Grazie Zanotti.  ;)

La prima cosa da fare è impostare il NAT sotto Firewall -> NAT, in pratica per una porta 80 dovresti fare una cosa di questo tipo:

Poi passi in Firewall -> Rules -> WAN e nella regola che ti aggiunge automaticamente il NAT puoi decidere, o lasciare la regola così com'è, sulla base dell'IP sorgente o meno chi puo' accedere a quella porta:

Sei troppo generico nella tua richiesta, al momento del boot Pfsense ti chiede subito come vuoi configurare le schede di rete. Il problema invece è dire cosa vuoi che facciano esattamente quelle schede di rete e quali servizi devono essere attivati.

Prova a dare un'occhiata a questo documento: http://pfsense.mirror.range-id.it/tutorials/openvpn/pfsense-ovpn.pdf

Spiega in modo molto chiaro come fare una VPN site to site, stai attento però ad un errore a pagina 21 come segnalato in questo link http://forum.pfsense.org/index.php/topic,2228.msg53309.html#msg53309

Per fare in modo che tutto funzioni correttamente tutti i client di entrambe le reti devono vere nel campo gateway l'IP del server che fa da VPN server altrimenti anche se la VPN è attiva non è possibile raggiungere alcun client dall'altra parte.

GRAZIE MILLE PROBLEMA RISOLTO….

perfetto! grazie mille,  un grave dubbio svelato :)

grazie mille!

allora vyatta per quello che riguarda il load balancing e nettamente migliore di pfsense:

gestisce quante interfacce vuoi,  fa il failover  automatico !  e puoi pesare le interfacce( esempio  se hai una 4 mega e una 8 mega puoi pesare le linee mandando tipo 4 pacchetti al primo e 8 al secondo)

…. ok avevo male interpretato! :

io ragazzi ho abbandonato la configurazione load  balancer – proxy---pppoe ... ho constatato che con carichi elevati di traffico va in panico!!

posta la regola che ti fa uscire dalla lan:
abilita i log su quella regola ceccando Log packets that are handled by this rule

cosi da  vedere nei log i pacchetti che passano e capire se e' pfsense che blocca !

spiegati meglio per ''filtrare''
squid credo che possa proxare solo l'http , non credo che proxy le https (che e' criptata!)
magari mi sbaglio ..controlla su internet..

si credo sia giusto … un sacco di gente ha lo stesso problema:

io nelle ultime 2 settimane ho avuto 2 macchine che facevano il balancing che letteralmente tiravano giu la rete tutte e due dopo circa 2 terabyte di dati !! ogni tanto una interfaccia crollava e  incasinava tutto ... ma tipo che crollavano gli switch!!
sinceramente abbandono il multiwan su pfsense per passare a vyatta:
ora usavo una configurazione con un pfsense a monte con il balancing e pppoe e uno a valle che fa il captive ma  non posso permettermi di dare troppe discontinuità al servizio!
adottero una configurazione con vyatta ( che funge a meraviglia come load balancing anche con proxy ed e' per giunta simìle al cisco...) a monte e pfsense come pppoe server e captive portal... dovro tribolare un sacco per passare gli ip pubblici e le vpn!
magari con il 2.0 risolveranno tutto ma ora il multiwan non e' ancora affinato al punto giusto:
problemi con l'ftp insormontabili ( con il pppoe server proprio non va!)
con piu di 2 interfaccie wan le regole crescono esponenzialmente ( io uso 5 wan e il fail over e' un bordello! ) .... 
vyatta fa tutto da solo ( failover automatico)  il proxy squid 3 e' perfetto e il balancing e' pesato ( round rubin pesato....)

allora squid e' il proxy. praticamente un proxy riceve delle chiamate http, guarda se dei dati li ha in locale, se possiede la copia chache delle pagine gira al richiedente quella che lui possiede sul disco, senno inoltra al gateway la richiesta e quello che poi il gateway gli invia lo salva in cache e lo rigira al richiedente.
praticamente si fa un copia locale delle cose piu richieste in modo da non consumare la banda per esempio per tirare giu loghi o filmatini che hanno frequenza elevata di richiesta.
il traffico web in chiaro ( non criptato .. quindi https escuso..) viene fatto sulla porta 80

server http( esempio youtube ) <–---> gateway(pfsense)<-->proxy(pfsense)<---> User

solitamente il proxy ha una sua porta specifica (3... qualcosa) che deve essere configurata in tutti i browser dei richiedenti.
o piu comodamente puo essere impostato in modalita trasparente  ( redirect di tutte le chiamate :80 alla porta del proxy...)

per vedere cosa fanno gli utenti ti occorre un pacchetto di reporting tipo  Lightsquid  perche squid e' solo il motore di caching web .

allo stato attuale ci sono grossi problemi con il load balancing e squid:  le versioni prima di squid 3 cachavano solo un interfaccia ( la wan) con squid 3.0 si possono usare piu wan ma come vedrai dai post non sempre funziona! quindi quello che consiglio ora come ora e:
se necessiti del load balancer o non usi il proxy o usi 2 macchine una per il bilancimaneto e una per fare da firewall/proxy ( oppure usi vyatta a monte di pfsense). ricordati che una doppia logica (2 strati di macchie) incasina in maniera esponenziale la difficolta per rotte statiche , vpn, nat ecc ! valuta bene .

per quello che riguarda invece il proxy filtering devi usare un altro pacchetto: squidguard che filtra e blocca le chiamate a determinati siti ( sempio bloccare facebook.)

per  quello che riguarda il radius :
se non utilizzi una macchina esterna come radius server puoi benissimo usare lLocal user manager  specificando te a mano gli utenti e le relative password  nella linguetta user dentro al captive invece di usare freeradius ( IO l'ho usato … e se non hai grosse richiesta in termini di utenza puoi benissimo fare con il local...).

il radius e' un  servizio di accounting-autentication.
l'username e la password vengono sparati ad un servizio che ve verifica l'abilitazione .(radius server)
a intervalli regolari la macchina autenticatrice manda un pacchetto definito di accountg per comunicare lo stato di attivita dell'utente.
il radius server puo essere un servizio sulla stessa macchina pfsense ( e quindio stesso ip) oppure un altra macchina su cui per esempio gira anche  mysql ( un server radius ''professionale'' esegue delle query su un database in base a migliaia di impostazioni e restituisce l'abilitazione alla navigazione per questo ti dico che puoi usare il local user manager se il radius gira su pfsense!!! )

spero di esserti stato di aiuto.

ciao,
scusate l'assenza, ma sono stato impegnato.
adesso ho ripreso i test, ho istallato squid (tutto ok) ho istallato light squid (penso tutto ok).
solo che disabilitando il captive portal, non riesco a far andare il resto!

il risultato finale che mi interessa è quello di avere il log di tutti gli abilitati al passaggio (log univoci al login),

mi avevano postato un link dove c'è un video, ma a parte la qualità che non permette di capire bene che passaggi fare, l'audio e in arabo (?? o giu di lì) quindi non riesco proprio a farlo andare!!

come potrei muovermi??

grazie saluti

ah se volete vi metto il mio contatto msn (edo_a@hotmail.com) chi ha voglia magari mi da una mano online.

ciao,
allora ho provato più volte a far funzionare il server proxy (squid) con light squid.
ma non ci sono riuscito.
l'amico scoppys, mi ha passato un link con video ma il problema rimane!

qualcuo riesce a darmi un aiuto più particolareggiato??
grazie saluti

ciao ciapa sta guida
http://doc.pfsense.org/index.php/Multi_WAN_/_Load_Balancing

ocio all'ftp che scoreggia con il balancer

@appavito:

oppure un altra macchina locale su qui gira un daemon di syslog 
oppure un server remoto che ti faccia il logging…
squid ruota i log..  e li cancella via via.   te li devi conservare almeno per 4 anni !!!

Uff…lo sapevo che non ci sarebbe stata una semplice soluzione :'(
N'altro pc, no.
Un server remoto sembra interessante, ma sento puzza di robe a pagamento.
Ma con squid e con un HD da 20GB non dovrebbero cancellarsi,no?
Cmq vedrò più avanti. Intanto devo attendere di comprare un cavo di alimentazione del monitor perchè non riesco più a connettermi al pc con pfsense. Ho attaccato la scheda di rete(le ho provate tutte e due) al router, e con firefox sul pc in wireless ho messo l'indirizzo 192.168.1.100 (gli avevo assegnato questo).
Non si vede niente ??? Vedremo cosa dirà il monitor ;)

io uso un port fowarding della porta di menagement ( 443 o 80 meglio se 443 perche criptata…)

basta che vai in nat -> port fowarding e credi una regola che reindirizza tutte le chiamate all'ip della wan:numero porta all'ip della lan:80 o 443

in questa maniera tutte le chiamate sulla wan a un numero di porta da te scelto vengono reindirizzate all 80 per esempio lato lan.

successivamente poi se hai un ip fisso della connessione con qui ti colleghi crea una regola che restringe  al solo ip tuo la possibilita di connettersi.

oppure puoi fare una vpn ed entrare lato vpn...

oppure se hai una macchina win abiliti il remote desktop che e' criptato ben bene  fai un port fowarding della porta di remote desk. su  e cosi da remot controlli sia la macchina che pfsense  ..

fai te ce ne sono una marea di modi!!