@LFCavalcanti: @tacioandrade: @ale: O startssl é 1 ano a validade do certificado gratuito, ou seja, a cada ano tem que renovar o certificado, mas funciona tranquilo não tive problemas de não reconhecimento do certificado. https://startssl.com/?app=1 Outra alternativa gratuita 'chinesa' que também funcionou sem problemas de reconhecimento do certificado é essa aqui: http://www.wosign.com/english/freessl.htm Valeu mesmo, acabei de ativar no meu site empresarial e está rodando lindamente. https://www.multiti.com.br/ =D Agora achei estranho algo como confirmar o cadastro novamente após 30 dias ou algo assim, vou ver se compreendo o que é depois. Falta você instalar os certificados intermediários da StarSSL, no painel mesmo tem como baixar, ai como instala depende do servidor/hospedagem. No meu caso foi instalado, porem como uso o cloudflare, ele troca o meu certificado pelo deles (só olhar quem é a autoridade certificadora). Futuramente farei os testes com ele no pfSense para o captive portal e outras soluções. =D

Bem, como consegui descobrir a resolução vou colocar aqui para quem mais precisar: No squid do servidor a linha abaixo efetua a consulta na base LDAP do Zimbra: auth_param basic program /usr/lib64/squid/basic_ldap_auth -b "dc=AAA,dc=BBB,dc=CCC" -D "" -w "" -f "(&(uid=%s)(objectClass=zimbraAccount))" -v 3 -h IP_ZIMBRA -p 389 Os parâmetros -D "" -w "" passam o usuário e senha vazios para a consulta. E isso não é permitido na GUI do pfsense. Tentei passar o DN de usuários com permissão admin, mas também sem sucesso; Consegui fazer funcionar colocando as linhas diretamente em "Custom Options" e funcionou. A linha ficou assim: auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -v 3 -b "dc=AAA,dc=BBB,dc=CCC" -D "" -w "" -f "(&(uid=%s)(objectClass=zimbraAccount))" -h IP_ZIMBRA  -p 389; Mas eu não queria ter de deixar a configuração aqui. Então testando várias formas, conseguir passar esse campos vazios e fazer o squid do pfSense utilizar a base Ldap do Zimbra com "" nos dois campos. Segue os parâmetros que funcionaram : Proxy server: Authentication   LDAP version: 3   Authentication server: IP_ZIMBRA   Authentication server port: 389   LDAP server user DN: ""   LDAP password: ""   LDAP base domain: dc=AAA,dc=BBB,dc=CCC   LDAP username DN attribute: uid   LDAP search filter: (&(uid=%s)(objectClass=zimbraAccount))   Authentication prompt: Insira as credenciais para acessar a internet   Authentication processes: 8   Authentication TTL: 300 Ah, solução testada nas versões pfSense 2.1.5 e 2.2.4

@adrcila: @LFCavalcanti: Tem a questão da topologia aqui… Você possui duas subredes, quem são os Gateways dela e como eles estão se comunicando? A questão é que você precisa de rotas dos dois lados, apontando para as respectivas redes de destino com seus gateways. Porém, se os gateways estão em subredes diferentes, passando por um Switch, quem está fazendo o NAT entre eles? Nesse caso, melhor colocar uma interface no pfSense na mesma subrede 10.0.0.0/8 e apontando para o respectivo gateway. Aliás, subrede /8 é o inferno na terra hein? Cara nem fale… estou doido pra arrancar de uma vez isso... deixar somente minha wan... lan... /24 e trabalhar com as vlans nos switchs...  imagina, atender um chamado e se deparar com essa situação, cerca de 20 cameras ips, 100 pcs,  rede 10.0.0.1 -254/8, 2 link adsl oi, 5mb cada, sem ao menos um switch gerenciável.... o gargalo da galera usando o wifi era monstro.... cerca de 8 Aps, 50 user no cel, usando o watts e demais apps e ainda usando watts web no pc, fora a liberação total de redes sociais... e os cascateamentos, olha de  :'( o certo é parar tudo mesmo e refazer... porem da maneira correta... " apagar incêndio é muito pior que preveni-lo" porém nada que a conversa e o entendimento do investimento para a melhoria.... Ja adquiri os sw gerenciáveis... estou configurando as vlans... separando as  cameras em uma , assim como os setores... usava a firmware a DD-WRT pra gerenciar wifi  mas para esse caso resolvi procurar algo mais profissional... queria agradecer pela ajuda... realmente não funcionou... porém irei partir do principio de reestruturar tudo... final de semana será puxado.... Eu vi no pfsense que tem a parte de vlan, vou fazer um teste, ainda hoje pra verificar o funcionamento.... ;D Passo por isso a cada 2-3 meses quando chega cliente novo. Eu trabalho numa prestadora de serviço, minha equipe atende 32 empresas hoje. Quando chega cliente novo, só bomba. O pfSense trabalha tranquilo com VLAN, fácil de implantar, escolhe a interface fisica, a TAG que você quer usar, nomeia como ela vai aparecer no pfSense e pimba! Tenho cliente com 4 VLANs rodando e sendo roteadas pelo pfSense sem problema.

Em DHCP Server, selecione a rede e defina essa informação nos campos abaixo: [image: Capturar.JPG] [image: Capturar.JPG_thumb]

Dá uma olhada nesse tópico: https://forum.pfsense.org/index.php?topic=89618.0 Documentação do pacote para pfSense: https://doc.pfsense.org/index.php/Unbound_DNS_Resolver

Poxa, acho que minha regra nao ta funcionando mais. Tenho uma regra no fwl assim: Proto - TCP origem - rede_dhcp (rede criada no alias) porta - * destino - * porta - * gateway - selecionei o GW do Velox fila - nenhuma Ela é a primeira regra. Depois vem outra que a origem é um unico host com gateway Failover E por ultimo a regra Lan net com tudo * E mesmo assim, todos os clientes que estão com ip dhcp esta saindo pelo link principal e nao pelo velox :(

@LFCavalcanti: Opa! É confuso, mas é simples…  :o Quando você seleciona uma outra categoria ali, significa que a que você está editando ficará acima da selecionada. Você possui as seguintes categorias: BLOQUEIO A BLOQUEIO B LIBERAÇÂO A Você precisa que LIBERAÇÃO A esteja antes que BLOQUEIO A. Você abre a edição da LIBERAÇÃO A e no campo Order, você seleciona BLOQUEIO A, ao salvar, ele deixará assim: LIBERAÇÂO A BLOQUEIO A BLOQUEIO B O mesmo vale pra Groups ACL. Cavalcanti, cara.. se for tão simples assim.. eu entendi… Muito obrigado... Eu tinha feito vários testes e não entendia nada... kkk Agora ficou claro.

dbessa é  cara, sou grato a ele tbm, Valeww 8)

Eu respondi seu post no outro tópico… Qual o seu tipo de plano com a VIVO? IP Fixo? Metro? Dedicado?

@rafamaximo2014: Cara tentei várias placas de rede.. Mas o modem é dslink 279 (GVT) Olha, Modems da GVT raramente consigo colocar em Bridge, até com técnicos deles me ajudando alguns modelos não rodam. Nesse caso coloco ele em NAT normal e faço uma DMZ apontando pro IP na interface do pfSense. @WTF_Cléio: Estou com um problema mais ou menos parecido, no meu caso, testei várias versões do pfsense, troquei placa de rede e simplesmente nem autentica a conexão Pppoe. Meu modem é aquele antigo da Thompson SpeedTouch 510 v6, não está roteado. No pfsense, dependendo da versão (2.2.4) por exemplo, a placa WAN nem fica UP. Estou pensando em pedir para vivo trocar este Modem, ou vou roteador, em último caso!. Olá! Esse modem precisa de um programa de configuração, especialmente se você possui IP Fixo onde eles usam IPoATM. Eu pediria a troca, esse modelo não é ruim, mas está a anos luz de ser bom. Opte por modelos D-Link se o técnico vier com outro. Aliás, se você conseguir o técnico, a melhor saida com a VIVO é soltar umas "pratas" na mão do técnico e ele mesmo já deixar o modem do jeito que você precisa.

vc é o myqueyas do Viva o Linux? O post está exatamente igual http://www.vivaolinux.com.br/topico/PFSENSE-1/CAPTIVE-Portal-Sem-DHCP-ativado-DHCP-a-partir-do-roteador-Wi-Fi Eu respondi lá, da uma olhada

No caso o certificado da ICPEdu deve ser do tipo auto assinado ou assinado por alguma entidade certificadora cujo seu navegador não reconhece como válida. Por exemplo estou pensando em usar o https://startssl.com/ futuramente no captive portal dos meus clientes, porem fico com um pé atrás por conta de navegadores mobiles menos comuns que podem não ter o certificado instalado por padrão e mostrar essa mensagem de erro.

vou fazer o teste

Ola pessoal Conectividade social e uma plataforma de ensino a distancia tb nao funcionaram. O ponto igual nos dois, quando acesso o site e logo ele redireciona o site para localhost exemplo acesso conectividade.caixa.gov.br após o login com o certificado ele redireciona para http://127.0.0.1/….......

De preferencia escolha os DNS das operadoras em respectivos links. Alguns provedores bloqueiam o DNS de fora da sua rede. Ex. link da oi dns da oi e link da gvt dns da gvt.

Seu firewall não esta bloqueando a porta 80? Para o proxy transparente funcionar o tráfego da porta 80 tem que chegar no firewall, se vc liberou só a porta 3128 por exemplo o proxy transparente não vai funcionar.

Sim tem como desativar/ativar uma regra por horário. Firewall: Schedules e depois aplique este schedules na regra. no horario do schedules a regra sera ativa e desativada fora do horário.