https://forum.pfsense.org/index.php?topic=76523.0

Ho disabilitato alcuni LOG.

https://forum.pfsense.org/index.php?topic=50141.0

Ho controllato il valore "Firewall Maximum Table Entries"  ed era su 200k.

Non ho ben capito però, in base al link che mi hai segnalato, se devo disabilitare la checkbox "Block bogon networks" su entrambe le interfacce, o se devo lasciarla attiva!
Perchè ora è attiva solo sulla WAN e non sulla LAN.

Mi sembra di capire che se abilito quella spunta su almeno una delle interfacce si attiva il bogonsv6.

La mia intenzione è però quello di lasciarla attiva sulla WAN.
Il problema è random comunque, ora non mi si è più presentato.

Ciao,

grazie per l'interessamento innanzi tutto,
sono riuscito a schiarirmi le idee.
La rete non poteva funzionare, in quanto io nelle sedi client, non avevo installato il pfsense ma solamente il programma OPENVPN su un pc.
Concettualmente volevo una site to site, ma in pratica cosi facendo la rete diveniva una client -server

Ho risolto inserendo nelle sede remota un pfsense virtualizzato, e messo i parametri di client e tutto funziona.

Per ora grazie.

Al limite, cacciale dentro una vlan, giusto per ottimizzare un pò…

Ma il dnsmasq non è deprecato ?
Sulle nuove versioni di pfsense, dovresti migrare al Dns Resolver (bind in pratica).

@tuonoazzurro:

il secondo problema è che non filtra L'HTTPS, quindi banalmente google, youtube e facebook continuano ad essere accessibili

Questo succede perchè ovviamente il transparent proxy non funziona su https, e dubito funzionaerà entro breve.
E' pure vero che c'è l'opzione in squid, ma al momento non funziona bene.
Io ho risolto bloccando la porta 443 in uscita e configurando il proxy direttamente su ogni client.
In questo mondo il traffico https viene "proxato", ma dato che comunque gli url arrivano allo squidguard in chiardo (non il traffico), le regole per youtube, etc.etc funzionano.

Alla fine era il firewall del server windows che era stato configurato per accettare connessioni sulla porta 8080 dalla rete privata e dal dominio ma non dalla rete pubblica.

:)  felice di aver risolto  :)

saluti a tutti

Grazie Fabio.

Non avendo ricevuto risposte ho concluso acquistando degli switch layer 3 e configurando delle vlan.

Avevo già fatto diverse prove con le route statiche e mi sono convinto che non ci sia modo di far funzionare la cosa se dietro a PfSense ci sono dei router Internet, per via di come la logica di questi apparecchi utilizza l'interfaccia WAN.

Grazie ancora per l'aiuto.

Buongiorno e prima di tutto grazie per le vostre risposte,
mi scuso se ho risposto con così tanto ritardo, ma con tutta onestà ci avevo perso le speranze in una risposta da parte la comunità  :-[

Detto ciò.

Ricapitolando, la connessione fornita da Vodafone è di tipo Business quindi mi ha fornito un router in questo caso l' AR1200; assieme al router mi ha dato 2 possibilità o di far configurare al tecnico il router in modo che generasse lui una rete lan e poi mettere in cascata uno switch o un firewall per diramare la rete.
Altra soluzione era quella di settare il router di vodafone in modo che gli fosse assegnato un range di indirizzi IPV4 statici.

Ho scelto la seconda soluzione perchè:

Con vodafone non si ha accesso al router quindi non si possono fare configurazione di nessun tipo. Vodafone a suo piacimento aggiorna i firmware e resetta tutte le regole/impostazioni che sono state fatte dall'utente.

Di seguito il tecnico mi ha fornito l'indirizzo pubblico di partenza che dovevo configurare come GW della mia rete e quello da configurare nel firewall con subnet mask / 30, quindi 2 ip ..*.193 (settato nel router vodafone ) e ..*194 settato nel firewall.

Fatte queste premesse, attualmente  riesco con fatica a navigare, dico con fatica perchè continua ad andare in timeout, anche per aprire la pagina di questo forum ho dovuto fare un refresh prima di vedere correttamente la pagina.

Attualmente se mi collego via FTP a uno dei server esterni, come ip di connessione del mio client risulta quello della rete privata.
Come suggerito da @Pakken

In Firewall > Rules > Lan
Regola ipv4
Protocol any
Gateway quello del router ..*.193

Se vado in Status > Gateways ho la seguente schermata , dove ip vodafone è l'indirizzo ip del router vodafone non quello che mi è stato ruotato per la configurazione del firewall.

[url=https://drive.google.com/file/d/0B_dFUfFtBo6TNldDV2lTSlhGMms/view?usp=sharing]Gatway Status

Avete bisogno di altre info?!

@mikycav
Rifacendomi al tuo ultimo post, si abbiamo due linee ma attualmente siccome quella di fastweb funziona normalmente,  ho "configurato" solo quella di vodafone sul router, il load balancing lo farò più avanti, quando avrò un pò più di nozioni.

gatewaysFirewall.jpg
gatewaysFirewall.jpg_thumb

Ciao,
access list = rule
Devi seplicemente fare una regola che accetti il traffico in ingresso per la porta 5060 e che proviene dal loro ip pubblico.
Ciao fabio

Giustamente non ci sono risposte a questo post perchė quello che succede ė incomprensibile.
Allora cosa fai ricarichi il backup e provi ….. Non va !
Boh !
Reinstalli tutto e ricarichi il backup e va !!

E chi cazzo ci capisce?

Bhoooooooo

Per fortuna adesso va ........ ma qualcosaltro di incomprensibile prima o poi ricapiterà!!!

Alberto

Sono riuscito a bloccare l'accesso a determinate categorie di siti, vorrei sapere se è possibile anche bloccare l'invio di una query a Google quando ci sono determinate keyword nella ricerca.

Grazie!  :)

Controlla il log

Ho risolto! Quando si crea la connesione OpenVPN con il wizard, vengono create automaticamente le regole nel firewall e viene settata automaticamente l'interfaccia WAN. Infatti facendo un packet sniffing il traffico dal client verso la mia rete locale avveniva tramite l'ip WAN del firewall master. Ho notato poi (che sbadato!) che, nella configurazione della VPN, potevo selezionare come interfaccia anche la WAN in CARP. Quindi ho dovuto fare questi due semplici passaggi:

selezionare nella connessione VPN l'interfaccia WAN_CARP nelle regole firewall dell'interfaccia WAN modificare la regola creata automaticamente da OpenVPN cambiando la destinazione da WAN address a WAN net ed il gioco è fatto

Spero di essere stato d'aiuto!

La soluzione che ti ho proposto non utilizza VLAN quindi non ha limiti.
Si tratta di aggiungere tante interfacce al pfsense quante sono le reti dei clienti. Lato vmware ogni rete è rappresentata da un vSwitch.
Non ci sono VLAN

Ciao Fabio

Ciao! Se lo scopo è monitorare la VPN e riavviarla in caso cada, puoi usare service watchdog (vedi packages): nel momento in cui il servizio è down, lo riavvia e ti manda una e-mail di notifica riavvio.