Pesquise por GPO, no windows server vc usa o Group Policy Management para criar, porém aconselho vc estudar um pouco o funcionamento antes de criar algo..

Antes de colocar em produção testei o hard timeout com 10 minutos e funcionou tranquilo. Aumentei esse valor e depois de um tempo deixou de funcionar.

Em que poderia ajudar ao configurar redes com máscaras diferentes se o firewall roteia as redes? Elas continuariam a se enxergarem. Pelo menos é o que eu visualizo. Estou com este mesmo cenário meu amigo andre.custodio, e até o momento não consegui criar regras no firewall para bloquear o acesso entre as redes. Continuo à procura de uma solução. Veja o meu post: https://forum.pfsense.org/index.php?topic=78415.msg428243#msg428243

Boa Tare!!! Amigo olhe seu load ele não pode ficar acima de outras regras com https deixe essa regra abaixo das demais e a da porta 80 deixa em ultimo para que funcione perfeitamente… ficaria assimm [image: regras.JPG] [image: regras.JPG_thumb]

Ola alguém ja testou o varnish nessas novas versões?

@oreizinho: amigão, fiz todas regras de failover e loadbalance que achei na internet/forum e não consegui fazer o que queria. Quando um funciona o outro link não funciona.(consegui fazer com outro servidor, mais quero fazer no pfsense), já baixei 3 versões diferentes do pfsense,ja restaurei varias vezes o servidor para refazer do zero seguindo as video-aulas e nada funcionou Vou explicar novamente o que quero fazer: possuo 2 links externos, um de internet(velox com ip 192.168.0.x) e outro é uma intranet(redes locais da empresa com ip 10.1.240.x) e quero passar as duas redes na terceira placa em um link que saia no ip 10.1.240.x, tenho 1 pc com o pfsense instalado e 3 placas de rede, não precisa nem ser por proxy pode ser direto mesmo. Certinho amigo… Bom também tive problemas com proxy resolvi quebrando muito a cabeça mas até hj só consegui em uma maquina e mesmo restaurando o backup dela para outro server não funcionou, mas se for o loadbalance com 2 links sem proxy funciona sim.... Na parte que voce disse que possui uma rede intranet rede local ela parte de um servidor linux com um webserver rodando? e apartir desse links voce quer que todos tenhão acesso a ele e também a net tudo junto ? Certo ? posso te passar umas regras aqui simplificadas.... primeiro tenhas os dns prontos depois crie 2 grupos em "System: Gateway Groups" Sendo um de Loadbalance com Tier 1 e Tier 1, depois crie outro grupo com Tier 1 sendo esse o link principal e Tier 2 sendo o de FailOver..... após isso vá até "Firewall: Rules" e modifique seu regra de IPV4 para fica assim..... IPv4 * LAN net * * * LBFO none logo percebe que tenho ali em cima "LBFO" esse é para que tudo seje o loadbalance soma de links e redundancia mas agora vamos criar outra que ficará acima dessa.... IPv4 TCP LAN net * * 443 (HTTPS) FO none pronto logo teremos uma regra que retira a porta 443 de load para não ter problemas com sites de bancos mas como vc usa um intranet creio que possa usar essa porta então crie regras para que o serviços que vc usa sai pelo load, assim IPv4 TCP * * youtube_e_google * LBFO none nessa criei Aliases para o youtube e google passarem no loadbalance assim download no maximo..... bom feito isso, deverá estar tudo ok lembrando que as regras são de cima para baixo assim crie as regras de load antes da que retira o https do load.. tenta ai ve se funciona caso não te ajude deixa o maximo de informação para mais pessoas poder de ajuda....  :D

@mateus0032: @JuniorAndrade: @mateus0032: normalmente quando vc tem um failover no https deveria estar funcionando perfeitamente uso 2 links de 10mb e tenho acesso normal aos bancos, reveja suas regras de lan no firewall e caso marcou a opção "stick connections" desmarque tive problemas com isto tbm pois sempre sai pelo mesmo link e persistia sempre oque fiz foi esse procedimento mesmo duas regras uma de load e outra de failover e retirei o https pelo FO…. vc esta usando proxy? no nas regras de firewall vc está usando ipv6 ? onde tem a opção Stick Connections? não vi  ??? o FO em HTTPS está funcionando ! :) o Loadtambém, era as regras do firewall mesmo (y) Vlw ! Por nada cara só deixando mais uma contribuição caso queira retirar alguns sites como o google para fazer downloads de videos do youtube pode fazer assim: seguindo os prints… (y) Vlw , mas acho que não precisa disso tudo não. Estou usando Squid3-Dev e ele bloquea os HTTPS :D Muito bem por sinal. ainda não passou nenhum. Regra de firewall eu deixei do jeito que tinha explicado mesmo.

limpou a tabela states?

@holiveira: Agora está fazendo a filtragem normalmente, porém quando acesso algum site https aparece o erro de certificado. E se acesso algum site que esteja no Whitelist aparece outro erro do squid. Bom dia, ainda estou com esses erros de certificado. Dei uma verificada nos logs: Tentativa de acesso a um site HTTPS: 1404301974.878    25 192.168.1.55 NONE/200 0 CONNECT www.google.com.br:443 usuario HIER_NONE/- - Quando subo o squid: 2014/07/02 09:04:50 kid1| Starting Squid Cache version 3.3.10 for i386-portbld-freebsd8.3... 2014/07/02 09:04:50 kid1|  parse error while reading template file: /usr/pbi/squid-i386/etc/squid/errors/pt-br/error-details.txt 2014/07/02 09:04:50 kid1| Unable to load default error language files. Reset to backups. 2014/07/02 09:04:50 kid1|  parse error while reading template file: /usr/pbi/squid-i386/etc/squid/errors/templates/error-details.txt 2014/07/02 09:04:50 kid1| WARNING: failed to find or read error text file error-details.txt Conteudo do arquido: error-details.txt: name: SQUID_ERR_SSL_HANDSHAKE detail: "%ssl_error_descr: %ssl_lib_error" descr: "Handshake with SSL server failed" name: SQUID_X509_V_ERR_DOMAIN_MISMATCH detail: "%ssl_error_descr: %ssl_subject" descr: "Certificate does not match domainname" name: X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT detail: "SSL Certficate error: certificate issuer (CA) not known: %ssl_ca_name" descr: "Unable to get issuer certificate" name: X509_V_ERR_UNABLE_TO_GET_CRL detail: "%ssl_error_descr: %ssl_subject" descr: "Unable to get certificate CRL" name: X509_V_ERR_UNABLE_TO_DECRYPT_CERT_SIGNATURE detail: "%ssl_error_descr: %ssl_subject" descr: "Unable to decrypt certificate's signature" name: X509_V_ERR_UNABLE_TO_DECRYPT_CRL_SIGNATURE detail: "%ssl_error_descr: %ssl_subject" descr: "Unable to decrypt CRL's signature" name: X509_V_ERR_UNABLE_TO_DECODE_ISSUER_PUBLIC_KEY detail: "Unable to decode issuer (CA) public key: %ssl_ca_name" descr: "Unable to decode issuer public key" name: X509_V_ERR_CERT_SIGNATURE_FAILURE detail: "%ssl_error_descr: %ssl_subject" descr: "Certificate signature failure" name: X509_V_ERR_CRL_SIGNATURE_FAILURE detail: "%ssl_error_descr: %ssl_subject" descr: "CRL signature failure" name: X509_V_ERR_CERT_NOT_YET_VALID detail: "SSL Certficate is not valid before: %ssl_notbefore" descr: "Certificate is not yet valid" name: X509_V_ERR_CERT_HAS_EXPIRED detail: "SSL Certificate expired on: %ssl_notafter" descr: "Certificate has expired" name: X509_V_ERR_CRL_NOT_YET_VALID detail: "%ssl_error_descr: %ssl_subject" descr: "CRL is not yet valid" name: X509_V_ERR_CRL_HAS_EXPIRED detail: "%ssl_error_descr: %ssl_subject" descr: "CRL has expired" name: X509_V_ERR_ERROR_IN_CERT_NOT_BEFORE_FIELD detail: "SSL Certificate has invalid start date (the 'not before' field): %ssl_subject" descr: "Format error in certificate's notBefore field" name: X509_V_ERR_ERROR_IN_CERT_NOT_AFTER_FIELD detail: "SSL Certificate has invalid expiration date (the 'not after' field): %ssl_subject" descr: "Format error in certificate's notAfter field" name: X509_V_ERR_ERROR_IN_CRL_LAST_UPDATE_FIELD detail: "%ssl_error_descr: %ssl_subject" descr: "Format error in CRL's lastUpdate field" name: X509_V_ERR_ERROR_IN_CRL_NEXT_UPDATE_FIELD detail: "%ssl_error_descr: %ssl_subject" descr: "Format error in CRL's nextUpdate field" name: X509_V_ERR_OUT_OF_MEM detail: "%ssl_error_descr" descr: "Out of memory" name: X509_V_ERR_DEPTH_ZERO_SELF_SIGNED_CERT detail: "Self-signed SSL Certificate: %ssl_subject" descr: "Self signed certificate" name: X509_V_ERR_SELF_SIGNED_CERT_IN_CHAIN detail: "Self-signed SSL Certificate in chain: %ssl_subject" descr: "Self signed certificate in certificate chain" name: X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY detail: "SSL Certficate error: certificate issuer (CA) not known: %ssl_ca_name" descr: "Unable to get local issuer certificate" name: X509_V_ERR_UNABLE_TO_VERIFY_LEAF_SIGNATURE detail: "%ssl_error_descr: %ssl_subject" descr: "Unable to verify the first certificate" name: X509_V_ERR_CERT_CHAIN_TOO_LONG detail: "%ssl_error_descr: %ssl_subject" descr: "Certificate chain too long" name: X509_V_ERR_CERT_REVOKED detail: "%ssl_error_descr: %ssl_subject" descr: "Certificate revoked" name: X509_V_ERR_INVALID_CA detail: "%ssl_error_descr: %ssl_ca_name" descr: "Invalid CA certificate" name: X509_V_ERR_PATH_LENGTH_EXCEEDED detail: "%ssl_error_descr: %ssl_subject" descr: "Path length constraint exceeded" name: X509_V_ERR_INVALID_PURPOSE detail: "%ssl_error_descr: %ssl_subject" descr: "Unsupported certificate purpose" name: X509_V_ERR_CERT_UNTRUSTED detail: "%ssl_error_descr: %ssl_subject" descr: "Certificate not trusted" name: X509_V_ERR_CERT_REJECTED detail: "%ssl_error_descr: %ssl_subject" descr: "Certificate rejected" name: X509_V_ERR_SUBJECT_ISSUER_MISMATCH detail: "%ssl_error_descr: %ssl_ca_name" descr: "Subject issuer mismatch" name: X509_V_ERR_AKID_SKID_MISMATCH detail: "%ssl_error_descr: %ssl_subject" descr: "Authority and subject key identifier mismatch" name: X509_V_ERR_AKID_ISSUER_SERIAL_MISMATCH detail: "%ssl_error_descr: %ssl_ca_name" descr: "Authority and issuer serial number mismatch" name: X509_V_ERR_KEYUSAGE_NO_CERTSIGN detail: "%ssl_error_descr: %ssl_subject" descr: "Key usage does not include certificate signing" name: X509_V_ERR_UNABLE_TO_GET_CRL_ISSUER detail: "%ssl_error_descr: %ssl_subject" descr: "unable to get CRL issuer certificate" name: X509_V_ERR_UNHANDLED_CRITICAL_EXTENSION detail: "%ssl_error_descr: %ssl_subject" descr: "unhandled critical extension" name: X509_V_ERR_KEYUSAGE_NO_CRL_SIGN detail: "%ssl_error_descr: %ssl_subject" descr: "key usage does not include CRL signing" name: X509_V_ERR_UNHANDLED_CRITICAL_CRL_EXTENSION detail: "%ssl_error_descr: %ssl_subject" descr: "unhandled critical CRL extension" name: X509_V_ERR_INVALID_NON_CA detail: "%ssl_error_descr: %ssl_subject" descr: "invalid non-CA certificate (has CA markings)" name: X509_V_ERR_PROXY_PATH_LENGTH_EXCEEDED detail: "%ssl_error_descr: %ssl_subject" descr: "proxy path length constraint exceeded" name: X509_V_ERR_KEYUSAGE_NO_DIGITAL_SIGNATURE detail: "%ssl_error_descr: %ssl_subject" descr: "key usage does not include digital signature" name: X509_V_ERR_PROXY_CERTIFICATES_NOT_ALLOWED detail: "%ssl_error_descr: %ssl_subject" descr: "proxy certificates not allowed, please set the appropriate flag" name: X509_V_ERR_INVALID_EXTENSION detail: "%ssl_error_descr: %ssl_subject" descr: "invalid or inconsistent certificate extension" name: X509_V_ERR_INVALID_POLICY_EXTENSION detail: "%ssl_error_descr: %ssl_subject" descr: "invalid or inconsistent certificate policy extension" name: X509_V_ERR_NO_EXPLICIT_POLICY detail: "%ssl_error_descr: %ssl_subject" descr: "no explicit policy" name: X509_V_ERR_DIFFERENT_CRL_SCOPE detail: "%ssl_error_descr: %ssl_subject" descr: "Different CRL scope" name: X509_V_ERR_UNSUPPORTED_EXTENSION_FEATURE detail: "%ssl_error_descr: %ssl_subject" descr: "Unsupported extension feature" name: X509_V_ERR_UNNESTED_RESOURCE detail: "%ssl_error_descr: %ssl_subject" descr: "RFC 3779 resource not subset of parent's resources" name: X509_V_ERR_PERMITTED_VIOLATION detail: "%ssl_error_descr: %ssl_subject" descr: "permitted subtree violation" name: X509_V_ERR_EXCLUDED_VIOLATION detail: "%ssl_error_descr: %ssl_subject" descr: "excluded subtree violation" name: X509_V_ERR_SUBTREE_MINMAX detail: "%ssl_error_descr: %ssl_subject" descr: "name constraints minimum and maximum not supported" name: X509_V_ERR_UNSUPPORTED_CONSTRAINT_TYPE detail: "%ssl_error_descr: %ssl_subject" descr: "unsupported name constraint type" name: X509_V_ERR_UNSUPPORTED_CONSTRAINT_SYNTAX detail: "%ssl_error_descr: %ssl_subject" descr: "unsupported or invalid name constraint syntax" name: X509_V_ERR_UNSUPPORTED_NAME_SYNTAX detail: "%ssl_error_descr: %ssl_subject" descr: "unsupported or invalid name syntax" name: X509_V_ERR_CRL_PATH_VALIDATION_ERROR detail: "%ssl_error_descr: %ssl_subject" descr: "CRL path validation error" name: X509_V_ERR_APPLICATION_VERIFICATION detail: "%ssl_error_descr: %ssl_subject" descr: "Application verification failure"

@clon¥: Olá meu caro, Faço da seguinte forma: 1º em SISTEMA / AVANÇADO, configuro o acesso à interface do Pfsense somente via HTTPS 2º nesta mesma tela, configuro uma porta diferente da 443 para acesso via HTTPS. 3º depois crio uma regra na LAN CLIENTE, bloqueando o acesso via HTTPS pela porta específica e modificada ao IP da LAN do Pfsense Funcionou assim pra mim. Obrigado !

Valeuuu Lucas!! Descobri o que era… (outra coisa totalmente diferente... ) O OPENVPN só sai pelo link DEFAULT.... como meu Defaul era outro link diferente do que estava conectando.. ele nao estava saindo... Logo, fica a dica ai pra todos... OPENVPN e LInk Default. Valeuuuu Galera!  ;D

boa tarde e obrigado pela resposta…. quem dera se o pfsense fossem quem fizesse a conexão VPN, na verdade é os fortnet ( instalação antiga ) mas consegui resolver, verifiquei melhor o trafego da rede, oque ocorre é mais ou menos isso As requisições de ambas as redes são examinadas pelo proxy na REDE A, e retorna a permissão ou o denied para a estação solicitante. e isso deve adicionar algum cabeçalho no pacote que vai ao site alvo, por isso todo teste indica que ambas as redes tem o mesmo IP de saída. mas medindo o trafego em ambas, verifica que não é bem assim, bom enfim, são quase 300 estações conectadas na vpn e passando pelo squid. att.

WILLINUX, Acabei de sai da empresa depois de adicionar a regra no ipv6 no firewall e tambem marquei a opção dentro do squid3-dev Resolv dns v4 first, após isto ela passou a funcionar perfeitamente… mas não testei no squid3 retirando o ip da maquina nas regras de ACL... Mas creio que após isto irá funcionar.... outra coisa que percebi que na placa de rede LAN como utilizo VMWARE ESXi 5.1 na configuração dela só tem as opções de 10base5, 10baseT e suas derivas e o autoselect-Full-Duplex.. no meu caso estava default, estranho se a placa que está instalada é de 1GB mas a Switch é de 100MB. Pelo menos o pfSense deveria habilitar a opção 100baseT ou outras mas acho que a placa não é adequanda para o VMWARE pois se naum me engano é uma  INTELBRAS... PCI

no site do java tem uma opção de download do arquivo offline, onde ele é baixado completamente e não apenas o instalador. aqui eu trabalho assim, não é uma solução, mas já ajuda por enquanto

o Gatway esta o pfsense, como nao consegui direcionar a porta, eu mudei o modem para bridge, e coloquei o pfsense para discar. ai o nat para as cameras funcionaram.

Meu problema é semelhante ao do leonardosalgado. Quanto ao Mbuf, segue a print em anexo. Alguma outra sugestão? [image: IMG_30062014_154712.png] [image: IMG_30062014_154712.png_thumb]