@gfpaim: OLá marcelloc, onde eu posso achar alguma documentação sobre a configuração do mod_security no pfsense? Basicamente na documentação do mod_security. Comprei o livro online deles para poder programar a interface.

@diegoriera: O pacote squid-3.3.8.tbz não está em http://files.pfsense.org/packages/amd64/8/All/ O core team decidiu por não compilar para a versão 2.0 por ser um pacote dev(acredito eu). Pedi duas vezes até voltar o pacote para a 3.3.5. Você pode instalar o pacote squid3-dev e depois via console substituir o squid 3.3.35 pelo 3.3.8. Não testei a instalação do 3.3.8 do meu repositório, mas se quiser compilar, basta usar o ports em um freebsd de mesma versão.

Consegui fechar as duas VPNs com a matriz? O mesmo procedimento que fez com uma, você faz com a outra e altere a porta de comunicação: matriz porta 1194  para filial_1 porta 1194 matriz porta 1195  para filial_2 porta 1195 e assim por diante. Para criação do tun, precisará  de uma rede Tunnel Network, basta colocar uma rede diferente da que utilizará.

Olá … é o seguinte para criar uma vpn usando certificados digitais, a primeira coisa que vc precisa fazer é criar uma CA, esta CA pode ser uma das pontas ... normalmente é VPN matriz .... depois de criar a CA, vc precisa criar os certificados dos servidores VPNs, começando pelo certificado do próprio servidor e depois para os Servidores VPns "Clientes"  caso seja no estilo site-to-site ...  após isso é necessário que vc inicie o processo vpn no servidor para cada ponta (cliente VPN) que vc for usar, usando uma porta para cada processo, bom eu uso assim .. a porta padrão e inicial é 1194, após iniciar o processo servidor vc precisará iniciar o processo cliente .. para isso é necessário que exporte a CA e a chave e certificado do cliente ... depois de importar a CA, a chave e certificado do cliente no servidor cliente e também depois de ter configurado os parâmetros do cliente basta vc iniciar o processo no cliente que sua VPN será estabelecida ... ahhh sim .. onde criar a CA e os certificados: Vá em System> Cert Manager    ... outra não esqueça de liberar a porta no servidor para receber esta requisição. espero ter ajudado!!

Evandro… obrigado pela resposta... Consegui comunicar com um host interno da rede, mas tive de cololar o pfSense como gateway do host. Atualmente o gateway da rede é outro host... Para que isso não seja obrigatório... como posso proceder ?

A imagem abaixo é de um pfSense 2.0.1 Release com conexão Vivo ADSL PPPOE. Instalei o pfSense, restaurei um backup de outro pfSense que fazia conexão na WAN via cabo da Virtua, configurei usuário e senha do PPPOE na interface WAN deste pfSense e não tive necessidade de fazer mais nada. Conectou instantaneamente. Talvez o fato de você ter reconfigurado o gateway tenha causado algum problema. [image: pppoe_gatewaydefault.png] [image: pppoe_gatewaydefault.png_thumb]

oreizinho, Você adora perguntas, mas não responde a nada: http://forum.pfsense.org/index.php/topic,64468.msg349335.html#msg349335 http://forum.pfsense.org/index.php/topic,64593.msg350075.html#msg350075 ::)

Mais uma vez, qual sua versão do pfSense?  ??? Se a opção custom não está lá, então sua versão não suporta este serviço. Tente outro serviço de DNS dinâmico. Existem outros que são gratuitos e funcionam muito bem! Editado: resposta adicionada alguns minutos depois do meu post.  :)

Olá amigo, sim o meu pfsense é o gw da minha rede, meu outro equipamento é um router que faz a entrada dos links, mas ele só faz isso e a vpn entre minhas filiais. Isso pode ser algo de rota? Preciso configurar uma rota dentro das configurações avançadas? Estou errando em algo, mas não sei o que ainda. Obrigado.

Caros colegas Primeiramente obrigado pela ajuda e peço desculpas pela demora no retorno. A minha situação é o seguinte: 1 - Eu já interliguei a Matriz com a FILIAL 1 2 - Também já interliguei a MATRIZ com a FILIAL 2. Essas duas configurações fiz com Pear to Pear (shared key). Não sei agora o que fazer. Eu vi algumas opção de avançado colocando route broadcast + marcara, mais mesmo assim não consegui. As minhas configurações estão assim: MATRIZ - FILIAL 1 IP MATRIZ (10.10.2.2) PORT 1194 TUNEL 10.0.8.0/24 BROADCAST FILIAL 1(10.10.3.0) MATRIZ - FILIAL 2 PORT 1196 TUNEL 10.0.9.0/24 BROADCAST FILIAL 2(10.10.4.0) @Akill: boas, começa por criar uma vpn usando openvpn entre 2 empresas, sendo que, tens de estipular uma delas ser o lado "servidor" rede principal. depois é so adicionares a 3 empresa mudando a gama para o tunel e o porto de destino activar o pacote com OSPF que o pfsense permit, configuras isso, e tens as 3 redes a comunicar umas com as outras. basta meteres no youtube openvpn pfsense e ospf pfsense e tens lá os tutoriais todos.

tem um segredinho nesta configuração, dentro de Proxy filter SquidGuard: Times: Edit, o range de horário que você setar, será o horário em que o squid guad vai bloquear, depois vá em  Proxy filter SquidGuard: Groups Access Control List (ACL): Edit : no campo time, marque a regra de horário que vc acabou de criar acima, logo abaixo em target rules a segunda fileira será ativada, ou seja, EX: na primeira fileira tem "socialnetwork" marque "deny", e na segunda fileira marque "alow", desta forma, o horário (range) que não aparece dentro da regra que tu criou na segunda linha deste texto, será o horário em que os usuários conseguirão navegar neste site. obs: não bloqueia sites em https, ai você devera criar um aliase no firewall bloqueando todos os ips do site que tu queres, e criar uma regra de horário no firewall também. ;)

achei uma solução com o fórum estrangeiro pfsense (espanhol), segue abaixo a documentação que fala deste assunto. http://doc.pfsense.org/index.php/FreeRADIUS_2.x_package#Accounting_with_Captive_Portal ;)

pois é,, imagino que seja realmente muito mais fácil , porem no meu caso ,, e não sei o porque , perde pacote direto ,, no caso com tuneis separados um para cada filial , ficou perfeito sem perda de pacotes,, esto monitorando e nem a conexão entre eles cai

Aproveitando a ocasião, temos uma pequena novidade na versão 2.1 RCx no que diz respeito ao RRD Graphs. Trata-se do Mbuf RRD Graph: http://forum.pfsense.org/index.php/topic,64558.0.html Segue cópia de tela abaixo: [image: rrd_mbuf.png] [image: rrd_mbuf.png_thumb]

cadastre o "portal.meudominio.com.br" com o ip local no seu dns interno lembrando que todas as maquinas deve esta setado com o ip do dns interno caso use dns externo, exemplo 8.8.8.8 não vai dar certo..

@amendoinn: Desculpe pela demorar, kelsen amanha posto o diagrama. Akill você viu que na configuração do client esta estado a rota, há mesmo a necessidade de por essa informação no server do openvpn? a vantagem de meteres no pfsense é que assim do lado do cliente é automático. entao se o cliente já tem a rota, possivelmente o teu problema está na volta do tráfego, ou seja, o destino a que o teu cliente acede tem na tabela de roteamento o IP a que foi atribuido ao cliente?! um abraço

Dá uma olhada aqui. Não tenho informações se funciona. Porém, é informação relevante: http://doc.pfsense.org/index.php/Setup_VideoCache_with_Squid

Captive portal deixa todo trafego bloqueado ate que o login seja bem sucedido. Caso o login não for bem sucedido nem um trafego consegue passar pela interface que esta rodando o captive portal.

@stclara: Salve, pessoal. Estou migrando um servidor dns e proxy squid para pfsense. A minha dúvida ficou no seguinte: Minha rede esta com 192.168.0.0, e tenho algumas impressoras ips com endereço 192.168.0.102, 192.168.0.133, 192.168.0.146. Como as máquinas estão compartilhando estes ips para impressão, tentei reservar estes ips por mac no dns, que esta com range de 192.168.0.10 a 192.168.0.200. No entanto, o pfsense não permite que reserve ips dentro da range do dns. Estes endereços reservados com mac podem ser editados manualmente ou vou ter que mudar os endereços das impressoras e mapear todo o compartilhamento de novo? []'s Stclara. O que você pode fazer é alterar o range pra 102.168.0.10 a 192.168.0.101, depois vc cria mais trechos do range logo abaixo em Additional Pools pulando os endereços das impressoras, de 103 a 132, de 134 a 145 e de 147 a 200, assim apenas os IPs necessários ficarão de fora.

Pessoal resolvi o problema! Fiz as seguintes alterações caso alguém tenha essa dificuldade: Proxy Server > Auth Settings > LDAP base domain > DC=empresa,DC=local -R Proxy filter > Groups ACL > Client (source) > ldapusersearch ldap://192.168.10.204:3268/DC=empresa,DC=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=Proxy-Adm,OU=Servicos,OU=TI,OU=empresa,DC=empresa,DC=local)) O -R é para fazer uma recursiva no diretório E a porta 3268 em vez de 389 é para fazer a busca em um Catalogo Global. Espero que ajude alguém! Admin pode fechar o tópico!