Uma coisa que vi são os seguintes erros o tempo todo nos logs:

Apr 1 14:23:48 lighttpd[26540]: (request.c.1124) POST-request, but content-length missing -> 411
Apr 1 14:23:48 lighttpd[26540]: (request.c.1124) POST-request, but content-length missing -> 411
Apr 1 14:23:48 lighttpd[26540]: (request.c.1124) POST-request, but content-length missing -> 411

e

Apr 1 11:24:31 lighttpd[88774]: (request.c.1112) GET/HEAD with content-length -> 400
Apr 1 11:24:31 lighttpd[88774]: (request.c.1112) GET/HEAD with content-length -> 400
Apr 1 11:25:01 lighttpd[88774]: (request.c.1112) GET/HEAD with content-length -> 400
Apr 1 11:25:01 lighttpd[88774]: (request.c.1112) GET/HEAD with content-length -> 400

Alguém pode me dizer o que estes erros são? dei uma boa pesquisada e não encontrei nada a respeito, o portal esta funcionando normalmente até os momentos em que temos um fluxo de 500 usuários ai ele começa a dar uns problemas de autenticação. Para alguns ele não da redirect após logar e outros ele não abre a tela do login, na maioria das vezes ele funciona bem apenas com esses erros e alguns problemas específicos.

Resolvemos o problema da validação dos usuários, depois eu posto aqui como e se alguém achar interessante podem até fazer um fix ou patch com ela, ficou perfeita agora o Captive checa o user diretamente no servidor Radius antes de enviar o accouting para o Sonicwall, ou seja se o user estiver errado ou não existir ele não continua com o processo de autenticação.

Gostaríamos de deixar isso 100% se alguém conseguir dar alguma dica.

Monitora os bloqueios(diagnostic -> tables) e os alertas do snort para ver se esses sites não estão sendo bloqueados por ele.

@firetxelo:

invalid field name "hosts.tls_conect"

Aparentemente a versão do zabbix que está usando não reconhece esse parametro gravado pela gui do pacote.

Desculpa, mas foi um erro de visualização minha aqui.

A versão está normal, era apenas um aviso sobre nanobsd

Uso PPOE com um provedor que fornece via radio o link e funciona sem problema.

iranrl,

Muito Obrigado Doutor realmente funcionou, olha só que coisa besta mais nada como a ajuda de alguém que tá com a cabeça fria …rs

Mais uma vez muito Obrigado!!!

Abraços

Creio que irá ter que diminuir o tempo, ajuste os campos: Default lease time e Maximum lease time.

@marcelloc:

Para facilitar o cadastramento dos ips do bypass, crie um alias de hosts e vá incluindo o que encontrar nos logs de acesso.

Se o Alias chamar SitesBanco, inclua apenas o nome SitesBanco no Bypass proxy for these destination.

Se estiver usando a interceptação, o alerta do https só vai sumir depois que instalar o certificado da CA nas estações.

Esse tipo de Alias funciona com o "Whitelist" do Squid3 também?

Criou na interface do openvpn em cada lado as regras liberando a comunicação? Por padrao quando habilita o openvpn e ele cria a interface ela nao tem nenhuma regra de firewall liberando….

Olá Iranrl,

Não, as redes ficaram da seguinte forma:

MATRIZ: 192.168.4.0/24

FILIAL: 192.168.8.0/24

Percebi que ao configurar ele reconhece em interfaces placas "adicionais" com o nome de "ovpns", devo ativá-las? Quais seriam os Ips para setar? Deixo as mesmas em DHCP? Obrigado.

Observação: estou utilizando o pfsense versão 2.2.6, devo alterar a versão? Obrigado.

Valew Galera. Vou criar um pagina web, e orientar o próprio usuário a baixar e instalar o certificado por conta própria, concordando com as politicas de segurança da empresa!

estou passando pelo mesmo problema, utilizo o squi3 e squidguard

na aba realtime do squid o acesso para nesse link

https://iecvlist.microsoft.com/ie11blocklist/1401746408/versionlist.xml

@vlcunes:

Pessoal,

Aparentemente o problema foi resolvido. Revisei as configurações do failover e estava faltando alguns detalhes.

Teria como você deixar aqui o link usado(material) para revisar o failover ???

Att,

@Jairo_ecologic:

Pessoal, bom dia!!
Sou novo no pfsense após configurar tudo estou com o seguinte problema:
Se entro com um usuário com acesso liberado ele navega sem problema, aí se entro na mesma máquina com um usuário que só acessa o que determinei tb funciona normalmente, mas após o pfsense bloquer um determinado site, se eu logar com o usuário de acesso irrestrito o site continua bloqueado e só acessa se eu limpar todo o histórico de navegação da máquina!!!
tem algo que eu possa fazer?
Grato.

Amigo,

Quando você realiza as alterações de grupo, você clica em "Apply" no squidguard?

Você está utilizando o cache do squid? Pode ser esse o problema.

Veja esse tópico… https://forum.pfsense.org/index.php?topic=107148.0

Abraços,

Diego

muda o gw na configuração das maquinas que vai usar nos testes até homologar o novo firewall.

Com dois gateways na rede, você cria um roteamento assimétrico onde os pacotes vão e vem pelo mesmo gateway.

Mesmo erro…  :-[

Bom dia.

Se eu coloco o Monitor IP para 8.8.8.8 ele para de funcionar do mesmo jeito.

Esse limite de ICMP se aplica a endereços que não são da NET?

Eu poderia utilizar Packet Loss or High Latency na configuração do Gateway Group?

Qual a configuração recomendada de Latency Tresholds?

Bacana Marcello. Por enquanto o firewall no ambiente virtual está funcionando beleza. Neste sábado irei fazer o procedimento na produção.
Fica a dica para quem precisa migrar os usuários do captive portal para o firewall sem perdê-los.