Sono un cretino. La vecchia configurazione prevedeva (per utilizzare il dns interno con la PPTP) una regola negata che forzava la risoluzione dei nomi il locale. Togliendo quella tutto funziona regolarmente. Se dovete configurare una vpn ipsec con pfsense 2.3 dovete inserire nell'url "vpn_ipsec_phase1.php?mobile=true" affinchè vengano caricati anche altri metodi di autenticazione per il mobile (utile specialmente per iphone) e possiate configurare il tutto senza problemi.

Grazie a fabio per l'aiuto  ;)

Al limite, "taglia" l'HD…se possibile.
Alcuni HD hanno un ponticello per limitare via hardware la capacità... per carità, è un peccato perchè non lo sfrutti, ma dato che è più importante l'utilizzo, credo si possa sacrificare.

Prova a metterti con il notebook in wifi molto vicino dalla scheda del pfsense.
Se la velocità migliora, significa che la scheda o le antenne usate sul pfsense ha problemi.
Se la velocità non migliora, credo sia proprio un problema della scheda wifi.
Personalmente piuttosto che mettere una scheda wifi sul pfsense, userei un access point configurato in bridge wifi-ethernet, in modo da lasciar gestire la parte wifi (e magari con la cifratura in radius) all'access point.

Ciao,
nella tua configurazione ci sono alcuni errori concettuali:

Se aggreghi due connettività non ottieni il doppio della banda ma fault tollerance ed aggregazione. Mi spiego: se hai due linee da 10Mbps e scarichi un file da 100MB scaricherai sempre alla velocità massima di una delle due linee (quella che verrà usata per il tuo download). Se invece scarichi due file e sei fortunato, le due connessioni vengono usate in parallelo, la prima per il primo file e la seconda per il secondo file.

Il DNS RR funziona dall'esterno se hai due IP pubblici ed un nome a dominio di cui puoi gestire il DNS. Il DNS RR fa si che puntando un nome a dominio tipo vpn.dominio.it il DNS del provider restituisce la lista degli IP corrispondenti in ordine diverso ad ogni query fatta.

il tuo DNS interno non può essere utile in alcun modo dato che non ha alcun ruolo in questa configurazione.

Il DNS RR per la mia esperienza, in questa configurazione, ti può creare più problemi che benefici.

Non ho capito cosa intendi con l'ultima frase "Va tenuto inoltre considerato…." perchè per ogni servizio di cui fai NAT può essere utilizzato un solo IP a meno di non cambiare la porta per ogni macchina che andrai a puntare.

Ciao Fabio

hai ragione da vendere.
e' proprio cosi'.
ho ricreato il tutto in virtuale , e il tutto funzionava / non funzionava in relaziona al DG del pc "dietro" alla pfsense.
come posso risolvere ? datemi solo un input, poi provvedo io a sbattermi.
in pratica devo poter raggiungere un pc  dietro una pfsense  , dove la pfsense non e' default gateway.
mi serviranno sia nat 1:1 , sia openvpn , per due necessita' distinte

accetto idee, grazie !

Ciao,
probvabilmente non hai disinstallato qualche package deprecato

Se vai in Diagnostics > Backup & Restore > Backup & Restore
nella sezione Package Functions
Dovresti avere un pulsante per interropere l'operazione di installazione dei packages. Purtroppo non ricordo esattamente come si chiama e compare solo durante la fase di aggiornamento.
Ciao fabio

Grazie mille per la risposta.
Stanno lavorando ai repository delle varie release infatti hanno aggiornato da pochi minuti i download.
E' già stata rilasciata la 2.3rc e la 2.3.1 development

Ciao io ho settato così su qualche server e sembra andare tutto liscio :

HDD Cache Size 5000 Memory Cache Size 256 Maximum Object Size in RAM 256 Cache Dynamic Content SI Allowed Subnets 10.91.0.0/16

Il resto è tutto di default..

Possiamo provare a configurare insieme il server…
Ma in passato ho avuto non pochi problemi con server pppoe e accounting con PFsense.... Infatti attualmente uso nella maggiorparte dei casi captive portal con radius e mysql...
Su due impianti ho ancora PFsense a monte e un server pppoe dedicato per l'autenticazione degli utenti.

@cerbero:

Ho eseguito di recente un lavoro di migrazione simile al tuo (che forse vista la data del post magari hai gia finito, ma può essere utile ad altri). Personalmente ho preferito adottare una politica piu conservatrice, migrando un blocco alla volta (conf. OpenVPN, conf. NAT, etc…) e dopo averne verificato il corretto restore. In questo modo i certificati li devi esportare a mano, ma a meno che non ne hai diverse decine, è un'operazione da 5 minuti di orologio (copia e incolla di due testi per ogni certificato).

Confermo quanto scritto da cerbero.
Ho migrato pfsense da un alix2d13 ad un alix apu1d4, ma dopo molti tentativi (squid, squidguard, clamd non partivano) ho risolto il tutto configurando da 0 la nuova piattaforma.
Per i certificati bastano pochi minuti, giusto un semplice copia ed incolla del loro contenuto.

Salve a tutti,

sto sperimentando un problema con il proxy trasparente ed il limiter. Si tratta di un pfSense 2.2 1WAN+1LAN con squid3. In LAN ci sono degli IP definiti in un alias che non dovrebbero superare 1 Mbit e che dovrebbero passare per il proxy trasparente.

Se abilito SOLO il proxy trasparente il traffico sulla 80 viene filtrato correttamente.
Se abilito SOLO il limiter (in/out) sulla LAN il traffico viene limitato correttamente.

Se li abilito entrambi il limiter funziona ma non navigo sui siti http…per fare funzionare il tutto devo andare ad impostare il proxy manualmente nelle impostazioni del browser come mai?....soluzioni?

grazie in anticipo!

Ciao Danilo..
Io ho al mio interno un PFSENSE configurato allo stesso modo.. Solo che, per navigare dalla mia LAN sui due siti pubblicati, uso l'IP INTERNO dei server che ospitano il sito.

Ho dichiarato all'interno dellaconsolle DNS del mio domain controller i due HOST A dei server in questione nella modalità

intranet.pippopluto.com  HOST A= 192.168.1.10
intranet2.pippopippo.it    HOST A= 192.168.1.30

e tutto funziona.

Il rebind di fatto succede quando si usa un ip EXTERNAL su una rete locale, fatto che viene percepito come un potenziale attacco.

Se non hai un dominio interno e quindi una consolle DNS potresti agire a livello di file host pc per pc. (o con uno script per fare tutti i pc in un colpo solo..)

Puoi farlo creandoti un ALIAS dove all'interno metti i siti che vuoi "shapare" chiamato, ad esempio, SITI_LIMITED

A questo punto bisogna:

-1 Creare un "limiter" IN e OUT dal menu Firewall > Traffic Shaper > Limiter
dove su "Bandwidth" inserirai i kb che vuoi riservare per i siti messi nell'alias.

-2 Inserire una opportuna regola di shaper sul firewall nell'apposita rete, (ad esempio in LAN)

Interface: LAN
Protocollo: TCP-UDP
Suorce: ANY
Destination: Alias SITI_LIMITED

Nel nemu' in basso IN_OUT inserisci i due "limitatori" creati in precedenza, salvi e chiudi e dovrebbe essere a posto.

Puoi controllare l'attività del limitatore dal menu' Diagnostic > Limiter Info

Non vorrei sbagliarmi ma con le "GRUPS ACL" di SquidGuard si può ottenere quello che chiedi..

Domani approfondisco la questione..

Grazie per la risposta.
Confermo che non ho cambiato porta al modem; l'ho configurato la prima volta associandolo alla dev/cuaU0.0 e funzionava correttamente poi all'improvviso ha smesso di andare.Strano!
Con la shell mi arrangio, dove si trovano esattamente i log?Grazie ancora. ;)