problema risolto

Se in tutte le sedi userai pfSense, direi OpenVPN: è sicuro come IPsec, ma più flessibile e più facile da gestire.

Altrimenti IPsec per la compatibilità, anche se è un po' più complicato.

Per le sedi remote vanno benissimo le Alix (non devi farci molto traffico a parte la VPN, vero?), per la sede centrale una Alix mi sembra un po' poco per gestire 12 VPN contemporanee, avrai sicuramente dei rallentamenti.

Il mio consiglio è un'appliance tipo la FW9000 di AllNet, che può montare processori Intel socket LGA1156 (esagerando puoi metterci anche un I7 quad core o uno XEON, anche se a te basta molto meno, tipo un G6950…). E' un po' costosa, ma è il miglior hardware per pfSense che abbia mai provato...

Se poi vuoi restare sul genere per le sedi remote puoi usare le FW8888 che sono basate su Atom...

Risolto…
Ho aggiornato il firmware del modem con uno modificato che permette d'assegnare l'ip.  :D

Questa e' quella che devi fare per poter loggare il traffico e capire il giro che fa la tua richiesta, come vedi dal pallino blu' e' in registrazione.
Ricordati poi ti toglierla altrimenti ti riempi lo spazio sul disco.
fatta questa regola sei sicuro che esci solo con un Ip delle tue adls e puoi vedere dall'altra parte dove ti fanno girare e rigirare. se vedi la mia regola sopra, quella di tiscali capisci benissimo il giro che fai.
Non metto in dubbio che si puo' raffinare ma ora non ho tempo da perderci e poi funziona bene per ora.

reg.png
reg.png_thumb

altra cosa stranissima …se lascio la regola nel floating di default, in modo che tutto il traffico venga accodato nel qVoip, questa viene comunque ignorata e tutto il traffico in uscita passa sempre dal qDefault on WAN  ???

ciaoo

ciao, io non consiglio mai di fare aggiornamenti soprattutto nel caso di una distro non ancora stabile come questa ,anche perchè non è una versione definitiva.
io ho installato pfsense 2.0 su hardware fisico e non ho notato niente di strano ,mi è andata bene ,poi per ora lo uso su macchin a virtuale e non mi ha dato ancora problemi.
ciao

ciao,io mi sto configurando una piccola rete interna con firewall ,server aed altre macchine tutte virtualizzate,uso mio malgrado vmware workstation 8 , le macchine possono usare a pieno la cpu ed hanno quasi 700 mb , il firewall va bene e non soffre di velocità basse di gestione, per ora non mi posso lamentare , ( ho una cpu intel celeron t3200 a 2.0 Ghz) .
Funzionamento.  il server momentaneamente con ubuntu sta dietro il firewall in un segmento lan privato non accessibile dall'esterno ,il firewall invece ha la wan in dhcp con l'adattore impostato su bridge automatico ,che mi permette di collegarlo direttamente ad internet  .ciao spero di averti aiutato

l'ultima rel con gli ultimi aggiornamenti!

Interessante!
effettivamente ho sentito da che le schede Realteck non sono idonee per certe installazioni. Hai della documentazione in merito? qualche link?
Ebbene si, in questo mestiere ci vuole sempre una buona dose di umiltà (parlo oer me :-) )! Effettivamente in merito non ho grande competenza… vorrei capire bene perchè le Realteck non sono sufficenti e quali limiti hanno.
Ho utilizzato parecchio le Realteck senza problemi, ma sempre per gestire situazioni non complesse, ma pursempre con un sacco di nic (PC farciti di NIC :-) ). Effettivamente mai con IPSec e Snort.
Per quanto riguarda l'Atom devo spezzare una lancia a suo favore... per i test che ho fatto su schede mini itx Intel mi sono trovato bene. Sono daccordo con te che non è una soluzione da datacenter o da multinazionale (loro possono comprarsi un bel server 1U Intel e farcirlo di schede), ma forse per quello che devo fare io (post precedente sopra) può essere sufficente.

Se li trovi e/o hai dei link te ne sarei grato.
Ciao
Alex

Ciao!
Io ho diverse installazioni con pfsense 2.0 e doppia wan, ma non ho mai avuto il Tuo problema…

Hai controllato di non avere rules strane anche sotto la opt1?

Sotto System: Advanced: Miscellaneous trovi Load Balancing: in che stato sono i flag per Use sticky connections e Allow default gateway switching?

Hai installato pacchetti aggiuntivi? (perlopiù mi viene in mente qualcosa tipo squid)

Che hardware stai usando?

I dns come sono configurati?

La wan2, usata direttamente, senza passare da pfsense, funziona correttamente?

Facci sapere,
ciao!

FedeOak

ok ti ringrazio! Io per ora ho tutto su ormai dal famoso giorno!! Soddisfatto insomma!

La configurazione dipende da come lavora il router fastweb, comunque se è una linea domestica mi sa che avrai la WAN (collegata al router fastweb) in DHCP, dopodiché sulla LAN decidi tu che indirizzi dare.

@gherf:

no no scusa… mi sono dimenticato di scrivertelo... gli screen che ti ho postato sono già quelli relativi alla nuova versione ;)
Grazie ancora
Andrea

Errore mio scusa, è scritto a caratteri cubitali nel tuo screenshot che sei alla versione 2.0
Il documento per la 2.0 invece è: http://doc.pfsense.org/index.php/Multi-WAN_2.0

Leggiti bene cosa dice riguardo i Tier, le regole e il DNS. Non è difficile casomai chiedi.

@girub:

Per gli IP pubblici visibili dall'interno spero in una soluzione.. o illuminazione.. se no cosa mi consigli… pongo il problema nel forum internazionale? forse qualcunbo a kathmandu potrebbe aver avuto la mia stessa esigenza :)

Un consiglio che potrei darti è quello di aggiungere una scheda di rete che faccia da segmento DMZ, spostare su quel segmento i tuoi server e rimappare i NAT.
In questo modo puoi accedere dalla LAN richiamando l'IP pubblico, nel forum internazionale ho letto che si pu òfare fcendo un Outbound NAT. Preferisco le DMZ anche pe runa questione di pulizia dei log e di una migliore policy sul traffico in entrata e uscita.

Poi chiedevo.. ho installato bandwidthd, ma non è che mi faccia impazzire…
c'è qualcosa di più completo magari un package che fa vedere anche i siti che ogni utente visita... (sempre facendo il paragone con il vecchio zywall mi ricordo che era possibile...)
O comunque qualche altro package che consigliate per la buona gestione di un piccola rete con una 20-25 pc?
grazie ancora
Giuseppe

Se Bandwitdhd non ti piace prova subito Ntop, prova Zabbix se vuoi tenere monitorata la tua rete.
Se casomai vuoi usare un proxy, anche reverse, ti consiglio di installare Lightquid che fa proprio al caso tuo con log molto ordinati e dettagliati.
Un ottimo package è Varnish che è un web accelerator, per il tuo web server penso sia molto utile.