@marcoafm: Descobri como fazer. Eu não estava sabendo era configurar o Radius do Windows Server. A grande questão é que no meu caso específico (pode ser que também ocorra em outras infras por aí) é que os critérios que o Radius/NPS do Win server para decidir qual dos ADs vai autenticar qual conta não tem pontos em comum com minha infra estrutura. Se alguém quiser, explico em detalhes. Vou fazer testes com o FreeRadius do PF agora. Bacana!! Se tu quiser explicar aqui, já fica mais fácil de resolver futuros problemas para outros usuários. :D

@andrezaomac: @admclayton: Bom pessoal, Instalei pfsense 2.3.3 com squid + squidguard integrado com AD com interceptação de tráfego SSL, tudo funciona bem, porem eu gostaria de saber como eu faço para liberar uma maquina/host acesso total a internte sem passa pelo proxy, já tenteu incluir o do maquina/host na opção "Unrestricted IPs" do ACLs do Squid mas não funcionou, tentei criar regras no firewal e também não funcionou. Alguém ja passou por este problema? Outra forma alem da qual já foi falado abaixo é: Crie uma Aliases com o nome EX: foradoproxy Dentro dessa Aliases acrescente os IP que vc quer que fique fora do proxy, e Salvar e Aplicar. 2º passo, Em Regras do Firewall Crie uma nova regra para LAN Liberando todos os acessos e na Origem vc adiciona a Aliases que criamos acima. Feito isso é só salvar e aplicar. Funciona perfeito. É assim q eu uso aqui, funciona sem problemas, porém a maquina acaba ficando numa zona totalmente sem segurança

@Helpfast: Bom dia pessoal… Já resolvido vários bugs e dúvidas em relação ao pfsense, hoje, estou com ele, com 3 placas de rede, sendo o tráfego na LAN_1 somente para os computadores que utilizam computadores com enlace físico, LAN_2 será somente para 5 hotspot's que estarão rodando na plataforma Tanaza, são Ap's Ubiquiti e a terceira na WAN. Qual o problema em questão, o usuário acessa via cabo, irá logar no captive portal e ter a segurança do Squid e Squidguard, o usuário que logará via conexão wifi, passando pelos Ap's Tanaza, irão fazer o check-in conforme configurado, facebook, gmail, twitter etc, e após, cairá na rede, por fora do captive portal, uma vez que a Tanaza, precisa de um link válido com a internet, para realizar os check-ins etc... Se eles estiverem passando pelo captive portal, não terão acesso ao facebook etc, existe uma forma de realizar esse "Desvio" de rota? Exemplo: Acesso liberado nas portas Tanaza, 5050/5051, após o check-in, volta para Captive portal. É possível? Muito obrigado! O Tanaza possui algum IP da rede atribuído nele??? ou está direto em modo Bridge? Se obtiver IP, crie uma regra para o IP dele com acesso total, fazendo isso seu Tanaza terá acesso total a internet.

O que aparece no lugar? já tentou abrir o plugin firebug do firefox ou o f12 do navegador para ver se tem erro no carregamento de parte da página?

Windows, com AD, precisa usar o DNS do Windows.  O Servidor de DNS do Windows pode ser configurado como forwarder apontando para o pfSense como rodando como resolver.

Faça a configuração do wins pelo DHCP, marcando o servidor (ad) e o tipo (0x8). Você pode configurar também o sufixo de dns para facilitar a resolução de nome sem domínio.

@empbilly: @Helpfast: @marcelloc: A interceptação de ssl não tem relação com o captive portal. Configure um site http no navegador para ser a página inicial e coloque ele no bypass do squid em modo transparente. Dessa forma ao abrir o navegador, você vai cair no captive. Putz, muito obrigado!!! Por que então, após eu ter feito a configuração do wpad, perdi o acesso ao captive portal? Eu estava tendo acesso normal, porém, ao usar o Proxy automático, parou… Pode me responder? Tu tem alguma regra de firewall redirecionando tudo pra porta 3128? Tinha, porém, como não tive sucesso, tirei as regras… Neste momento, tenho o captive portal, com as restrições, basta ver os erros de certificado. Abraços!

ninguem?

@morais2707: ok, e essa questão de usar duas ranges de ip no switch é pq aqui tem o monitoramento das cameras Eu faço redes fisicamente separadas, câmera gera bastante trafego. VLAN como foi dito é uma solução se não pode passar outro cabo.

agora aparece um erro no log do squid: 08.05.2017 16:55:19 ERROR: URL-rewrite produces invalid request: GET ERR HTTP/1.1

@anemacuore: boa noite algum poderia me ajudar, ao configurar diversas acls por grupo no squidguard, o usuario da acl X nao acessa o que a ele foi liberado, no erro que aparece na pagina do browser quando ele loga o grupo cliente aparece como CLIENT GROUP:defoult. o que posso estar fazendo de errado que ele nao busca a ACL especifica do usuario e nao a default. tenho como excluir essa default e permanecer somente as que eu for criando? obrigado Leia esse post que vai te ajudar muito! https://forum.pfsense.org/index.php?topic=129617.new;topicseen#new

Esta tentando acessar a interface web via LAN ou WAN. Caso seja via wan terá que liberar a porta 443 com destino o IP da WAN. Na LAN já vem regras liberando esse acesso.

Valeu Marcello, foi o que imaginei. Estou usando uma versão VM do Fortigate pra fechar túnel IPSEC com o pfSense, só que o modelo do FGT aqui suporta apenas DES, diferente do appliance em hardware que suporta vários outros e entre eles o 3DES. Abs !

Verifique detalhadamente o seu script de configuração automática e monitore no firewall, que urls sua estação está chamando.

@marcelolop3s: Como eu faria para colocar essas rotas dentro do meu Pfsense para quando meus usuarios logar na vpn eles consigam acessar essa rede ? Nas configurações do túnel no próprio openvpn. Veja a descrição dos campos, lá mesmo tem a sintaxe de rotas adicionais.

@miguelibiapina: Preciso fazer com que, os computadores da interface LAN, que é a rede local, ao acessarem o site "WWW.SOULMV.COM.BR", os mesmos seja redirecionados para a interface OPT1, na qual está ligada a fibra. E o resto dos sites para a interface WAN. Eu consegui fazer isso com IP's nas regras de firewall. Lá eu disse que, qualquer IP da classe A 10.0.0.0, seja direcionado para a interface OPT1. E qualquer outro IP (Exceto os IP's da classe C 192.168.0.0 que é da rede local) Vá para a interface WAN. Não ficou claro que você já conseguiu fazer a configuração ou não. De qualquer forma, a regra na LAN direcionando o trafego para o ip do site privado é um das soluções. Outro solução seria fazer o seu dns apontar para o ip interno da aplicação atrás do links OPT1. Se estiver usando proxy, não esqueça de configurar no fw ou nas configurações do squid, um dns que conheça o ip do site interno.

Oque estava ocorrendo era o campo winbind max clients do arquivo smb.conf estava com valor "baixo" mesmo estando com 1000 conexões. verifiquei isso pelo log log.winbindd aumentei para 99999 e não tive mais esse problema.

Antes das regras que definem a saída para o Gateway x ou y, cire regras permitindo o tráfego interno sem alterações de Gateway. Se não puder publicar os sites internos com os ips internos para a comunicação lanx to lany, use o nat reflection ou acerte a publicação interna se estiver usando por exemplo o haproxy.

@empbilly: @danilosv.03: Tu já tentou fazer atualização dele via comando dentro do console? Bah cara, tentei de tudo já!! kkkk Consegui resolver. A solução esta no topico em inglês. https://forum.pfsense.org/index.php?topic=130054.0

No seu dns interno, crie a entrada para os seus sites apontando direto para o web server. Se fez a publicação via nat, mude a gui do pfSense de porta e no nat marque a opção de reflection.