Ah, tem outra coisa: Sempre que aparecer o erro de NO PROPOSAL CHOOSEN em VPNs PFSENSE <-> CISCO, é alguma coisa errada no NAT!

@veniciopika: @marcelloc: @veniciopika: executo esse comando e nada continuo sem consegui acessar o relatorio Venicio, eleva um pouco mais o nível técnico da resposta para facilitar o entendimento. Responder executo o comando e nada não me ajuda a entender o que você testou. @veniciopika: outra coiza quando eu acesso atraves do meu pf sense ele me dar a seguinte tela com ips, gostaria de saber como faço para colocar o nome dos meus usuarios Eu já respondi no outro post. Não sei que configuração de autenticação você esta usando e também não sei se você pesquisou isso antes de perguntar. Existem vários posts aqui no fórum sobre autenticação do squid e relatórios do sarg. att, Marcello Coutinho então uso o proxy autenticado no ad, pesquisei no forum e não achei nada que podesse tirar minha duvida Marcelo, gostaria de saber se tem como a gente agendar para vc fazer esse serviço para min, se possivel hoje ainda

sosmicro, O ipguard está na aba firewall, vou corrigir a mensagem da instalação. att, Marcello Coutinho

Adicionalmente a tudo que já foi dito aqui por outros colegas, gostaria de sugerir fortemente a leitura deste material disponibilizado pelo CERT: http://www.cert.br/docs/whitepapers/defesa-forca-bruta-ssh/ Trata-se de um guia compacto e didático que aborda sugestões para defesa contra ataques de força bruta para SSH. Fica a dica! ;) Abraços! Jack

Danilo, Infelizmente as permissões na versão 2.0.1 não são compatíveis com a maioria dos pacotes que usam arquivos xml. Corrigi isso ontem e hoje o scott aplicou a atualização para a versão 2.1 do pfsense Este é um exemplo do arquivo de permissões que você pode usar para contornar esta limitação da versão atual https://github.com/bsdperimeter/pfsense-packages/blob/master/config/postfix/postfix.priv.inc copie/crie este arquivo em /etc/inc/priv/ e depois adicione no perfil do usuário a permissão Allow access to any xml package page att, Marcello Coutinho

@thiagomespb: Pessoal, Estou tomando uma surra com squidguard. habilitei a opção "Not to allow IP addresses in URL" para o usuario não acessar site proibidos via ip.. Porem tenho que liberar alguns que são de empresas e sinceramente não vi onde.. o mesmo menciona em "writelist" . Eu coloquei em o ip no squid.. e mesmo assim ele não libera. Alguem tem uma ideia ? Tive uma dúvida parecida. Eu também tentei tirar o IP das restrições do squid direto no squid. Mas não deu. Aí encontrei a Groups ACL dentro do SquidGuard e resolvi o problema lá. Acho que como o squid direciona o controle pro SquidGuard, todas as configurações para liberar e bloquear devem ser feitas no SquidGuard. ??? Agora a minha dúvida: Uso uma blacklist (http://www.shallalist.de/Downloads/shallalist.tar.gz) que criou várias categorias de bloqueios. A minha dúvida é, se eu preciso desbloquear apenas alguns sites que a lista bloqueou, existe alguma whitelist? Ou só consigo contornar isso criando uma Target Categorie com os sites para liberar e depois criar um Group ACL que libere o acesso dessa categoria para o grupo? Tem outra maneira? Valeu.

O jimp atualizou os pacotes este final de semana, deve estar faltando incluir as dependências. Vou conferir,  obrigado pelo feedback.

Dica: Se você está usando proxy transparente na sua rede, todo tipo de conexão que saia pelo Squid, vai sair sempre pelo link default (quando você não tem um link default definido, o link da WAN é "eleito" o default). Leia mais sobre outbound no Squid… Você pode encontrar a resposta que procura! ;) Abraços! Jack

@veniciopika: @marcelloc: @veniciopika: Não entedi como faço para configurar a parte de nat(port forward e outbound nat).? Pesquisa aqui no fórum, tem vários posts sobre isso, inclusive com screenshots. Basicamente o port forward serve para direcionar portas do ip externo para maquinas esternas(publicação de serviço) enquanto o outbound nat faz com que um ip ou faixa de ip saiam determinado ip válido. att, Marcello Coutinho Marcelo, Não consegui achar tem como vc me dar um exemplo.? Opa alguém sabe como me ajudar?

marcioducrato, Você já pesquisou no forum, lembro de algums posts falando sobre isso. att, Marcello Coutinho

Acabei de incluir nos dois pacotes a verificação de versão e pasta. Se quiser, reinstale o havp e o widget-antivirus daqui a uns 15 minutos

Olá Pessoal, tudo tranquilo?! Eu iniciei este tópico para a resolução do meu problema, que no caso, foi resolvido adcionando o IP na placa de rede, mas ainda assim, acho que deve ter outra forma de facilitar este procedimento. Porém vou deixar o tópico em aberto, devido a dúvida do colega diegogyn. Se alguém puder dar uma força para ele, será de grande utilidade para usuario futuros. Só não vou dar minha opinião, porque só estou conhecendo o PFsense é também o pessoal do fórum. Diego se você tiver sanado o seu problema manda um MP para mim para a gente fechar o tópico. Abraço a todos da comunidade. Att, Paulo_Cesar

@marcelloc: Complementando o excelente post, a versão 2.1 deixou de ser devel e passou e já é beta   :) Sim marcelloc… Belo lembrete - já incorporado ao post no blog da comunidade: http://www.pfsense-br.org/blog/2012/06/dia-do-lancamento-mundial-do-ipv6-quase-deu-para-o-pfsense-2-1/ ;) Abraços! Jack

@vithort: Voce diz Proxy ARP, seria a opcao do Static ARP no DHCP Server? Quando você precisa subir uma faixa inteira de ips, você usa o proxy arp no lugar de ip alias. Vi na imagem que você usa ip alias. @vithort: Criei o Virtual IP: 10.x.x.50/32 (Só quero este IP) - ou devo colocar /24 que é a mascara da minha subnet? O seu problema está ou parece estar bem aqui. Você esta fazendo dois nats no sip até chegar no ip real? @vithort: Por fim, criei o Outbound (na verdade nao sei bem o que faz, e nao sei se está bem criado)     - Source: 192.168.0.0/20     - Source Port: *     - Destination: *     - Destination Port: *     - NAT Address: 10.x.x.50 (coloquei o IP Alias que criei)     - NAT Port: *     - Static Port: yes (como foi indicado) Mude source para o ip do seu telefone sip. Mas acredito que o nat 1:1 ignora regras de outbound. @vithort: Fiz um teste e quando esta com senha para fazer a ligacao eu tenho esse problema que mencionei. Quando tiro a opcao de senha no telefone, ele escuta normalmente. Na configuração da central (se existir) o reinvite do rtp deve ser diferente quando nas duas situações. Para "ouvir" a senha, a central precisar receber o audio enquanto uma ligação sem senha, a central pode sinalizar para um telefone mandar o audio direto para a outra(reinvite).

@veniciopika: Eu já tenho dois Ips Validos, sendo que eu uso um para meu firewall pf sense, terei que solicitar mais um então? Não precisa, usa os dois que você já tem, um para dns primário outro para dns secundário.

Bom dia Marcelo, Não consegui fazer funcionar ainda.. pelo que eu percebi aqui, devido a um outro problema que tive hj de manha, é que o pfsense não está resolvendo os nomes DNS Liberei no firewall o meu servidor de DHCP mas mesmo assim não funciona, se eu não colocar o dns (ip do pfsense) nas maquinas (clientes) elas não navegam e tenho um problema também que, tem um servidor (ERP) ele não está resolvendo os nomes para envio de nota fiscal eletronica, mesmo configurando o dns direto na placa… Agora fiquei perdido!!! alguma ideia do que possa estar acontecendo?

z3r0gr4u, Bem vindo ao fórum!  :) O rumo das configurações você já tem, regras de firewall e squid. Continue pesquisando por aqui para encontrar posts/tutoriais que tratam exatamentes suas dúvidas com relação a tela de erro personalizada e whitelist do squid/squidguard. att, Marcello Coutinho

@diegogyn: Refiz a rede aqui em casa numa VM, agora eu consigo ver o computador na rede so pelo IP \IP_DO_PC (Não ta resolvendo nome) Alguem ja passou por isso? Este tópico trata exatamente sobre isso: http://forum.pfsense.org/index.php/topic,50226.msg267110.html#msg267110

Reinstalando o squid3, você pega a última atualização desenvolvida pelo ccesario com os logs em tempo real do squid e squid guard na interface gráfica. (aba real time no menu do squid).

Bacana alfrancis! Parabéns pelo retorno e feedback no fórum! ;) Abraços! Jack