Up. 8)

Up!

sulla regola di istradamento  abilita l opzione  Log packets that are handled by this rule  per quello che riguarda il ppoe e ora pfsense spara un pacchetto di log per  ogni connessione verso l'esterno.
poi vai in sistem log setting e inserisci un ip di un server sislog..  e il gioco e fatto!  io uso kiwi e fa che e una meraviglia. ricordati di loggare anche i pacchetti di autenticazione !

Importante sicuramente, dato il carico di lavoro, Sk. di rete di ottima qualità (meglio se intel :D), RAM e CPU. Per il RAID con pf ho sempre avuto una marea di prob. a farlo rilevare.

Ciaoz.-
Matteo

ciao, non mi occorre su pfsense ma su freebsd…

grazie avevi ragione la versione stabile non ferma più il servizio opra rimane attivo…
il problema che ho ora è che squidguard non blocca l'accesso alle pagine sapreste indicarmi una guida dove posso trovare la configurazione dell squid e di squidguard? grazie

… mi dispiace ma mi ci sono imbattuto per caso... non posso aiutarti... chiedi al venditore se e' free-bsd compatibile...
comunque per quel prezzo meritia prenderla, nel male lo appioppi a qualche chiente come server win  per netbios o backup!!

il pppoe credo lavori a layer 2 . non serve un ip. o almeno non e' essenziale. se vuoi abilitare il dhcp o usi un interfaccia  dove ce il pppoe server fallo, non crea problemi.. l'unica cosa ti consiglio di impedire che la gente esca su quell'interfaccia perche senno chi lo lancia il ppoe se esce gia tranquillamente ?? ( io uso captive portal + pppoe per forzare l'aiutenticazione.. captive per utenti prepagati e pppoe per utenti home che  hanno il router a casa..)

fai cosi se hai un interfaccia in piu per esempio opt2 oppure un interfaccia per fare i test :

abiliti il pppoe su otp2.  usi local autentication e crei un utente test test.

vai su firewall– rules  e vai dove ci sono le interfaccie ppoe vpn ( non posso dirti se ce una '' linguetta'' con su scritto solo ppoe perche ultimamente hanno cambiato il posto del pppoe nell'interfaccia... prima era sotto service ora e' in vpn ..)

crea una regola per far uscire il pppoe ( source pppoe subnet o a seconda della release che hai pppoe clients , destination any e poi tutto any ..)

adesso pfsense natta  da solo la classe di ip del pppoe per farlo uscire in automatico e ti puo fare uscire.

connetti un pc a quella interfaccia e lancia la connessione pppoe ( per capirci la procedura in win crea nuova connessione-- internet banda larga--- connessione manuale-- pppoe , quella che si fa anche con alice o tiscali ecc...) e dovresti gia uscire.

se il pppoe risponde ma non ti accetta va bene. ricontattami.
se il pppoe risponde ti accetta ma non navighi, controlla la regola di instradamento del traffico in firewall rules. e ricontattami.
se il pppoe risponde e naviga, non occorre risentirci.

guarda questa guida

http://doc.pfsense.org/index.php/Multi_WAN_/_Load_Balancing

devi fare oltre al load balancing anche il failover dei gateways  .. altrimento il 50% dei pacchetti li perdi se crolla la wan..( semplicissimo roud rubin non pesato.) e ti si pianta tutto

ricordati che l'ftp scoreggiotta con il balancer…

i dns dovrebbero essere in general setting.. quindi generali appunto. non specifici di una singola interfaccia...

ops. mi sono accorto solo ora che utilizzando IE per accedere all'ftp non si hanno i diritti di scrittura.
come posso risolvere?

da

Diagnostics: System logs: Portal Auth

ottieni

Jul 18 23:42:13 logportalauth[406]: FAILURE: hotspot001, 00:22:fd:XX:XX:XX, 192.168.33.185
Jul 8 23:00:31 squid[837]: Squid Parent: child process 841 started

nel caso di successo sai che utente si è autentificato (nel caso hotspot001 ha toppato la pass ma in esito positivo scopri che hotspot001 ha ip 192.168.33.185)

cosi avendo orario di log sapendo che l'utente è univoco puoi vedere dai log di squid che ha fatto

sfortunatamente no esite un log unico e nesusna unioone diretta tra portal auth e squidlog

ps devi salvarti portalauth.log che sono ciclici e son oresettati adoogni avvio

ho installato pfSense e ho visto che è possibile disabilitare il firewall!

;D

ottimo!

ok, se si cambia la porta in services il tutto funziona.
ciao a tutti

non so se si possa fare….  io mi sono dovuto appoggiare ad un server esterno per il radius ( clearbox radius + mysqql) per poter far disconeessioni a tempo e cancellazione utenti (DISABILITAZIONE  per la precisione,..)

ALLORAL'ACCESS POINT E' ACCESS POINT E BASTA O ROUTER?

SE E ACCESS POINT E BASTA  CONNETTI
L'ACCESS ALLO SWITCH ( CONTROLLA CHE IO HA L'ACCESS DI DEFAULT POTREBBE ANDARE IN CONFLITTO CON PF….)
PFSENSE

E POI PINGA DA PFSENSE L'ACCESS POINT.  SE NON RISPONDE O SULLO SWITCH CI SONO VLAN( OSA CHE UN CREDO..) OPPURE E SCOPPIATO L'ACCESS POINT.
SE RISPONDE  VUOL DIRE CHE A LAYER2 SEI APPOSTO.
PROVA A ATTACCARE IL PORTATILE CON LA ETHERNET PER SCONGIURARE PROBLEMI SOFTWARE DELLO STESSO.
'SE RICEVE IL DHCP ANCHE IL PORTATILE ALLORA CONCENTRATI SULLACCESSPONT.

SE IL TUO ACCESS POINT FA ANCHE DA ROUTER ( DIETRO HA 1 PORTA WAN E 1 O + PORTE LAN )  CONTROLLA :

CHE IL DHCP DELL'ACCESSPOINT-ROUTER NON SIA ATTIVATO (LATO LAN  E QUINDI ANCHE LATO WIFI).
POI PRENDI IL CAVO CHE ESCE DA PFSENSE SU QUI E ATTIVO IL CAPTIVE PORTAL E LO SCHIAFFI IN UNA PORTA LAN ,, RIPETO LAN E NON WAN ...) LIBERA SULL'ACCESS.  IO NE HO CIRCA 80 DI ACCESS MESSI IN QUESTA MANIERA  E PFSENSE VA CHE E' UNA MERAVIGLIA.

PUO ESSERE CHE IL CAVO DALLO SWITCH LO HAI ERRONEAMENTE COLLEGATO ALLA PORTA WAN§? PERCHE COSI TORNA DATO CHE IL POUTER ACCESS POINT NON SENTE I DNS ( GRAZIE AL CAPTIVE) E QUINDI NON TI FA USCIRE SU NULLLA ...

se vai in captive portal  ce  portal page contents  una casella di riepilogo  e sotto ce scritto quanto segue

Upload an HTML file for the portal page here (leave blank to keep the current one). Make sure to include a form (POST to "$PORTAL_ACTION$") with a submit button (name="accept") and a hidden field with name="redirurl" and value="$PORTAL_REDIRURL$". Include the "auth_user" and "auth_pass" input fields if authentication is enabled, otherwise it will always fail. Example code for the form:

tradotto:  ti crei una pagina  inserisci il form come ti dicono loro e poi la personalizzi come ti pare e la carichi!!  ok??

…. ci ero gia arrivato a fare una regola specifica per l' ftp  prima di tutte le altre regole...  forzando l'uscita dal default gateway per le connessioni ftp.. ed e' il metodo che sto usando gia per ovviare il problema. come dici te non e' molto elegante, anzi e' una gran rottura di balle poiche per alti carichi ( ESEMPIO se un utente tira giu una debian iso tramite ftp)  mi rallenta tutto il load balancing!!

nessuno sa come sia possible instradare un pacchetto su diverse interfacce (balancing) mettendo pero come dire lo stesso ip del mittente?? scusate la domanda ma credo che sia l'unico modo per non far incazzare il server ftp che poverino vedendosi  4 ip diversi del mittente per la stessa connessione mi va in menopausa e sta zitto..

ok risolto bastava un riavvio  ;D

Grazie cmq.