Allora … facciamo il punto della situazione ...
sono in attessa del rilascio della Ver. 1.2 STABILE per cui tutto quello che scriverò da qui in avanti è riferito solo ed esclusivamente alla Rev. 1.2 RC4 e piattaforme Embedded Alix 2 e 3.

In effetti scaricando da internet l'immagine per embedded non c'è la possibilità di installare pacchetti agg. (almeno tramite l'interfaccia web) ma in ogni caso il problema è ampliamente aggirabile ... ecco le istruzioni:

precisiamo che non mi sono inventato nulla di nuovo ho solo riciclato (come al solito :P quello che ho trovato sulla rete):
il documento di riferimento è questo ... http://devwiki.pfsense.org/FullInstallOnWRAP
con le opportune "rivisitazioni" … ecco i punti salienti:

Requisiti :
Live CD di pfSense
PC Standard (no HDD)
CF con relativo lettore USB
Un po di tempo a disposizione (la procedura è lentina !)
Alix 2 o 3 series

Ecco come ho fatto:

Ho Avviato il PC con la Live (la CF ed il lettore non sono collegati !)
Ho configurato pf per il primo avvio
A questo punto ho inserito lettore e CF (me li vedeva su da0)
ho fatto partire l'installazione ( 99 dal menù)
ho seguito l'installazione in modalità standard fino all'installazione del Kernel li ho selezionato il Kernel Embedded ed ho installato il bootmanager con Grub (c'è da sbaffare l'installazione del GRUB ... IMPORTANTISSIMO !!)
ATTENZIONE SE NON SI INSTALLA IL GRUB NON FUNZIONA
ATTENZIONE L'INSTALLAZIONE (ALMENO NEL MIO CASO) SULLA CF E' LENTISSIMA PER CUI NON PREOCCUPATEVI SE SI FERMA ANCHE PER MEZZ'ORA SUL 41% POI ALLA FINE VA !
Ho tolto la CF l'ho messa nella mia Alix
Ho avviato, ovviamente con un terminale da seriale
Quando mi da l'errore che non trova il file sistem da avviare gli d'ho il comando a mano: ufs:/dev/ad0s1a
Avvio pf ... lo configuro ... poi una volta partito entro in shell
vi /etc/fstab e modifico /dev/da0s1a in /dev/ad0s1a

riavvio e fatto ho un installazione full su embedded !

Matteo
Ciaoz.-

Grazie mille per la disponibilità  ;D

Speck

per l'installazione meglio la cf da 1gb o 2g e poi ti crei a mano un altra partizione o espandi quella esistente.

Per espandere la partizione come si fa? Ma voi usate la embedded oppure seguendo il tutorial la trasformate in Full?

Come ti dicevo graficamente non è possibile per ora.
Ameno che non ti metti a cambiare il cod. della "grafica"

Matteo

HO RISPOSTO QUI
http://forum.pfsense.org/index.php/topic,7066.0.html

Ciaoz.-

La cosa si può fare.

Guide che sappia io non ce ne sono ma a rigor di logica basta lavorare con firewall e NAT.

Il prob. princiapale è capire cosa vuoi fare … mi spiego:

Vuoi che quelle macchine navighino e basta ?
Tutto il traffico (UDP - ICMP ... ECC)
Vuoi che siano raggiungibili dall'esterno ?
Vuoi entrambe le cose ?

A livello logico potresti provare a fare nella sezione Firewall - Roules una regola che cita qualcosa del tipo:

Proto TCP/UDP (se è solo per navigare --- UDP è per il DNS)
Source PCXX1 (crei un alias dove metti dentro o la subnet mask o gli host)
Port PCXX1PORT (usi un alias e metti dentro le porte che ti servono tipo 21 - 25 - 53 - 80 - 110 - 443)
Destination  NOT LAN Subnet (per cui per qualunque indirizzo che non sia la LAN subnet)
Port * (ANY)
Gateway IPWAN2
Schedule NONE
Description  CHE 2 SCATOLE di regola !

Ovviamente poi devi avere l'accoretezza di NAT in modo corretto della seziona NAT Avanzata e mascherare gli indirizzi con indirizzi della WAN2 ! Del tipo:
Interface WAN2
Source  PCXX1
Source * (o alias)
Port *  (o alias)
Destination *
Destination *
Port *
NAT Address  IPWAN2 o Alias WAN2
NAT Port *
Static Port NO
Description UFFA
Ciaoz.-
Matteo Secchi

@Fra100:

Dopo qualche test sono arrivato alle seguenti conclusioni:

Il load balace non fa al caso mio…. ascoltando la raido in streaming mi sono accorto di varie disconnessioni (credo per causa del cambio wan) figuriamoci con una telefonata in Voip.

Grazie alle info di “mascaos” ho capito che il load balance spezza i pacchetti sulle varie wan in modo da non far saturare la banda di una wan, con il risultato che dai grafici non riesco a capire se gli utenti della lan utilizzano il 100% la banda di una wan....

Si puo’ configurare  pfsense  in modo statico con un range di ip della LAN che s’instradado su una specifica  WAN?

es. da 192.168.1.10 a 192.168.1.20 --> wan1

da 192.168.1.21 a 192.168.1.30 --> wan2

qualche how-to specifico ?

grazie a tutti in particolar modo a mascaos che mi ha fatto capire dove sbagliavo  ;D

Non ho mai provato … anche se in teoria la cosa è fattibile.

Se ci riesci fammi sapere come.

Ciaoz.-

Il DNSForwarder era già abilitato…

Anche i DNS mi sembrerebbero configurati.

http://linuxbox.tabacco.it/~micro/images/modelli/firewall5_1.jpg
http://linuxbox.tabacco.it/~micro/images/modelli/firewall5_2.jpg

Dal Log di sistema, ho abilitato il log su tutte le regole di interesse.

Chiaramente non vedo i pacchetti di ritorno, anche perchè (credo) non ci sia il modo di vedere le risposte!

Faccio "ping google.it" dalla macchina in DMZ e vedo i pacchetti verso i server DNS.

Faccio "ping" all'ip gi google e vedo i pacchetti ICMP uscire ma sempre richiesta scaduta.

Credo di poter dire che il problema è sui pacchetti di ritorno.

Ciao

Grazie per l'offerta ma mi serve proprio una con 3 schede di rete (firewall con DMZ).
vedo allora se mi spediscono anche se sono privato…

a risentirci quando l'ho in mano e ci gioco :)

@Speck:

Io ho fatto così e funziona tutto! che problemi ti da?

al momento nessuno (a parte la non pingabilita' degli ip pubblici..ma al momento posso farne a meno)..

curiosamente e' stato sufficiente riavviare il router di fastweb perche' tutto funzionasse come previsto… ho perso due ore a cercare di capire il perche' la configurazione "piu' logica" non funzionava per poi scoprire che il problema era altrove...

bah!

grazie comunque per gli aiuti :)

Ciao, 
Sono passato alla versione 1.2-RC3 ma appena attivo quella opzione succede il caos…praticamente nessuno riesce a navigare o uno naviga perfettamente e altri 100 no.
Probabilmente c'è ancora qualcosa da sistemare in quella funzione. Se hai notizie in merito io sono tutto orecchie

Gianpaolo

Allora posso dirti che problemi di instaiblita' di questo tipo li ho riscontrati solo con traffic shaper abilitato su macchine piccole (Geode sotto i 266MHz o PIII) o con pochissima memoria RAM.
Anche con OpenVPN ho avuto grossi problemi (tanto che son tornato all'IPSec) … in teoria con una delle ultime snapshot della RC2 hanno risolto problemi.
Un altro motivo di instabilita' qualche tempo addietro fu la sk. di rete che si era bruciata (provare a cambiare le lan ... :|)
Anche qui con le VLAN belle ma spesso mi danno dei problemi perchè o l'hardware lo supporta solo parzialmente o il software non lo digerisce meglio per cui lavoro con interfacce hw piuttosto che con hw.

Matteo
Ciaoz.-

Ciao,

ho trovato questo nel forum

http://forum.pfsense.org/index.php/topic,1246.0.html

che sia questo il problema e/o una regressione di questo problema a partire da una qualche versione successiva?

Si puo' fare qualcosa per 'sistemarlo'?

Maurilio.

RISOLTO

Dopo installato il package Bandwith avevo abilitato sullo stesso il monitoring della WAN..

Spostando il monitoring sulla LAN anche RDD ha ripreso a funzionare!

per server d'autentificazione usi quello di pf o un altro ?
dammi qualche dettaglio in più su come è configurata la tua infrastruttura.
Io uso le pptp di pf dalla rev. 063 e non mi hanno mai dato prob. (apparte un baco nella rev 1.0.1 rc2)

Matteo

Puoi vedere un HOWTO al seguente indirizzo

pfsense.iserv.nl/tutorials/policybased_multiwan/policybased_multiwan.pdf

@cpmomo:

tu mi hai risposto una cosa un po diversa da cio che ho chiesto..ricominciamo
io ho 5 ip 192.168.16.40-44 che devo impostare a 5 pc insieme al gatwey 192.168.16.21 e i dns fastweb per consentire di andare su internet..se io attacco alla rete un pc con indirizzo 192.168.16.50 e uso lo stesso gatwey e i stessi dns degli altri 5 pc esso non va comunque in internet perche solo quei 5 ip possono farlo..
quindi io vorrei far passare i pc della mia rete attraverso un pc con pf che dal lato eterneth parlo con i vari pc e sulla porta wan usa uno di quei 5 ip disponibili..in modo da far risultare che sempre e solo 192.168.16.44 va su internet visto che gli altri sono nattati da pf
capito?

fastweb
                                |
                                |
                      192.168.16.44
                            pfsense
                                |
                                |
                              hub
                            /     |   
                          /       |      \   
                        /         |       
        192.168.16.90       |        192.168.16.60

192.168.16.87

Anche io ho Fastweb ed ho fatto proprio come dice mascaos, utilizzi uno degli IP fornito da Fastweb e lo assegni all'interfaccia WAN di PFSense il cui gateway è l'indirizzo del router e devi assegnare alla LAN indirizzi IP di un'altra classe (ad. es 192.168.x.x).
Vai tranquillo che funziona.
Ciao

@alcholic:

Aprite il vostro terminale AS400,loggatevi con le credenziali di amministratore,da riga di comando digitate CFGTPC (per configurare il vostro TCP) tasto 2 ,si aprirà la gestione iter TCP/IP ecco li createvi la vostra DFTROUTE.

Scusa ma dov'è la stranezza?
Come tutte le macchine anche l'AS400 deve conoscere i gateway attraverso cui deve passare!
Su Windows si chiama Default Gateway, mentre su AS400 si chiama DFTROUTE (ROUTE di DEFAULT).

:)

Ciao se già riesci ad autenticarti con administrator significa che hai stabilito la connessione ad AD di w2003 server.
L'utilità che ti permette di vedere il database ldap di w2003 si chiama ldp e la puoi trovare sui cd di installazione.
Secondo me il problema dovrebbe essere questo gli utenti di w2003 server li devi creare nella cartella users e questo và fatto sempre se no i problemi sono una marea; se utilizzi le unità operative crea comunque gli utenti sotto users che poi è la stessa cartella che contiene tutti i gruppi e anche l'utente administrator creato di default da windows.
Se poi continua a non funzionare fammi sapere.
Io purtroppo lavoro in una scuola è debbo, obtorto collo, gestire i server con windows  :-\

Ottimo, buon per te … probabilmente è una bachetto sulla NAT o sul Firewall nella ver. 1.0.1.
Buono a sapersi.

Ciao, perchè non metti online lo script, potrebbe tornare comodo anche ad altri …

Ciaoz.-

Matteo

Ciao a tutti,
  tenete presente che la versione 1.0.1 non ha quel flag… mentre la 1.2 testing snapshot 07-21-2007
presenta il flag per la gestione delle 'sticky connections'.

Saluti e buon lavoro a tutti.

Andrea Menchetti

Aggiornamento:
Ho aggiunto una regola che permette il passaggio del traffico dell'interfaccio AP e dopo aver abilitato i log sulle regole il captive portal funziona  :o :o :o :o :o.Prima di attivare i log non andava, boh???

ciao Matteo,

buone notizie per le vlan, funziona tutto alla perfezione, come da manuale. :D
ho dedicato alle vlan una delle 4 schede di rete che ho su un poweredge 860, ne ho configurata solo una per ora (vlan 70 per ospiti) oltre a quella della lan interna che comunque arriva gia' untagged sulla LAN di pf, e l'ho spedita al captive portal. le ho comunque dovute creare su tutti gli switch perche' tra access point e la porta ethernet di pf ho 3 switch in mezzo, ed e' andato a meraviglia dopo un riavvio. nel frattempo sto studiando come fare routing tra le vlan, il mio centro stella purtroppo non fa routing nemmeno "elementare" come invece pensavo e devo farlo fare fuori dal backplane ad un router purtroppo, ma cosi' avro' anche il qos interno per prioritizzare i telefoni ip ecc, comunque questa e' un'altra storia…

buon weekend!

perdonatemi l'intromissione…
ho girovagato per tutti (credo) i menu di pf relativi al captive portal, ma non sono riuscito a trovare un menu che mi permetta di visualizzare il log della navigazione che attraversa il cp.. possibile non sia stato implementato?

grazie!

ma il captive portal come lo gestisci un radius interno o est tipo su win 2k3 ?

Altra cosa quella regola così generica per il loadbalnce mi fa pensare un pochino … scusa non è meglio che ridirezioni tutto il traffico che non punta alla lan tipo:

action: pass
interface: LAN
src: any
protocol: any
dst: !LAN (not lan)
gateway: LoadBalancer1

non vorrei che fosse questo il problema ... !

Prova a mirare meglio l'uscita del loadbalance ... e magarmi metti davanti qualche regola per vedere che giro fanno i pacchi.

Ciaoz

Ciao, come ti ho risposto nella mail mi sembra essere decisamente più un problema di linguaggio di programmaizone e di effetti grafici che hai ustato. Perchè usando broswer differenti si ottengono risulatati differenti.
Direi che pf non è il tuo problema ma è più un problema di come è fatto il sito in se.

Ciaoz Ma.S. Caos.-

mascaos ci sei ancora?

Visto così dallo schema c'è qualcosa che non mi torna .. praticamente hai messo la seconda WAN (ips2) sulla stessa classe di rete della LAN.
Da un punto di vista tecnico il mio consiglio è quello di mettere la seconda WAN in modo trasparente con la sua classe di ip così puoi definire una regola che nel firewall che ridireziona tutto il traffico TCP delle porte 20 - 21 - 25 - 53 (anche udp) - 80 - 110 - 443 - 465 - 995 utilizzando come gw predefinito quella della seconda wan.
Se hai prob. contattami …

msn = info@mascomputer.net

Ciaoz
By Matteo

A dire il vero dato il "layer" della Macchina Virtuale l'iportante è che sia vista dal sistema operativo dove risiede il Srv di Virtualizzazione perchè tipicamente poi le sk. di rete vengono masherate da un driver virtuale. Almeno è così che ha fatto VMWare Server 1.0.3.
In Ogni caso questo modello specifico di sk. va perfettamente anche sotto pf (almeno nella versione 1.2 b1 ).
Il modello in questione è il DLink DFE-580TX

ciaoz
By Ma.S. Caos.-

è vero un bel po di problemi si risolvono….
ma come al solito ho 2 pc che non ne vogliono proprio sapere di pf,cioè l'installazione va a buon fine ma nel momento del riavvio,su un pc mi da errore di kernel,su un altro scorrono tutti codici e si pianta li..

WOW …  ::)

GRAZIE :D

Prima cosa l'interfaccia deve essere attiva
Seconda cosa meglio se la metti in Staic e gli dai un indirizzo con un classe diversa dalla tua rete lan … così tanto per separare le cose al meglio
Terza cosa le regole ... ovviamente devi aggiungere le regole in modo tale che il traffico possa passare in quell'interfaccia. E qui sorgono i problemi:
se vuoi far naviagare ti basta aggiungere una regola che lascia passare DNS e HTTP ... per cui 53 UDP e 80 TCP (ovviamente come destinazione !!) ... se vuoi anche la posta devi aggiungere SMTP - POP3 per cui TCP 25 e 110.
In oltre se vuoi che la lan possa entrare devi aggiungere una regola dove la lan puo entrale per cui devi mettere come proto any (ovviamente se vuoi che tutti i protocolli della lan abbiano accesso ... :D) source Lan Subnet e poi il resto tutto a any (*)

Così deve andare  :P

Infatti tutto quello che stai chiedendo è normale amministrazione di pfsense…Dalla mia poca esperienza ho capito che una volta configurato il tutto,si puo dormire su 4 cuscini :D