https://forum.netgate.com/topic/152775/open-vpn-pf-sense-e-zywall-usg-110

Se qualcuno puo' darmi una mano.

Grazie

@senseiluke said in Floating rules VS LAN rules in pfblockerNG:

ciao,

short:

Rules defined on the floating tab are processed first Rules defined on interface group tabs (Including IPsec and OpenVPN) are processed Rules defined on interface tabs (WAN, LAN, OPTx, etc) are processed last

here the link to the dokumentation:
https://docs.netgate.com/pfsense/en/latest/firewall/firewall-rule-processing-order.html

i personally
like the pfB ruleset in floatin so that i dont have to worry what comes first and do my rule thing on the other interfaces !

hope that helped

Ok, ho fatto.
Diciamo che blocca molti IP ma molti altri rimangono nell'Alerts e non capisco il motivo sinceramente.
Inizialmente avevo impostato di bloccare solo IP DST ma non era abbastanza risolutivo.
Ora ho impostato su BOTH e cosi funziona bene perché blocca completamente anche il pc dientro il firewall (questa soluzione potrebbe essere troppo drastica e portarmi scocciature dagli utenti).
Ora volevo provare ad usare lo shaper per creare una coda con un limite bassissimo e farci finire tutto il traffico p2p...vediamo cosa trovo in rete...

quasi sicuramente è un problema eolo, la linea è degradata o satura e hai perdita di pacchetti, dovresti chiamare loro e farti fare una verifica alla linea

@fabio-vigano Grazie per l'aiuto, abbiamo comunque utilizzato un sistema diverso per il trasferimento

Mi pare che, anche col livello di logging standard, lo script riesca a estrarre il nome dell'utente.
Il syslog server è un'opzione, ma non è sempre disponibile.

Lo storico delle connessioni si ottiene salvando i dati sul documento di testo interno a pfsense.
Volendo, allo script di connessione/disconnessione openvpn, si può affiancare uno script che registri dati su base temporale (sempre su file di testo); così si potrebbe anche avere lo storico per giorno/ora del traffico effettuato sulla vpn da ogni utente.

@kiokoman said in Ancora problemi con il DNS?:

era la prima cosa che gli avevo detto di fare, chissa se lo ha fatto però 🤷

Averci fatto caso prima pure io mi risparmiavo mezza giornata almeno di mal di testa. ☺
Comunque, forse è stato meglio aver sperimentato e testato le diverse soluzioni pensando a varie cause; si può ottenere così una conoscenza più approfondita o quanto meno si impara a conoscere meglio il programma.
In realtà io ci sono arrivato ricordandomi di una parte di un vecchio video tutorial in inglese che se non sbaglio consigliava di disabilitare questo controllo con pfsense in VM...o qualcosa del genere.

@fabio-vigano said in Forzare aggiornamento pacchetti:

@senseiluke Scusa, ma se stiamo parlando di ripristino di config cosa centra il client e la navigazione?
Se apri più discussioni poi non fare confusioni con le risposte, chi arriva dopo e legge non ci capisce nulla e la discussione diventa inutile per gli altri.

Tornando all'oggetto della discussione, se non vengono ripristinati i pacchetti quando vai a fare il restore della configurazione hai 3 possibilità:

le interfacce non sono collegate nell'ordine corretto o non sono connesse durante il restore la configurazione era fallata all'origine la configurazione viene ripristinata su una versione di pfsense o su un hw diversi da quelli originali e per qualche motivo incompatibili.

Ora, io non ho capito che versione avevi prima, 2.4.4-p3 o inferiore?
Se era inferiore devi cercare e scaricare la iso della versione che avevi prima oppure ti rifai la configurazione da zero.

Ciao Fabio

Scusami ho sbagliato discussione. Vedi qua:
https://forum.netgate.com/topic/152300/ancora-problemi-con-il-dns

@kiokoman said in Backup e restore:

il file di backup contiene tutto, reinstalli da iso e ripristini il backup, i pacchetti aggiuntivi verranno reinstallati automaticamente

Era proprio quello che volevo sentire fortunatamente 👍
Grazie

@fabio-vigano said in Problema con certificato locale:

@senseiluke mi sa che stai facendo un po' di confusione 😃

per raggiungere il tuo pfsense con un nome a dominio o fqdn (www.senseluke.localdomain) devi avere un dns nella rete che risolva il nome e lo trasformi in IP di norma il certificato viene emesso su un certo FQDN che viene riportato nel campo CN del certificato quando accedi al firewall con il suo FQDN ed hai un certificato installato, viene fatta una verifica se il nome inserito nel browser corrisponde al CN del certificato installato sul firewall, se coincidono la comunicazione è sicura e non hai nessun messaggio di sicurezza il colore del lucchetto dipende anche dal tipo di certificato, se te lo sei generato da solo non è molto attendibile quindi la comunicazione avviene in modo sicuro (lucchetto chiuso) ma in quanto ad autorevolezza fa un po'acqua, è come se ti stampassi una carta d'identità da solo, magari il nome è giusto ma me lo dici tu che non sei ne ufficiale anagrafe ne notaio.

Spero di aver reso l'idea e fatto chiarezza.

Ciao fabio

beh il dns del mikrotik dovrebbe andare bene. Deve aggiungere quindi un record "static" nel server DNS. Appena possibile provo
2 e 3) è possibile verificare questo campo CN se è stato introdotto correttamente nel certificato? capito :-)

Grazie

@fabio-vigano said in Non vedo più i pacchetti disponibili:

Se il DNS non va, la causa è lui.
Verifica sotto l'interfaccia WAN di aver tolto la spunta da "Block private networks and loopback addresses"
Poi verifica in General che DNS hai impostato e nel caso prova ad aggiungere anche quello del tuo provider.
Ciao fabio

-Si avevo tolto il segno di spunta a block private networks
-In General setup non ho impostato nessun dns server in dns server settings
Solo quello locale - DNS server(s) 127.0.0.1

Comunque adesso va. Vedo pure i pacchetti da poter installare. 🤷
Grazie

@fabio-vigano said in ACME localhost:

Certo, l'importante è che se fai emettere un certificato a let's encrypt il dominio per cui lo emetti sia un dominio valido.
per capirci, puoi fare emettere un certificato per firewall.miodominio.it ma non puoi far emettere un certificato per firewall.miodominio.local

Ciao fabio

Scusami ancora. Giusto per essere sicuri.
ma qui non dvo toccare niente?
alt text

Quando parli di dominio ti riferisci solo quello da registrare su let's encrypt?
Grazie

@fabio-vigano said in Usare proprio server OpenVPN per navigare sicuri da altre reti esterne:

Non so se rientra tra le opzioni inviabili al client con un push, se fosse così è possibile che attivando disattivando il flag la configurazione venga modificata al volo a patto di ristabilire la connessione.
Ciao fabio

Mi è sembrato che facesse proprio questo in effetti.
Grazie

@senseiluke Bind è quando metti un servizio in ascolto su un interfaccia. Uno dei primi parametri da configurare in openvpn è l'interfaccia su cui ascolta. Di default è wan ma puoi mettere quello che ti pare.
Ciao

@fabio-vigano quindi non devo installare più pfSense e pfBlockerng?
avevo inizialmente escluso nxfilter perché al momento non passano ordini di acquisto

@corsaro8877 said in Installazione pfsense su pc che attualmente ha installato ubuntu 18.04 Lts:

Grazie mille per la risposta @fabio-vigano
quando ho effettuato l'installazione di ubuntu l'ho eseguita in modalità legacy, quindi diciamo che da bios uefi è disattivato, l'unica installazione che mi permette di effettuare da USB è l'installazione di CentOS, ora non vorrei aver scaricato la versione errata di pfsense, perchè quando mi ha messo a scegliere tra Serial e Vga io ho selezionato VGA

PfSense_Dowload.PNG

Ciao, la versione scelta è corretta, probabilmente devi solo trovare la combinazione giusta per effettuare il boot da USB
Una volta avviata da USB non dovresti avere problemi perchè puoi formattare tutto.
Ti do qualche info un po'scontata ma tanto vale:

per accedere al bios e modificare il boot di solito i tasti sono F2 o CANC poi ogni brand fa un po'quello che vuole durante il boot nei BIOS più recenti puoi premere F11 per selezionare il dispositivo da cui fare boot senza cambiare impostazioni nel BIOS collega la chiavetta a PC spento, alcuni BIOS leggono le periferiche USB al boot solo se già connesse prima di un avvio a freddo I sistemi linux impiegano molto meno di windows a fare il boot questo fa si che o sei un missile a premere le combinazioni di tasti o ti fregano e fanno il boot. Nel 80% dei casi il problema è questo quindi puoi usare qualche stratagemma per rallentare l'avvio tipo impostare nel BIOS ritardi di avvio del sistema o check approfondito prima del boot (alias disabilita il quick boot o fast boot)

Ciao fabio

non ho mai usato quella versione, non ho idea di come mandasse il report prima 🤷

io farei fare il routing al pfsense