@santeLLo: A função do WPAD é configuração automática de proxy, não tem ligação com autenticação. Logo, se seu proxy é transparente, não vai precisar distribuir a configuração de proxy nos navegadores. Acrescentando: WPAD é o equivalente é marcar o proxy nos navegadores, isso é "proxy ativo", tem muita gente que chama isso de "autenticado" como santeLLo  mencionou. Ou você vai usar proxy transparente ou ativo, o WPAD é uma das formas de usar "proxy ativo";

@marcelloc: Configure o nat na fase2 do ipsec, não em outbound nat. Marcelo, obrigado pela ajuda, tinha me esquecido deste detalhe. fiz o que você falou. Criei uma nova faze 2 com a rede dos servidores e colocando o VIP da Lan. Valeu!!!

@Gydeon: Eu só quero trocar o processador, no caso então posso trocar sem problemas? Sim.

@brunorrjj: esse é um dos sites https://cav.receita.fazenda.gov.br/eCAC/publico/login.aspx Disse verificar o certificado gerado pelo squid nesse site. Adianto que qualquer certificado gerado pela icpbrasil vai precisar da instalação da cadeia de certificados no fw e na estação para ser valido.

amigo, como está a regra padrão de bloqueio do squidguard? aquela que fica em Commom Acl nela as opções da ShallaList estão em branco ou estão setas como Deny? Abraços, Diego

aqui no meu caso criei duas target categories. Bloqueados e Liberados em group ACL coloquei uma primeira de IPs Liberados.. essa é de quem tem sempre o IP liberado para todos os sites Depois coloquei (em Groups ACL mesmo) a regra WorkTime em segundo. Nela deixei a target de bloqueio como deny e a de liberados como allow no item time dela coloquei a minha regra de horario. Em target rules ficou assim: Target Categories -                Liberados=Allow  Bloqueados=Allow  Default Acces=Allow Target Categories Offline -      Liberados=Allow  Bloqueados=deny  Default Acces=Allow (nao uso shallalist) Como a regra tem uma regra de horario definida, o SquidGuard vai ver em Target Categories como ele vai ler as regras dentro desse horario. Em Target Categories OffLine, ele vai ver como deve ler as regras fora desse horario. Aí ali ponho o deny na target "Bloqueados" Nesse meu caso, coloco regra para o horario de almoço, então, o pessoal tem bloqueio das 08:00 as 12:00. das 12:00 até as 12:59 tem tudo liberado. a partir das 13:00 voltam todos os bloqueios. Testado e aprovado, não tenho problemas com essa regra.

Quando parar deve gerar erros no log, veja em System logs e poste os erros aqui.

@pedrojcj: da pra fazer isso pelo pfsense mesmo ? Sim.

Esse mostra sua tentativa de ping dentro do tunel ipsec. Na minha opinião, ainda falta a outra ponta acertar as rotas do túnel. use o tcpdum sempre com o -n para mostrar somente ips e portas no lugar de hosts.

A principio resolvi o problema. Antes eu instalava o pfsense utilizando um pendrive, e sempre apresentava este tipo de erro. Então resolvi reinstalar utilizando o CDROM, e agora ta tudo perfeito. Desde de já agradeço pela colaboração de todos! Abraços.

Beleza @marcelloc. Obrigado !

o pfsense é o servidor de DHCP? caso a resposta seja sim é só ir em Services: DHCP server e na aba LAN, ir até o final da pagina onde esta escrito DHCP Static Mappings for this interface e fixar um ip para cada endereço MAC. assim o ip ficara vinculado ao MAC e pelo IP vc faz o filtro

Exatamente isso. Dessa forma você não envia ao proxy uma solicitação que você não quer que passe pelo proxy. A outra forma de configurar isso é via script wpad.

Valeu, Funcionou, Obrigado.

mande um print da aba common ACL / target rules da Groups ACL com elas expandidas.

Bom dia Rapaziada Primeiro Post meu Aqui! Depois de muita sofrência faz 4hs que ta funfando aqui! Eu queira esperar até amanhã pra ter certeza! Mas creio que funfou! Squid3 Com filtro de https! E Serviço de NFe Ativo sem por o ip do cliente no Bypass Proxy for These Source IPs. Uma vez que tenho uma Alias para domínios da NFe no Bypass Proxy for These Destination IPs Acrescente esses ips: 200.233.4.136-155 200.233.14.136-155 200.141.128.73 domínios: portalfiscal.inf.br ( Este é bendito pulo do Gato 200.141.128.73 ) Seja Feliz

99% dos provedores tem bloqueios nessa porta. Ainda mais se for ADSL Da uma ligada pra eles e veja se tem liberdade de tráfego nessa porta

Só atualizando o Post, tive que abandonar o Pfsense num dos meus servidores, pois este não permite alterar a TTL. Pesquisei bastante, até o IPTables faz. Torço que esta função esteja disponível num futuro próximo. Mas, continua sendo meu firewall favorito!