Risolto,
dopo innumerevoli ricerche ho visto che bisogna attivare questa opzione:

System->Advanced->Firewall Nat->Bypass firewall rules for traffic on the same interface

Saluti

Mi pare un lavorino semplice .
Se ti serve sempre aiuto fammi sapere  :)
Ciao

Infatti era proprio così…
Tutto a posto adesso... O quasi...

Grazie!

Ciao effettivamente potresti utilizzare il link tra i due edifici per poter sfruttare i due ISP contemporaneamente, applicando delle regole di fail over ( High latency+Packet Loss ecc. ).

ISP A <<------------LINKHLAN------------>> ISP B   |     | pfsense A         pfsense B          |     | SAME SUBNET                           

Saluti
Christian

Ciao, probabilmente dovresti applicare qualcosa del genere :

Firewall: NAT: Port Forward: Edit Interface                  DMZ Redirect target IP    10.2.2.x Redirect target port  Https Description              Server Redirect Port

E così via.
Da provare passo passo, è una configurazione che usato per dei test …

Cordiali saluti
Christian

@frankz:

Allora guardando le regole sembra quasi tutto ok tranne alcune regole che ti trovi sulla dmz relative al source LAN (PF dovrebbe metterle in automatico sull'interfaccia LAN).

Ok

@frankz:

Assicurati  che tutti i server abbiano il corretto gateway di default,

Ce l'hanno.

@frankz:

abilitare tutta la suite icmp.

Cosa intendi?

@frankz:

Ricontrolla la maschera di rete delle interfacce che presumo sia a 24.

Sì, lo è.

@frankz:

Esegui dei test da una macchina che si trova su LAN per vedere se risolve il nome netbios (es. nbtstat -a ipdelserver ).

Questo test ora non posso farlo, sono fuori ufficio. Appena posso, ne posto i risultati.

@frankz:

Prova direttamente con percorso unc su indirizzo ip (\192.168.2.x) e vedere se risolve.

Sì, si risolve e vedo correttamente le cartelle condivise.

@frankz:

Controlla eventuali file hosts modificati in precedenza sulle macchine.
Ti dico questo perché presumo che tu non abbia controller di dominio sulla tua rete.
Queste indicazioni anche se pur elementari ci fanno partire da una base, dopo si vedrà.

Effetivamente il file "hosts" di Windows ha un'aggiunta per risolvere il nome del sito web del cliente con l'IP del server (in DMZ) che lo ospita.
Effettivamente non ho un DC nella rete. Scelta dei miei responsabili nella gestione del server Windows, anche se non condivido per diversi motivi.

I risultati che ti ho postato li ho avuti ieri sera tardi. Quando sarò nuovamente in ufficio (credo martedì prossimo) andrò avanti e ti farò sapere.

Grazie Frankz.

dipende da dove si fa il bind…..

nella phase uno, ho specificato (come interface) il virtual ip.
Considera che ho le regole di outbound manuali, non vorrei che questo generasse problemi.

Una sono riuscito a tirarla su, ma purtroppo il traffico non viene veicolato tra le due reti

@Israfel:

@Ma.S.Caos.-:

Io resto dell'idea che pf non è adeguato per gestire hotspot "in regola". Voglio tanto bene a pf ma per essere in regola servono troppe cose e tra smazzo e tutto, soprattutto se lo fai per un uso "commerciale" è meglio andare su prodotti finiti o servizi a pagamento che di "esonerano" da ogni problema!

Ciaoz.-

Risolto con una paginetta php che si collega ad un server esterno dove vengono registrati i dati utente.

Pfsense è il n° 1 :-)

grazie a tutti per i vostri consigli

Ciao, potresti spiegare come hai fatto?

Grazie!

dopo le prime prove direi:

PRO

molte funzionalità, tra cui multi-WAN che poche altre distro firewall permettono (anzi, a parte Endian non ne ho trovate altre)

CONTRO

per chi viene dal mondo Linux, è simile ma comunque diverso un po' macchinoso, ci sono interfacce più semplici in giro, ma questo probabilmente è dovuto alla complessità / ricchezza di feature

immagino tu non possa nemmeno spostare la DMZ dal firewall a pfSense

bella storia…. io proverei a fare una NAT invece, mettendo come indirizzo sorgente la porta DMZ del firewall. perché tu vorresti evitarla?

@dea:

iptables -t NAT -L visualizza la tabella di NAT ma in Linux… PfSense usa BSD...

hai ragione! :P

ciao Fabio,

grazie per la risposta.

puoi indicarmi passo passo come devo fare perché sono alle prime armi.

grazie Antonio

grazie…
però nel log non vedo niente, nessun tentativo di "ingresso" (guardo nella scheda Firewall)

comunque penso che il problema sia prima, nel senso che, se provo a pingare dalla gui del server vedo solo il "terminale" del Tunnel  lato server, ma non vedo il "terminale" del Tunnel lato client..
non dovrebbe essere pingabile almeno quello ?
:(

Si il router è sempre quello e mi sono accertato che anche il pool di indirizzi statici  lato pubblico sono invariati
ora ho configurato il router con fast Ethernet 0/0 con raddrizzamento 19*.../24 per far funzionare i pc
e fast Ethernet 0/1 direttamente con indirizzi pubblici 9.../29 di cui ho disponibili 6 indirizzi
ho impostato wan con il primo ip disponibile e il gateway con ip del router
riesco a pingare il router ma non naviga