alla fine basta capire la relazione tra tagged / untagged / trunk e diventa una cazzata
se non vuoi che vlan entri in lan è ok

se non ricordo male, quando imposti una VPN dalla parte server, devi indicare la classe IP della sede remota.
temo che tu non ne possa indicare 2 differenti altrimenti non saprebbe in quale VPN inviare i pacchetti.

boh niente sul client che sappia, hanno solo aggiornato a una versione + recente comunque
qui c'e' genta con lo stesso problema con varie solutioni, il tutto fa pensare a vari antivirus che fanno casino
https://forums.openvpn.net/viewtopic.php?t=7663#p31560

che ti ritroveresti con una doppia nat ma non so a quali inconveniente andresti in contro sinceramente, se configurato correttamente non vedo problemi...
lui dice che potresti comunque mettere tutto sul primo pfsense e un secondo pfsense lo potresti usare come backup per https://docs.netgate.com/pfsense/en/latest/highavailability/index.html

grazie!
e sul portatile cosa installo?

@kiokoman

Capito allora. Meglio andare sulla soluzione classica con i cavi di rete per il collegamento a pfsense allora. Che poi a monte ci sia un modem/router o qualsiasi dispositivo wifi/LTE è un altro discorso che riguarda poco pfsense.
Grazie

confermo, tutto corretto

Risolto!
Avevo cambiato l'IP del server DNS nella scheda del pc per fare un esperimento e avevo dimenticato di resettarlo.
Ovviamente non puntando più al mio router in cui era impostato il DNS statico per il FQDN di pfSense, l'indirizzo non veniva risolto.
Scusate e grazie

se le interfacce fossero state configurate correttamente avresti 2 gateway.
ci sono un sacco di video tutorial su youtube, te ne linko uno
https://www.youtube.com/watch?v=Gvvwm5lwpMk

non saprei, ci deve essere qualcosa che non va nella configurazione o nella installazione, forse le risorse stesse non sono abbastanza, ho provato ad installarlo e ad attivarlo sul mio ma a me la swap resta a zero e la ram passa dal 18% al 33%
non c'e' altro nei log che possa dare indicazioni più utili ?
swap_pager_getswapspace indica semplicemente he hai finito la ram e lo spazio di swap, 33% per me corrisponde a 2gb di ram usata, se hai altri pacchetti aggiuntivi che consumano ram resti a secco

Immagine.jpg

Ciao @kiokoman , si ho fatto la prova ma non cambia granchè.
La mia domanda nasceva dal fatto che il modem è parecchio vecchio ed anche il tecnico telecom mi suggeriva di cambiarlo perchè probabilmente non sarebbe stato in grado di supportare pienamente la banda della fibra.
Ma dopo aver fatto il tentativo direttamente sul pfSense ho scoperto che la banda non è cambiata minimamente, attestandosi sempre intorno ai 480Mbit. Dunque modificare la configurazione diventa solo superfluo, anzi complica solamente più le cose, quindi lascerò tutto così.
Grazie e saluti

@kiokoman Ti giro il printscreen della regola che apre ogni porta verso l'interfaccia da me nominata WAN1, connessa ad una porta LAN del Cisco. In teoria ogni IP navigante, su ogni porta, dovrebbe riuscire ad arrivare in modo secco su WAN1. Quando navigo il pubblico in modo automatico vengo rediretto sulla porta 443 ed amministro il firewall da remoto. Ancora non riesco però, specificando una porta differente, a essere rediretto su quel 192.168.168.230 che non raggiungo. Considera che prima di mettere su il balancer il copiatore lo raggiungevo senza problemi, usando la logica del medesimo pubblico su porta differente; da quando ho messo su la nuova situazione non riesco più e davvero non comprendo.
64d7a4c8-9ac9-4e1c-a283-1f261a45e4ed-immagine.png

@fabio-vigano said in Dubbio sull'utilizzo della funziona "do not NAT" (OutBound NAT):

Ciao,
Serve esattamente per caso come quello che hai citato.
Se vuoi che tra due sottoreti normalmente nattate l'ip di un particolare dispositivo debba transitare senza mascheramento allora usi quel flag.
Di fatto impone al sistema di fare solo routing in quel particolare caso.
Non so se sono riuscito a farmi capire
Ciao Fabio

Spiegazione chiarissima: quello che mi sfuggiva, è che pfSense per gli "outbound NAT" applica il "masquerate" in default e quel flag semplicemente lo disattiva.

...banale: ma non l'avevo afferrato.

Un Grazie a tutti!

Ciao Kiokoman
Si ho gia' aggiunto quello che mi hai suggerito, ma non funziona ancora.

Vi do ulteriori dettagli:

Se utilizzo l'utility di PING direttamente da Pfsense e sceglio come destinazione l'indirizzo del modem (192.168.5.1).....

SITE2
Origine LAN: PING yes.
Origine OPENVPN SITE-to-SITE: PING yes.

SITE1
Origine LAN: PING no.
Origine OPENVPN SITE-to-SITE: PING yes.

Non riesco a capire cosa manca....

Grazie

@kiokoman Grandissimo! Erano proprio il "DHCP Registration" e il DNSSEC!
Grazie mille.

purtroppo no, dovevi configurare syslog per inviare i log ad un server esterno con più capacità di conservazione

Ciao! Necroposto per dirvi (e dire al mondo) che wind (non so se lo fa il provider o il modem) fa transparent proxy sulla porta 53. Ovvero, qualsiasi dns tu metta, viene "rimpiazzato" durante la richiesta con quello wind, un po' come un http redirect. Per risolvere devi usare un DNS su una porta diversa. Purtroppo siccome il router non permette di cambiare la porta del dns, ho dovuto usare una raspberry con dnsmasq e mettere l'IP locale della rasp come server dns nelle impostazioni del server dhcp del router (l'alternativa sarebbe mettere il dns manuale a tutti i dispositivi e ma anche no)

e anche comunque non era possibile visto che i due gateway sono sulla stessa sottorete 10.195.97.x, ti serve ripensare alla rete e creare eventualmente una rete di transito tra pfsense e i dispositivi di monitoraggio

cosi è come sei messo tu adesso praticamente e non funzionerà mai
1582221808927-borked.png

si, collega l'hard disk su un altro pc che abbia linux, o puoi far partire un pc da una chiavetta con linux, monti la partizione e trovi il file di configurazione in /cf/conf/config.xml
oppure potresti anche montare l'hard disk direttamente su una macchina nuova