Entendi! Tenho um cliente com um roteador CISCO fazendo Rota para duas Redes 192.168.10.0/24 e 192.168.20.0/24. O Cisco possui outras rotas para VOZ, Câmeras entre outros tudo com controle de Banda dentro do CISCO. Para não desfazer isso e adicionar um Firewall na Rede tive que fazer uma Interlan ou seja uma Rota no Cisco direcionando todo Trafego da Rede 192.168.10.0/24 e 192.168.20.0/24 para o IP de Saída 192.168.200.1, que é o meu Firewall PFSENSE. Resumindo o Gateway nas estações continuou sendo o meu Cisco 192.168.10.1 que esta conectado diretamente ao meu Firewall. Meu Firewall esta na Rede 192.168.200.1/30 só para conversar com o CISCO que tem uma interface exclusiva com o Ip 192.168.200.2. Para meu Firewall PFSENSE Receber a Rede 192.168.10.0/24 e 192.168.20.0/24 criei a rota de retorno no PFSENSE em System > Routing passando pelo gateway 192.168.10.1 que é o CISCO pela Interface LAN e depois liberei as redes 192.168.10.0/24 e 192.168.20.0/24 em Firewall > Rules na Lan do Firewall PFSENSE. Dessa forma já funcionou a internet da mesma forma que vc falou para as outras redes. Depois que instalei o Squid parou de funcionar, então adicionei em Services > Proxy Server > Access Control no campo Allowed Subnets as redes 192.168.10.0/24 e 192.168.20.0/24 e o Squid passou a liberar a internet pelo Proxy. Obs: Tive problemas com a Versão do PFSENSE 2.1.4 32Bits e então fiz meu Firewall na versão 2.1 32Bits que acho a mais estável entre as outras. Não sei essa nova 2.1.5 que acabou de liberar. Usei o Squid 2.7.9 e SquidGuard-Devel 1.5_1.1. Tudo redondinho com bloqueio a Facebook por IP, BlackList e tudo mais.

@claudevan: Lucas procurei no squid e tambem no Sarg e não encontrei essas opções "generate main index e index tree" eu estou usando o squid e não o squidguard então este diretorio que vc indicou não existe aqui "squid/squidguard/sarg" por favor se tiver alguma outra dica eu agradeço. isso nao é um diretorio, sao os softwares… [image: Capturar.PNG] [image: Capturar.PNG_thumb]

amiga siga a dica do Lucas que e por ai ,  tenho esse cenario que voce comentou se precisar de ajuda me adicione no skype - marcosjk20@hotmail.com

Lí esse artigo aqui  https://doc.pfsense.org/index.php/MultiWanVersion1.2mas não entendi muito bem o lance das DMZs, parece que eu teria que adicionar uma DMZ na minha conexão com IP fixo (no meu caso é PPOE) para que a liberação das portas ocorra. Tá certo isso?

Obrigado senhores pela dica, funcionou, menus normalizado!

não tem problema, eu preciso dessa alteração e vou fazer um bkp do squid.inc depois que conseguir tirar está parte dele.

hummm, como faço para liberar essa porta na rede? Tentei aqui mas aparentemente não deu certo :S Obrigado.. =)

@Lucas: @Mr: Sim eu entendo achei alguns tutoriais, seguir mais não funcionou ? Isso funciona apenas no modo transparente ? nao… funciona em autenticado tb.. au uso assim, porem minha autenticacao é no AD, pimeiro explique como é feita sua autenticacao.. Não apenas apliquei o proxy via GPO, sem autenticação de usuário.

"Obs.: No meu Mikrotik da rede 192.168.14.0/24 tenho uma regra que redireciona todo o tráfego da porta 80 e 443 para o IP da Lan do meu Pfsense no caso 192.168.50.254". Filial –--VPN ----- Matriz -  Deixa o túnel vpn para passar todo tráfego. (para testes). No squid selecione também a interface WAN  e em allow subnet insira 10.2.0.0/30. Na filial coloque o proxy no navegador + porta, apontando para o IP da WAN pfSense. Vamos ver se funciona srsrs....

vc precisa dar acesso a webgui do pfsense para cada usuário com a permissao de alterar senha.. pode criar um grupo, dar a permissao pro grupo e adicionar o usuário nele..

Opa, valeu Mateus, realmente estava faltando deixar UDP na porta 53 (DNS), depois disso funfou que foi uma belezura! Obrigado gente. =)

Olá Edge, tudo bem? Creio que deverá habilitar  - Manual outbound NAT e "apontar" a saída para o VIP CARP.  Sobre o IPsec há um tempo venho pesquisando sobre o failover, encontrei somente para a OpenVPN utilizando o Quagga OSPF. Tem um esquema que vc configura dois ips (ou mais) e cria um grupo no serviço de dns dinâmico como no-ip.org.  Com isso a url responderá pelos ips cadastrados no no-ip.org.

Olá, da uma olhada: https://www.youtube.com/watch?v=MOrUnAPv4VY

É como se o firewall não deixasse navegar quem vem de  fora, pq local no switch funciona 100% agora qdo passa por dois roteadores bridge não navega, tentei pelo bfw e funciona blza, mas o bfw é muito ruim

@neo_X: Agora para bloquear o acesso ao switch, crie uma regra: Origem 10.10.1.252 para 10.10.1.1 porta 80 ou 23 tambem nao, o switch ta entre o AP e o pfsense.. ou seja, eu "chego" primeiro no switch pra depois ir pro pfsense

Olá amigo se forem sites HTTPS pode criar uma regra de firewall que todas as conexões HTTPS sai pela WAN ou WAN2. .. bem simples lembrado que as regras funcionam de cima para baixo então organize a como preferir. .. ;D

Olá, Consegui resolver habilitando o NAT Reflection mode for port forwards. Para acessar: System->Advanced->Firewall/NAT->Network Address Translation->Enable(NAT+Proxy). Achei nesse link: https://doc.pfsense.org/index.php/Why_can't_I_access_forwarded_ports_on_my_WAN_IP_from_my_LAN/OPTx_networks Nele tem uma opção por DNS também.