ta resolvido galera. pode fechar o topico. muito obrigado :D

@marcelloc: Faça um teste sem autenticação e com o cache=null para ver se dá alguma diferença. Então, fiz melhor, montei 2 ambientes, com a versão 2.2.5 e 2.2.6, apenas instalei o pfsense, configurei e posteriormente instalei o pacote squid em ambos, por incrível que parece o mesmo problema apareceu em ambos ambientes de teste, tipo, se não passar pelo proxy as taxas de downloads ficam maravilhosas, passando pelo proxy, a navegação dos usuários fica muito boa, porém a taxa de download cai em sua qualidade bastante. Ambos com CACHE NULL e sem autenticação NTLM. Em meu ambiente tenho um switch CORE HP 7502, achei em determinado momento que poderia ser alguma configuração dele, porém o problema só acontece quando passa pelo squid. Obrigado pela resposta Marcelloc

Bom dia Milton. Obrigado, vou testar e aviso. Abraço

Bom dia Diego, Obrigado pelo post. Sim, analisei os logs, e efetuei o bloqueio dos endereços pertinentes. O problema é que se tiver algum dos endereços bloqueados no HTML da página do Facebook, quando ele vai carregando, ele manda pra tela de bloqueio. Teria que ter um jeito do SquidGuard apenas não deixar carregar o conteúdo bloqueado, sem redirecionar. Alguém sabe se isso é possível com o SquidGuard? Obrigado!

@lsori@no: preciso saber se a configuração do firewall está adequada para esse ambiente (ao qual estou testando dentro de uma máquina virtual com um ubuntu versão 14) O pfSense interpreta suas regras de cima para baixo e sua primeira regra já rejeita qualquer acesso. Pesquise mais sobre o ftp. A porta 20 não funciona no mesmo sentido de conexão que a porta 21. Já adiantando, sugiro instalar o pacote de proxy de ftp.

Bom posso esta enganado mas tive um problema na hora de baixar os pacotes do pfSense com várias WANS, quando a Default fica offline… Pra resolver simplesmente ativei a opção "Enable default gateway switching" que fica em System/Advanced/Miscellaneous, pode ser que resolva seu problema com acesso externo... Mas como o Marcello disse: @marcelloc: O acesso a GUI do pfsense externamente(apesar de pouco recomendado) não depende de nat. Fica a Dica!!!

Uma coisa que vi são os seguintes erros o tempo todo nos logs: Apr 1 14:23:48 lighttpd[26540]: (request.c.1124) POST-request, but content-length missing -> 411 Apr 1 14:23:48 lighttpd[26540]: (request.c.1124) POST-request, but content-length missing -> 411 Apr 1 14:23:48 lighttpd[26540]: (request.c.1124) POST-request, but content-length missing -> 411 e Apr 1 11:24:31 lighttpd[88774]: (request.c.1112) GET/HEAD with content-length -> 400 Apr 1 11:24:31 lighttpd[88774]: (request.c.1112) GET/HEAD with content-length -> 400 Apr 1 11:25:01 lighttpd[88774]: (request.c.1112) GET/HEAD with content-length -> 400 Apr 1 11:25:01 lighttpd[88774]: (request.c.1112) GET/HEAD with content-length -> 400 Alguém pode me dizer o que estes erros são? dei uma boa pesquisada e não encontrei nada a respeito, o portal esta funcionando normalmente até os momentos em que temos um fluxo de 500 usuários ai ele começa a dar uns problemas de autenticação. Para alguns ele não da redirect após logar e outros ele não abre a tela do login, na maioria das vezes ele funciona bem apenas com esses erros e alguns problemas específicos. Resolvemos o problema da validação dos usuários, depois eu posto aqui como e se alguém achar interessante podem até fazer um fix ou patch com ela, ficou perfeita agora o Captive checa o user diretamente no servidor Radius antes de enviar o accouting para o Sonicwall, ou seja se o user estiver errado ou não existir ele não continua com o processo de autenticação. Gostaríamos de deixar isso 100% se alguém conseguir dar alguma dica.

Monitora os bloqueios(diagnostic -> tables) e os alertas do snort para ver se esses sites não estão sendo bloqueados por ele.

@firetxelo: invalid field name "hosts.tls_conect" Aparentemente a versão do zabbix que está usando não reconhece esse parametro gravado pela gui do pacote.

Desculpa, mas foi um erro de visualização minha aqui. A versão está normal, era apenas um aviso sobre nanobsd

Uso PPOE com um provedor que fornece via radio o link e funciona sem problema.

iranrl, Muito Obrigado Doutor realmente funcionou, olha só que coisa besta mais nada como a ajuda de alguém que tá com a cabeça fria …rs Mais uma vez muito Obrigado!!! Abraços

Creio que irá ter que diminuir o tempo, ajuste os campos: Default lease time e Maximum lease time.

@marcelloc: Para facilitar o cadastramento dos ips do bypass, crie um alias de hosts e vá incluindo o que encontrar nos logs de acesso. Se o Alias chamar SitesBanco, inclua apenas o nome SitesBanco no Bypass proxy for these destination. Se estiver usando a interceptação, o alerta do https só vai sumir depois que instalar o certificado da CA nas estações. Esse tipo de Alias funciona com o "Whitelist" do Squid3 também?

Criou na interface do openvpn em cada lado as regras liberando a comunicação? Por padrao quando habilita o openvpn e ele cria a interface ela nao tem nenhuma regra de firewall liberando….

Olá Iranrl, Não, as redes ficaram da seguinte forma: MATRIZ: 192.168.4.0/24 FILIAL: 192.168.8.0/24 Percebi que ao configurar ele reconhece em interfaces placas "adicionais" com o nome de "ovpns", devo ativá-las? Quais seriam os Ips para setar? Deixo as mesmas em DHCP? Obrigado. Observação: estou utilizando o pfsense versão 2.2.6, devo alterar a versão? Obrigado.

Valew Galera. Vou criar um pagina web, e orientar o próprio usuário a baixar e instalar o certificado por conta própria, concordando com as politicas de segurança da empresa!

estou passando pelo mesmo problema, utilizo o squi3 e squidguard na aba realtime do squid o acesso para nesse link https://iecvlist.microsoft.com/ie11blocklist/1401746408/versionlist.xml