@axel910
no, maxmind non mantiene liste di reputazione e neppure pfblockerng che si limita a scaricarle, bisognerebbe capire chi compila quella lista

X psp , ho balbettato sulla tastiera mentre scrivevo il post, ed un pezzo di indirizzo mi e' rimasto tra le dita :-) , per questo i conti non ti tornano. tutto quanto scritto e' solo una prova, non sono in produzione. sto giocherellando con pfsense , un portatile, uno switch hp e poco altro.
ancora grazie
grazie ai vostri post ho le idee molto piu' chiare

sembrerebbe che il problema fosse Log Limit Size in MB.

era impostato a 50 MB e pensavo bastassero, in realtà ho dovuto mettere 150 MB e sembra che ora tutto funzioni normalmente

@kiokoman concordo sul lab... anche se cosi facendo rischi di intopparti in qualche cosa perché la wan servirebbe per altro e alcune funzioni vanno in automatico considerando quella scheda coma wan...

ma ripeto per un lab può andare anche se preferirei smanettare con una macchina virtuale...

Ma ovviamente sono opinioni e abitudini 😜

@kiokoman
Grazie mille per la puntualizzazione,
questo era il passaggio che mi sfuggiva e che risolve integralmente i miei dubbi sull'utilizzo di HAProxy per la domanda che avevo posto.

Da ora per me sarà interessante esplorare il comportamento "ibrido" ovvero usando sia HAProxy che NAT sulla medesima interfaccia, in maniera da avere sia servizi "FO/LB" che direttamente nattati.

Grazie ancora per il supporto!

servirebbero piu info, tipo come e strutturata la rete ecc...
comunque le regole le trovi in Firewall/Rules vai nell'interfaccia dove intendi abilitare il traffico e fai Add (ruless) e configuri la regola con le porte 139 e 445.

in realtà con OpenVPN non esiste la punto-punto - ma la server-client con chiave condivisa cosi da "simulare" una punto-punto (o sbaglio?)

da quello che so, OpenVPN per il momento è la "più sicura" VPN rispetto acnhe alla IPSec.

@claudio-gallix non ho capito cosa intendi per "ho la classica" ma suppongo te intenda la OpenVPN classica per il collegamento singolo dei client esterni con certificato/utente/password (io a ho aggiunto anche autenticazione a due fattori con freeradius).

per wireguard vedremo come funziona, sono curioso.....

@psp OK 👍

@fabio-vigano said in pfBlockerNG DNSBL service pare che non funzioni:

@senseiluke pfblocker funziona in due modalità:

Blocco del traffico tramite regole di firewall; blocco del traffico tramite risoluzione dns;
Sono modalità indipendenti e vanno configurate ed attivate. Di base il controllo tramite dns è disattivato quindi se non lo configuri vedrai il servizio arrestato.
Come ti hanno già indicato ha bisogno del motore del resolver per funzionare.
Probabilmente il resolver non lo hai configurato correttamente, per questo spesso non ti funziona.
Ciao Fabio

Non ho idea però cosa avrei configurato erroneamente visto che non ho fatto altro che reinstallare l'immagine della VM che avevo salvato in Proxmox (in cui il resolver funzionava perfettamente prima). L'unico cambiamento che ho fatto è sull'host fisico su cui gira Proxmox in cui ho aggiunto degli HD e configurato il pool ZFS.
Una volta fatto ciò ho reinstallato l'immagine salvata di pfsense che nel frattempo giaceva su un altro HD non coinvolto nella modifica.

@kiokoman said in Haproxy e e certificati ssl letsencrypt per funzionamento in locale:

@senseiluke
se vuoi imparare qualcosa di nuovo si altrimenti è tanto lavoro per niente 😁

Beh si, hai capito il punto. In effetti non mi serve praticamente a niente per quel che ci faccio. Anche pfsense mi serve a poco, ma mi ha aiutato a capire alcuni meccanismi del networking che, soprattutto in quest'ultimo anno, è diventato il mio hobby.
Grazie

@clodeomfg
no affinche funzioni la lan deve avere una subnet diversa

mi rispondo da solo: avevo dimenticato la spunta sulla voce

Provide a list of accessible networks to clients

sotto "mobile clients" . colpa della fretta. che figura. scusate

@mato76
non molto... cioè in dhcp non c'è nulla da configurare per ottenere un ip dalla vodafone station. se non lo fa la scheda di rete sulla vf o su pfsense non funziona
hai provato tutte le porte LAN della vodafone station? hai provato con un altro cavo?
puoi provare impostando un ip statico e/o forzando Speed and Duplex sulla interfaccia

@clodeomfg
a questo punto forse ti conviene fare una nuova macchina virtuale, ti basta fare backup e ripristino della configurazione dal vecchio al nuovo, i pacchetti aggiuntivi mancanti si autoinstallano appena fai il ripristino del backup
il tempo di spegnere uno e accendere l'altro, ripristino backup e hai un down di pochi minuti.
comunque scegli te puoi provare anche nel tuo modo

@cloudfacilesrl potresti provare a installare in un ambiente di test, la versione 2.5.0 di pfsense per vedere se il problema si risolve

@kiokoman
capito
grazie!

funziona anche con netflow versione 9
la tua versione del programma non la trovo da scaricare ma con NetFlow Analyzer v12.4 scaricato dal sito manageengine non ho riscontrato problemi
Immagine.jpg
Immagine2.jpg

non riesci a pingare nulla da quel lato o solo la rete del 4g ? riesci ad esempio a pingare pfsense ? hai comunque verificato se sul log del firewall viene bloccato qualcosa ?
come tunnel,se è una site to site, hai configurato una rete /30 ?
su tutte le interfacce hai disabilitato Block bogon networks e Block private networks and loopback addresses ?
prova a vedere se seguendo queste indicazioni riesci a identificare il problema
https://docs.netgate.com/pfsense/en/latest/troubleshooting/openvpn.html

@kiokoman said in Non Pingo VM interna gestita da pfsense:

si lato wan pfsense blocca tutto se non specificato

Ok grazie tante.

@kiokoman said in VPN IPSEC IKEV2:

ok quindi su windows manca la rotta, ieri mi pareva di aver letto qualcosa a riguardo ..
uhm non credo , qui si riferisce ai dns
https://superuser.com/questions/966832/windows-10-dns-resolution-via-vpn-connection-not-working
comunque controlla le rotte, non ho idea sotto windows di quali siano i comandi

VPN / IPsec / Mobile Clients
Network List -> Provide a list of accessible networks to clients
questa opzione è abilitata?

L'opzione "provide..." è abilitata, ma non penso che sia una questione di DNS perché se fosse quello, dovrei comunque poter pingare sugli ip della lan remota, invece non pingo. L'unico sistema è quello di mettere Network 0.0.0.0