Valeu, vou testar. @fabianopolone: Olá Crie uma configuração com proxy transparente e SSL no SpliceAll e coloque autentificação do squid pelo captive portal, no Squid Guard crie os grupos com as politicas de acesso e coloque com os nomes que estão cadastrados no users manager desta forma 'usuario' Instale o Lightsquid libere sua porta no firewall e seje feliz

Olá Obrigado, então pelo que percebi o PFsense quando se trata de interceptação de https não funciona muito bem certo. E usar sem o SSL tem algumas coisas que sempre passam. Mais blz vou ter que ver uma outra forma. Obrigado pelas respostas Marcelloc

@carlosandre: Boa tarde Senhores! Instalei a versão 2.3.4 e configurei tudo para modo transparente, sendo que só funciona quando coloque o ip do proxy no navegador. A versão 32bits está com problemas no proxy transparente do squid.

Desculpe pela demora, irei novamente retomar aos testes pois obtive alguns imprevistos… Vou atualizando

bypass para esse ip. pode ser uma conexão não http passando pela 443

Já instalei em maquinas virtuais para realizar uns testes antes de ir para a maquina física

Ótima dica, obrigado.

Olá Desculpe a ignorancia, mais não consegui filtrar o wireshark para pegar os ips que o skype pega, poderia me auxiliar? Obrigado

bom dia, grato a todos por terem respondido. eu já fiz todo tipo de teste: no hosts: nomepc.dominio.corp nomepc no resolve.conf: search dominio.corp                         nameserver 192.168.0.2 <–ad                         nameserver 192.168.4.1 <-- firewall filial tudo interligada pela vpn. agora se eu der um nslookup domínio.corp ou ip da matriz não resolve nem a pau. as regras de firewall que liberei foram na vpn liberei todo tipo de protocolo entre as filiais. os gw envolvidos são o do servidor filial com ip: 192.168.4.1  e do da matriz com ip: 192.168.0.1, interligados pela openvpn. fico muito grato a todos que responderam!

Essa alteração que fez no arquivo será perdida quando atualizar o pfSense. Porque precisa mudar a porta do Captive Portal?

Oá Marcelloc.  Grato pela msg. Sim, já postei lá também em Inglês. POr hora, nenhuma resposta. Abraço e Obrigado. Fabrício.

Está correta a configuração do nat. Já verificou se não existe uma regra na wan negando o acesso antes da regra criada junto com o nat? Note que o nat é traduzido antes das regras, então vai ver na wan uma regra de any para o ip do seu servidor de aplicação. É importante lembrar também que o firewall precisa ser Gateway desse servidor, em algum nível de saltos/métrica

Veja se este esquema resolve teu problema: https://forum.pfsense.org/index.php?topic=128036

@Sorriso: Parabéns a todos e a Sys Squad pela excelente iniciativa! Tks! :-) Abraços! Jack

Então, este pfSense eh o 2.1.5. Mas tenho em alguns clientes o 2.3.4 e bloqueia normal pelo Splice. Se conseguisse todos os IPS, talvez bloqueasse. Mas, não achei no bgp….

@michelbragaguimaraes: Quanto vale a versão paga? Vc pode encaminhar esta sua solicitação em pvt através do e-mail: modpf@conexti.com.br Abraços! Jack

Cria uma regra antes permitindo o acesso interno sem alterar o Gateway

Esquece, consegui identificar. o que ocorre é um Nat, quando o pacote entra no túnel, o endereço de origem do pacote muda fazendo com que a requisição chegue em meu servidor radius como 172.16.1.2 ao invés do cadastrado no servidor NAP obrigado!

Sim, você está passando ou por falta de regras ou por um problema de roteamento assimétrico. Monitore o trafego para identificar qual dos dois está acontecendo.

Entendi. Bom, eu criei uma CA como "Create an internal Certificate Althority". Meu certificado eu criei como "Create an internal Certificate", colocando como o Certificate Type a opção Server Certificate. Fiz errado? Realmente não tenho experiência com certificado no pfsense.