@demo:

Escludendo a priori il captive portal, ho impostato il bond del server sulla stessa subnet della lan di pfsense.
Adesso quindi la subnet è solo una e i client dialogano direttamente con il fw pfsense come proxy.
Il boot dei fatclient avviene sempre da server ltsp. Ho risolto così anche se non trovo un modo per far autenticare i client wifi che hanno impostazione automatica del proxy. Ma apro un thread a parte per questo.

No, non riesco in alcun modo a far autenticare gli utenti che nel browser hanno impostazione automatica del proxy. In pratica navigano liberamente e senza autenticazione come se squid fosse in transparent mode (e non lo è) e non viene tenuta traccia del traffico nei log.
Un bel buco sulla sicurezza.
Già provato con PAC/WPAD ma senza risultato.
A qualcuno è già successo?

Ciao,
anche secondo me potrebbe essere un problema di rotte mancanti da pfSense verso la subnet dei server

Fai questa verifica e facci sapere
Ciao Fabio

Assolutamente vero, però è una scuola (che non vuole dire niente, ma in Italia questo tipo di problematiche nelle scuole sono poco considerate, forse i problemi sono altri….) e sono abituati a non inserire nulla dopo il logon (adesso si connettono tramite ISA), quindi pensavo di usare NTLM che mi pare sia possibile usare con pfsense.
un saluto
Beppe

grazie mille x l'aiuto,continuo a fare qualche prova e se c'è qualche novità la posto.

@maurozanon:

Buongiorno,

Il mio pfsense e' configurato in questo modo:
2 wan in ppoe
1 lan ip 192.168.2.0/24
ip 192.168.2.251 server interno mail e web
Squid + squidGuard per il controllo della navigazione

Il mio problema e' il seguente se digito nel browser mail.nomedominio.it oppure www. mail.nomedominio.it con Squid attivo (con la spunta su Transparent proxy) non riesco raggiungere il sito mentre se spengo (senza spunta su Transparent proxy) funziona il tutto naturalmente Squid non fa piu' il suo lavoro. Per la navigazione che arriva dall'estero funziona tutto.

Se qualcuno riesce a darmi una mano grazie 1000.

crea un alias (es. admin) mettici gli ip che vuoi far navigare senza controllo squid, in trasparent proxy mettici che è admin e il gioco è fatto, poi dovrai configurare lo squid mettendoci i siti da bloccare.

Cosi avrai gli admin che tramite trasparent proxy navigano illimitatamente :-) .. e tutti gli altri non andranno sui siti da te inibiti. stessa cosa vale per lo squidguard che invece blocca tutti (tranne gli admin) e li manderai solo sui siti da te voluti.

Se non hai capito xkè scrivo come una capra :-) puoi contattarmi su skype e.nuovo

Ciao

ho capito (o letto)male…
in questo caso ssh.

C

Supponiamo che tu abbia una linea ADSL vulgaris con 8 ip e uno di questi sia dedicato al server exchange.
Come prima cosa io farei un alias dove enuncio le porte 80 443 (non servono altre porte per l'OWA)
poi farei una nat 1:1 con nat reflection attiva dove: interface=wan, External subnet IP= [ip interessato della wan], Destination=[ip interno dell'exchange]
poi farei una regola sull'interfaccia wan dove: source address=any, source port=any, protocollo=tcp/upd, port=[alias creato in precedenza], destinazione=[ip interno dell'exchange] e log=attivo

ps: ovviamente supponendo che tu abbia già configurato la parte di indirizzi ip wan dati dall'ISP

Avrei bisogno di altre info:

le 2 adsl sono pilotate da un router o sono in bridge mode? Le linee adsl hanno una classe di ip statici? gli altri 2 apparati che si sono aggiunti nel loro lato lan sono ip statici? Se sì che CDR hanno?

Autenticare squid3 direttamente con l'active directory.