para o sgerror.php Fazendo alguns teste, eu percebi que quando eu removo a porta 9090 do endereço do meu pfSense o squidguard consegue redirecionar perfeitamente, mas particularmente eu não gosto de deixar o acesso ao pfSense sem porta especifica. Eu já vi pfsense funcionado no protocolo http com porta especifica, mas ainda não achei o pulo do 'gato'.

Atualiza ele que possivelmente irá resolver.

Seria possível personalizar o endereço da pagina de Login do Captive Portal, pois muitas vezes a pagina não abre , e o usuário fica perdido. Com certeza. Pode ser feita em varias linguagens de programação voltadas para webdevelopment! Ao invés de digitarmos (http://IP SERVIDOR:Porta),  utilizarmos um endereço personalizado , exemplo: http://login.captiveportal.dom Isso já depende das configurações de dns que você possui. Dá uma pesquisada sobre "fqdn dns configuration". Uma rapida busca no google.

Pessoal, apenas para dar um feedback. Realmente os IPS que a operadora tinha me passado estavam errados. E errei também ao setar o IP da LAN em vez dos IPS válidos para uso. Enfim, quero agradecer primeiramente ao pskinfra pela ajuda e também ao andrezaomac. Gratidão de coração pessoal. Grade abraço.

@emerson2703: Pessoal, estou com uma dificuldade em acesso a consulta de CNPJ pela receita federal, quando passo pelo squid com proxy autenticado, hora vai e hora não vai, quando libero o ip no firewall para não passar pelo proxy, acesso normalmente o que pode ser? Limpe o Cache do Squid.

Você deve adicionar uma nova "fase 2" para as redes de origem e destino no seu túnel de fase 1!  ;) 8) Att,

Conforme solicitado segue as comparações.      

@bornado: Amigo boa noite, conseguiu resolver o problema? Olá, Eu só consegui resolver após alterar meu modem para modo bridge. No modo padrão, não consegui de forma alguma. Abraço!