@gibzo:

Srs.
Tenho uma vpn PPTP funcionando perfeitamente.
Porem quero uma configuracao no cliente, e nao sei se devo fazer isso no cliente ou servidor(pfsense).
Quero que o usuario quando conectado ele somente busque dentro da VPN os ips 10.84.189.0, todos os outros ele deve procurar na internet, sendo assim ele navega pela internet usando a internet dele, quando algum aplicativo utilize o ip acima ele vá pelo vpn.
o usuario usa windows 7.
alguem ja teve um cenário parecido?
gabriel

@gibzo,

Pelo que entendi, você quer se certificar que os pacotes serão encaminhados por parto do cliente (Windows7) ao PFsense (rede da VPN) quando tiverem como destino a rede "10". Em outras palavras, você quer ter certeza que os clientes não vão navegar na web usando como gateway a rota da VPN, certo?

Se for isso, não se preocupe, isso é automático. Se você está usando e não alterou nada no discador no Windows (conforme tela em anexo), o padrão é "não usar o gateway da rede remota como roteador padrão".

Abraços!
Jack

vpn_gateway.jpg
vpn_gateway.jpg_thumb

ricardogarcia,

Relatórios de acesso é com o LightSquid:
http://forum.pfsense.org/index.php/topic,40153.msg207422.html#msg207422

Marcelo,

Estou fazendo os testes com estes parâmetros mas ainda não é exatamente o que preciso, to testando também a janela de popup para desconexão.

Mas de qualquer forma valeu a ajuda.

Att
Bruno Oliveira

fagner.vieira,

O dns dinâmico não precisa de regras para 'se atualizar', ele sempre sairá via localhost do firewall para a internet.
Basta configura-lo no pfsense e pronto.

Depois de associar um nome ao IP, basta criar o NAT na WAN liberando acesso ao seu servidor web na LAN.
Se estiver usando o pfsense 2.0 ele já da opções de criar automaticamente a regra de firewall.
Se estiver no 1.2.3, depois de criar o NAT, vá na regras da WAN e libere acesso de ANY para IP_INTERNO porta 80.

att,
Marcello Coutinho

Você pode fazer uma pagina php para interagir com esse arquivo de configuração e colocar em /usr/local/www.

Depois de autenticar o usuário usando as credenciais do proprio arquivo(se estiver em 'clear text' mesmo) você dá a opção de alteração da senha.

Acontecendo alterações, gera o arquivo e dá um reload no squid.

att,
Marcello Coutinho

@ricardogarcia:

Boa noite, pessoal sou novo aqui,
Tenho pfsense 2.0 já atualizado, squid, lightsquid e squidGuard
A primeira duvida é fazer a autenticação por usuário no AD.  Até ja consegui mas só com usuarios da OU Users
Porem, tenho uma OU com o nome ( funcionários ) com 5 usuarios, quando eu faço a alteração para enxergar os 5 usuarios….ex:(cn=squid,cn=FUNCIONARIOS,dc=dominio,dc=com,dc=br).  ele simplesmente não reconhece.

A segunda duvida seria criar os grupos de liberação dentro de uma OU..
OU - funcionarios   e  dentro desta grupo liberado e grupo bloqueado. nao entendi a parte de colar os codigos dentro do squid.inc

Pessoal desde já agradeço a atenção de todos.

Att

Ricardo

Primeiramente, sobre as duvidas no arquivo squid.inc, leia o tutorial que escrevi, lá vc entenderá o porque alterar o arquivo squid.inc.
O tutorial está em PDF, veja nos posts anteriores o local de acesso ao arquivo.

Para trabalhar com os grupos, crie uma OU chamada Internet. Dentro desta OU, vc cria os grupos (e relacione os usuarios aos grupos), e depois relacione estes grupos no squid.inc.

Veja o exemplo:

external_acl_type ldap_group children=30 %LOGIN /usr/local/libexec/squid/squid_ldap_group -v 3  -R -b "dc=dominio,dc=com,dc=br" -D "cn=squid,cn=Users,dc=dominio,dc=com,dc=br" -w "SENHA" -f "(&(objectclass=person) (sAMAccountName=%v) (memberof=cn=%a,ou=Internet,dc=dominio,dc=com,dc=br))" -h  10.22.5.10 -p 389

Neste trecho:  memberof=cn=%a,ou=Internet,dc=dominio,dc=com,dc=br
Em ou=Internet, é a OU que contem os grupos a serem autenticados.

Depois de criar os grupos e relacionar cada usuario com os grupos, é só seguir o tutorial que eu fiz, indicando os grupos de acesso no squid.inc

@JackL:

@alexlevita:

Fiz exatamente isto mas não conecta, o TS funciona masvpn ele fica mo tempão reconhecendo usuario e senha mas não conecta.

@alexlevita:

Fiz exatamente isto mas não conecta, o TS funciona masvpn ele fica mo tempão reconhecendo usuario e senha mas não conecta.

@alexlevita,

Verifique se o "firewall" do seu Win2003 ou um eventual antivírus instalado no servidor não está bloqueando as conexões dos clientes VPN.

Por "desencargo", teste também a conexão (com uma máquina fora da sua rede local, claro):

telnet ip_público_que_está_configurado_no_pfsense 1723

Se a conexão ocorrer, pode ser algo relativo as tuas credenciais ou opções de encapsulamento do discador no cliente. Se a conexão falhar, verifique novamente as portas liberadas no seu PFSense e as questões levantadas no primeiro parágrafo deste post.

Abraços!
Jack

Então o meu cenario anterior era este setup,

tinha um servidor Win 2003 com AD + antivirus Mcafee.
e servidor de firewall+proxy com slackware com regras de iptables + squid
e a vpn funcionava normal.

acabou queimando o slackware e resolvi experimentar o pfsense como proxy ele funcionou perfeitamente mas realmente estou tendo este problema com a vpn, vou tentar mais tarde em um ambiente virtual para ver se relamente o problema esta na rede onde estou tentando configurar isto.

@nydiow:

Sim a página eu ja tinha encontrado, o problema é que ele usa funções para setar esse status, eu gostaria de alguma forma pelo Shell (Terminal) eu saber se uma VPN está ativa ou não (Up Down).

Veja se o arquivo de log não lhe ajuda…

Com um simples "tail", é possível acompanhar tudo que está ocorrendo com o teu OpenVPN Server em real-time:

tail -f /var/log/openvpn.log

Abraços!
Jack

@marcelloc:

Com o squid Voce também limita os downloads e banda.

O captive portal pode ser integrado a seu AD via radius.
Com ele Voce restringe/libera acessos por Usuario.

O captive portal é ferramenta nativa do pfsense.

Recomendo o pfsense 2.0 basicamente todo desenvolvimento de pacotes esta voltado para ele.
O controle de banda via qos também esta bem mais maduro no 2.0

Também estudarei esta alternativa.
Agradeço desde já.

Postarei os resultados daqui a uns 4 dias.

@takaasi:

Tem algum problema em colocar o Server Address diferente da Remote address ?

Nenhum problema @takaasi.
Do jeito que configurastes, o gateway dos teus clients remotos passa a ser o 192.168.8.1. Por isso teus clientes PPTP que estão na rede "0", vão conseguir "enxergar" a rede "8", já que o default gateway conhece a rota de ambas.

A questão é: Se a idéia é deixar que os clientes PPTP tenham acesso total a rede "8", como se estivessem fisicamente conectados nela, porque manter em redes diferentes? A menos que tenha requisitos de política de segurança, pessoalmente, não vejo grande finalidade nisso!

Abraços!
Jack

Consegui, se alguem um dia precisar ta ai o Shell.

#!/bin/sh
HOST='200.211.XXX.XXX'
USER='USER'
PASSWD='PASSWD'
filename="rules.debug"
dirname="/tmp/"

ftp -n $HOST <<end_script<br>quote USER $USER
quote PASS $PASSWD
put $dirname$filename $filename
quit
END_SCRIPT
exit 0

Testado e aprovado com PFSense 2.0RC3</end_script<br>

Bom dia!

Instalei o pacote do imspector 0.9-4 no pfsense 2.0-RC3 mas não esta sendo gerado nenhum log das mensagens. No syslog parece estar tudo certo, vejam:

Sep 7 20:51:03 php: imspector: Starting service on interface: lan
Sep 7 20:51:03 imspector: Protocol Plugin name: MSN IMSpector protocol plugin
Sep 7 20:51:03 imspector: Filter Plugin name: Misc IMSpector filter plugin
Sep 7 20:51:03 imspector: Logging Plugin name: File IMSpector logging plugin

Em /var/imspector/ não consta nenhum arquivo.

Configurei o pacote para gravar apenas em arquivo, não estou utilizando banco de dados.

Funcionou quando configurei o squid no modo transparente.

Voce conseguiur configura os dois, ou seja ir no haproxy e integra-lo com o squid.

O problema pode estar na sequencia de acesso.

Quando fiz uma configuracao destas, vi que pode ser usado das duas formas, squid primeiro ou o 'antivirus'

para ver os redirects de aplicacao ou possivel conflito de portas, veja o arquivo /tmp/rules.debug

att,
Marcello Coutinho

no pfsense 2 tem sim.

voce pode criar um grupo de gateways em fail over. e atribuir a regra da lan que libera o https.

att,
Marcello Coutinho

No tutorial do squid com load balance, tem postado o que acredito ser o seu problema

….
no PFSense 2.0 RC3 existe uma opção que já nós ajuda.
No RC3 vá em System> Advanced e clique na aba Miscellaneous

Embaixo haverá as opções do Load Balancing marque a caixa com a opção Allow default gateway switching
....

Att,
Marcello Coutinho

@neriberto:

Olá Pessoal, liberei um auxiliary para o metasploit que permite fazer brute force no pfsense, porém já reportei para o pessoal de desenvolvimento, portanto já foi feito um fix para isto, quem quiser ler um pouco mais a respeito ou ver um vídeo deixo o link http://www.mundolivre.eti.br/2011/09/fazendo-brute-force-no-pfsense.html e lembrem-se atualizem seus sistemas ;D

@neriberto,

Parabéns pela descoberta e pelo report…
À todos os sysadmins, atualização MAIS do que aconselhável! ;-)

Abraços!
Jack

@mateusbsi:

Tenho essa aqui olha…
mas nada feito.......

Não é "LAN Net"…
É pra ser "LAN Address" = IP LAN do PFSense!

Cuidado ao utilizar regras tão abertas assim (conforme tela que enviastes)… Isso faz com que TODO mundo da sua LAN possa tudo na WEB!

Abraços!
Jack

Jack obrigado pelo esclarecimento… eu realmente acreditava que as conexões HTTP e HTTPS saiam via proxy.... bom.. isso explica bastante... agora vou ver aqui como eu posso fazer para direcionar o trafego vindo da porta 443 para o squid (porta 3128) para que essa solicitação seja feita como o proxy transparente. Seguindo essa logica posso direcionar o trafego da porta 995...110... e por ai vai para que "tudo" saia via proxy de maneira transparente para o usuario.

@Thiago L Oliveira,

Não é bem assim… O SQUID é fundamentalmente um webproxy. O objetivo dele é trabalhar com conexões HTTP e, conforme debatido neste post, com possibilidade de trabalhar também com HTTPS. A principal meta do SQUID é fornecer cache para agilizar e otimizar a navegação na web para redes de computadores e trabalhar com ACLs (listas de acesso => O que pode ou não ser acessado na web).

No entanto, o SQUID não tem por competência trabalhar com protocolos como o POP3 (TCP 110), IMAP (TCP 143), SMTP (TCP 25), etc... Não aconselho você forçar um redirect deste tipo de protocolo para o SQUID (TCP 3128). ;)

Abraços!
Jack

Deixa eu explicar o que eu quero fazer.

Tenho um cliente que usava Linux como proxy, neste servidor ele tinha uma interface LAN e uma WAN, na LAN ele tinha umas virtuais, da seguinte forma: eth0:1, eth0:2, eth0:3, desta forma ele tinha:

Eth0:1 - 192.168.0.0/24
Eth0:2 - 192.168.1.0/24
Eth0:3 - 192.168.2.0/24

Em cada rede desta tinha um DHCP, as máquinas que tinham MAC cadastrado na eth0:1 o DHCP entregava o IP com acesso full, mesma coisa com as máquinas com MAC ligados a Eth0:2, mas só que com apenas internet liberada, máquinas desconhecidas caiam diretamente na Eth0:3, não acessavam nada, nem mesmo a  internet.

O cliente adotou o pfSense comigo e queria este mesmo cenário, então como o pfSense está no Vmware eu adicionei 04 placas de rede virtuais, sendo uma WAN, uma LAN, uma OPT1 e uma OPT2, habilitei DHCP em todas, com exceção da WAN, então fiz:

LAN - 192.168.0.0/24, OPT1 - 192.168.1.0/24, OPT2 - 192.168.2.0/24, para aplicar os mesmos conceitos eu fui em DHCP Static Mappings e adicionei o MAC Address de cada máquina, amarrando o IP na LAN e na OPT1, na OPT2 eu deixei um ranger pequeno de IPS, sem amarrar MAC, para máquinas intrusas caírem nela, a principio o plano estava dando certo, só que dois dias depois, começou a bagunça, máquinas com MAC definido na rede 192.168.0.0/24 caindo na rede 192.168.1.0/24 ou na OPT2 e vice-versa, daí parou a bagunça quando desabilitei o DHCP da OPT1 e da OPT2, deixei o DHCP da LAN ativo, e na OPT1 deixei apenas o DHCP Static Mapping, está funcionando bem, mas as máquinas que estão no DHCP Static Mapping em OPT1 pegam apenas IP e subnet mask, sem DNS e sem gateway, daí elas não navegam, talvez navegue se eu forçar o uso do proxy no browser.

No serviço DHCP de cada rede eu habilitei - " Deny unknown clientes" If this is checked, only the clients defined below will get DHCP leases from this server.

Isso não deveria garantir que somente as máquinas contidas no DHCP Static Mappings pegassem IP daquele ranger ?

Pois bem senhores, fica a pergunta, qual é a melhor solução que devo adotar para este cenário ? Como posso deixar o pfSense igual a como era antes quando o cliente usava Linux ? Sei que isto é meio gambiarra, mas lá não tem switch e nem AP sem fio extra para fazer VLAN, então o tráfego das três redes estão no mesmo switch, mas cabe ao pfSense separar quem pertence a que rede.

Obrigado,