@OtSuAf:

Espero ter colaborado!  :)

Colaborou sim. Fixei nos topicos de tutoriais.

https://forum.pfsense.org/index.php?topic=44267.msg229695#msg229695

@danilosv.03:

Utilizo esses range de IP.

Whatsapp

precisei adicionar mais esses dois:

É uma pena o cidr estar disponível apenas para operadoras  :(

Solução para o meu problema:

https://forum.pfsense.org/index.php?topic=110170.msg613445#msg613445

voce tem que bloquear o roteamento de HTTPS via regra de firewall, caso contrário as máquinas vão rotear pelo pfsense e nem vai passar pelo proxy (assumindo que você não use proxy transparente)

acredito que a melhor maneira de você bloquear os sites seria bloquear portas HTTP e HTTP no firewall, assim,só conseguirão acessar utilizando o proxy.

e NO proxy, fazer os bloqueios necessários

seu problema deve ser configuração das portas no switch

por padrão, uma VLAN já conversa com a outra desde que tenha uma rule de firewall liberando o tráfego.

com ROTEAMENTO propriamente dito, não precisa mexer uma vírgula

@brunok:

Se a implementação for básica, firewall e NAT, aguenta tranquilo.

Acredito que um proxy também seja suportado, pois são apenas 20 usuários.

Agora se precisar subir túneis VPN e mais um monte de serviços, talvez não fique tão bom.

Se conseguir deixar uns 4 GB de RAM pra essa VM, vá em frente!  ;)

não  precisa  isso tudo
na matriz, meu pfsense é  virtualizado em hyper-v, tem 3 interfaces de rede física atreladas, 16 VLAN,  5 links WAN, 3 pontas openvpn site-to-site, regras de firewall e bla bla bla os badulaques padrão

a VM tem 10 GB de disco, 1 (UMMM) giga de RAM e 2 cores de processador, e roda perfeito.

uso de CPU médio de 10-15%, memória nunca usou mais de 500-600 mb

edit: ah esqueci, aqui são cerca de 100 usuários diretos, incluindo funcionários, visitantes, clientes, wifi, etc (todos separados)

Basta você configurar seu DNS utilizado pela rede interna e configurar o apontamento do domínio para o IP da LAN.

-Exemplo
siteempresa.com.br -> 192.168.0.2

Pacotes reinstalados e os relatórios voltaram a funcionar.

Concordo com o ROSTON.

Tenho um Full Rebrand do Pfsense (KONTROL-UTM) e uso CLONEZILLA há tempos.  NOTA 10.
Pode usar sem medo de ser feliz.

Abraço

Fabricio Guzzy.

Ou ate via shell através do comando top ou outro que mostre esses dados.

Tive o mesmo problema e consegui resolver usando o Internet Explorer.

@brunok:

Não.

A máquina vai aguentar tranquilamente.

A base não é lida em forma de texto, o próprio pacote gera um index .db, o que torna muito eficiente o processo.

Valeu !

O Mikrotik possui proxy também, você pode fazer tudo através deles.

Esse negócio de centralizar a navegação não é uma boa idéia, pode trazer lentidão para as pontas.

Procure como ativar a criar ACLS no proxy do MK.

@vsaad:

Ao meu ver, suas regras estão certinhas.

Seu squid ta em transparente?

Sim, está transparente.

Olá

Então não cheguei a testar não, porem como eu desabilitei o ssl aqui porque estava dando muito problema vou ver se consigo migrar para o e2guardiam para ver se o SSl dele é melhor que o squid.

Quando fizer os devidos tester retorno aqui, quem já tiver o e2guardian rodando faça o teste por favor.

Obrigado

Só por desencargo:

Quando estiver tentando acessar via web, vá no console shell (op 8) e digita

Tente acessar novamente.

O CentOS 5 está defasado. Eu tive alguns probleminhas com ele.

Tente deixar a configuração um pouco mais básica nas pontas (só nesse período de transição).

Depois que estiver tudo PF, aconselho fazer a VPN IPSEC. Tenho 6 locais integrados site-to-site com IPSEC e nunca precisei dar manutenção neste processo.

Resumindo, depois que eu aprendi a trabalhar com "strongswan" (VPN IPSEC), eu abandonei o OpenVPN.

@douglas:

Este comportamento é normal? É possível contorna-lo?

Sim, é normal. Ele está aplicando as acls.  Mas os 66% de uma cpu, o que dá menos de 25% do total configurado.

O bloqueio era feito via cliente ou interceptação de ssl?

@roxton85:

@brassup:

Boa Tarde
Agradeço qualquer ajuda antecipadamente

Senário: PFSense 2.3.4 64b / Squid / SquidGuard => Autenticacacao no Portal Captive c/ FreeRadius
IP Fixo nas Estacoes, com dns1 = PFSense, DHCP Desativado / Numero de estacoes trabalho = 50
Estava funcionando perfeitamente sem qualquer falha a pelo menos 30 dias

Hoje 50% dos usuários autenticaram sem qualquer erro
os outro 50% não recebe a tela de login do portal Captive
se ficar insistindo, abrindo os 3 navegadores hora conseguia.

Nos logs encontrei um ip de uma estacão com os alertas abaixo.

nginx: 2017/06/21 08:05:34 [error] 52623#100073: *34463 limiting connections by zone "addr", client: 192.168.0.78, server: , request: "GET /images/wetzel.jpg HTTP/1.1", host: "www.SITEXYZ.com.br", referrer: "http://www.SITEXYZ.com.br/"

nginx: 2017/06/21 08:05:34 [error] 52623#100073: *34462 limiting connections by zone "addr", client: 192.168.0.78, server: , request: "GET /images/weg.jpg HTTP/1.1", host: "www.SITEXYZ.com.br", referrer: "http://www.SITEXYZ.com.br/"

nginx: 2017/06/21 08:05:34 [error] 52623#100073: *34461 limiting connections by zone "addr", client: 192.168.0.78, server: , request: "GET /images/ventidelta.jpg HTTP/1.1", host: "www.SITEXYZ.com.br", referrer: "http://www.SITEXYZ.com.br/"

o aviso vai das 7hs as 8hs

pesquisei e encontrei = https://forum.pfsense.org/index.php?topic=108566.0
falando que pode ser uma estacão com falha, ou algum processo que não consegue abrir o portal.

Como contornar?
Preciso aumentar o numero de conexões? onde fica?

Obrigado

nao manjo muito de CP mas pode ser algum problema no servidor web NGINX
http://nginx.org/en/docs/http/ngx_http_limit_conn_module.html

Já tive este problema, resolvi setando o endereço do PFsense no dns dos ap´s