Olá! Essa farm é bem heterogênea, com predominância de Windows, seguido de muitos Linux (CentOS, RedHat e alguns Ubuntu) e um pfSense em um papel simples. A ideia de rodar em um servidor físico ou em outro hypervisor é o teste final. Vou ressucitar o antigo Linux com IPtables que mencionei e instalar o pfSense nele, tentando espelhar a configuração do atual. Um teste com o ESXi é mais complicado: vou ter que achar algum outro equipamento… Muito grato pela atenção! Fabio

@wesmp3: @Tomas: Muda para proxy ativo. Se usar proxy autenticado no navegador, funciona beleza! mas o problema é que quero mesmo que seja transparente! Autenticado? Não entendi. Você quer dizer "marcado" no navegador? Você não precisa, usa WPAD para entregar as configurações automaticamente.

@jsouza: Bom dia ! tenho um Pfsense 2.1 AMD64, aonde configurei o proxy com squid3-dev filtrando https, entretanto após funcionar 2 dias parou de filtrar em modo transparente, quando seto o proxy no navegador filtra normalmente. o que pode estar acontecendo? Obs: não estou usando squidguard. Chefe, se estás usando proxy transparente + limiter dá esse problema mesmo! Estou com o mesmo caso!

Opa. Ja reinicie o pfsense. Já atualizei para versão 2.2.3 pelo console porém não deu certo. Nesse Final de semana teve uma queda de energia. Talvez tenha sido isso. Vou reinstalar e voltar o backup. Obrigado pela dica.

Marcelo bom dia. Agradeço pela rapida resposta. Seguinte, a solução estava mais simples do que eu imaginava, e eu tentando criar regras no firewall para liberar, fazendo monte de coisa e nada. Bom, os hosts que aparecia no log do squid eram: fazenda.sp.gov.br identity.fazenda.sp.gov.br Cadastrei os dois no Alias que criei para setar em Bypass proxy for these destination IPs, teoricamente ja teria que funcionar, mais por algum motivo ele nao abria a tela pedindo o certificado. Coloquei os sites em ACL - Whitelist: .identity.fazenda.sp.gov.br identity.fazenda.sp.gov.br .fazenda.sp.gov.br fazenda.sp.gov.br e funcionou !!! Então fica a dica para quem precisa liberar algum site https que acesse um certificado local na maquina, libere na Whitelist e crie um Alias Bypassando ele da interceptação do ssl. Grato

O log da interface web já faz isso. Para ver o log em tempo real na console com a hora no lugar do timestamp, você pode usar um script simples fonte: pesquisa via googole(show squid log datetime shell) resultado: http://unix.stackexchange.com/questions/2987/how-do-i-convert-an-epoch-timestamp-to-a-human-readable-format-on-the-cli) tail -f /var/squid/logs/access.log | perl -pe 's/(\d+)/localtime($1)/e'

O melhor para ver o que está passando e onde está parando é via tcpdump. Tem uns tutoriais sobre ele aqui no fórum e uma vasta documentação na internet. Com ele você vai saber se por exemplo o pacote está chegando no firewall e se está saindo na outra interface.

@isaiasbertin: podes me indicara alguns links desse tutoriais Olha nos primeiros tópicos aqui do fórum. Estão todos agrupados por assunto. Os tutoriais do squid vão aparecer no topico sobre pacotes.

@Tomas: Se você tem um servidor windows em sua rede pode usar o WSUS para gerenciar as atualizações. É a melhor solução para ambientes com servidores e estações.

O problema foi solucionado colocando o http:// antes do site na definição da pagina inicial no portal captive. Só mais uma coisinha, no computador redireciona certinho, ja no celular e tablet ao conectar abre uma janela pedindo o voucher, até ai ok, mas autentica e só fecha a janela, nao redireciona, é normal isso nos aparelhos móveis ? pois é essencial para meu projeto que redirecione para a determinada pagina nos celulares.

Vou pesquisar mais sobre Carp. Obrigado pela força Marcello.

@rafamaximo2014: Amigos o problema era no link da operadora! Como tenho 2 links um está com problemas no redirecionamento. chegou a hora de ir para a console monitorar o trafego via tcpdump. esse passo que sugeri seria suficiente para identificar o bloqueio/defeito de link da operadora.

@d3roch4: quando não se esta logado no CP o squid da acesso negado e não redireciona pra fazer o login. Coloque a página inicial do navegador na lista de exceções no próprio navegador e utilize uma url http. desta forma ao abrir o navegador, o captive portal será acionado.

Revise suas alcs, inclusive as que definem que faixas de ip podem utilizar o proxy.

@fabio.rodrigo: Desculpe, mas não entendi a questão sobre a regra e do tráfego que você disse, poderia me explicar? As regras que configuramos na interface gráfica levam em consideração a interface onde o trafego começa. Em uma comunicação normal de estações de trabalho, o trafego começa pela lan e vai até a internet. Nessa situação. sua regra vai funcionar perfeitamente. Quanto utilizamos o proxy na mesma máquina do firewall, as requisições do cliente vem da lan mas ficam no proprio squid, que inicia uma segunda comunicação para baixar a página solicitada. Nessa segunda comunicação, as regras de floating ou as regras da lan não conseguem capturar esse trafego para aplicar um gateway diferente ou balanceamento, resultando no comportamento que você descreve. O squid só sai pelo gateway padrão. Se quiser se aprofundar mais na questão, recomendo assistir uma aula no sys-squad que gravei falando só sobre isso e de quebra algumas opções de configuração do squid para contornar esse problema.

Esse é um dos métodos mais leves de autenticação. Tente monitorar na console/ssh o trafego ou os logs do squid para ver em que momento o trafego para. Se é uma questão de comunicação com o LDAP ou configuração.

O problema está na sua regra de balanceamento nas wans. Ela impede o roteamento normal do pacote e devolve a requisição para a internet. O conceito de balanceamento de link deve ser aplicado na(s) lans já que o firewall é statefull e a comunicação das estações/servidores com a internet começa na(s) lan(s).

Os filtros L7 que vem nele estão bem desatualizados. Recomendo utilizar proxies(squid, interceptação de ssl, etc) para filtrar a camada 7 ou pelo menos um snort/suricata para alarmar o que já tem assinatura.