@kiokoman said in Configurazione dhcp multi vlan: cambierebbe poco, non basta 1 ip pubblico per fare ha sync, te ne servono almeno 3 statici https://docs.netgate.com/pfsense/en/latest/recipes/high-availability.html sulle linee home non ci sono 3 ip pubblici, a questo punto lo utilizzo stile failover.

prendi per il ........

alla fine basta capire la relazione tra tagged / untagged / trunk e diventa una cazzata se non vuoi che vlan entri in lan è ok

se non ricordo male, quando imposti una VPN dalla parte server, devi indicare la classe IP della sede remota. temo che tu non ne possa indicare 2 differenti altrimenti non saprebbe in quale VPN inviare i pacchetti.

boh niente sul client che sappia, hanno solo aggiornato a una versione + recente comunque qui c'e' genta con lo stesso problema con varie solutioni, il tutto fa pensare a vari antivirus che fanno casino https://forums.openvpn.net/viewtopic.php?t=7663#p31560

che ti ritroveresti con una doppia nat ma non so a quali inconveniente andresti in contro sinceramente, se configurato correttamente non vedo problemi... lui dice che potresti comunque mettere tutto sul primo pfsense e un secondo pfsense lo potresti usare come backup per https://docs.netgate.com/pfsense/en/latest/highavailability/index.html

grazie! e sul portatile cosa installo?

@kiokoman Capito allora. Meglio andare sulla soluzione classica con i cavi di rete per il collegamento a pfsense allora. Che poi a monte ci sia un modem/router o qualsiasi dispositivo wifi/LTE è un altro discorso che riguarda poco pfsense. Grazie

confermo, tutto corretto

Risolto! Avevo cambiato l'IP del server DNS nella scheda del pc per fare un esperimento e avevo dimenticato di resettarlo. Ovviamente non puntando più al mio router in cui era impostato il DNS statico per il FQDN di pfSense, l'indirizzo non veniva risolto. Scusate e grazie

se le interfacce fossero state configurate correttamente avresti 2 gateway. ci sono un sacco di video tutorial su youtube, te ne linko uno https://www.youtube.com/watch?v=Gvvwm5lwpMk

non saprei, ci deve essere qualcosa che non va nella configurazione o nella installazione, forse le risorse stesse non sono abbastanza, ho provato ad installarlo e ad attivarlo sul mio ma a me la swap resta a zero e la ram passa dal 18% al 33% non c'e' altro nei log che possa dare indicazioni più utili ? swap_pager_getswapspace indica semplicemente he hai finito la ram e lo spazio di swap, 33% per me corrisponde a 2gb di ram usata, se hai altri pacchetti aggiuntivi che consumano ram resti a secco [image: 1596214237387-immagine.jpg]

Ciao @kiokoman , si ho fatto la prova ma non cambia granchè. La mia domanda nasceva dal fatto che il modem è parecchio vecchio ed anche il tecnico telecom mi suggeriva di cambiarlo perchè probabilmente non sarebbe stato in grado di supportare pienamente la banda della fibra. Ma dopo aver fatto il tentativo direttamente sul pfSense ho scoperto che la banda non è cambiata minimamente, attestandosi sempre intorno ai 480Mbit. Dunque modificare la configurazione diventa solo superfluo, anzi complica solamente più le cose, quindi lascerò tutto così. Grazie e saluti

@kiokoman Ti giro il printscreen della regola che apre ogni porta verso l'interfaccia da me nominata WAN1, connessa ad una porta LAN del Cisco. In teoria ogni IP navigante, su ogni porta, dovrebbe riuscire ad arrivare in modo secco su WAN1. Quando navigo il pubblico in modo automatico vengo rediretto sulla porta 443 ed amministro il firewall da remoto. Ancora non riesco però, specificando una porta differente, a essere rediretto su quel 192.168.168.230 che non raggiungo. Considera che prima di mettere su il balancer il copiatore lo raggiungevo senza problemi, usando la logica del medesimo pubblico su porta differente; da quando ho messo su la nuova situazione non riesco più e davvero non comprendo. [image: 1595930191341-64d7a4c8-9ac9-4e1c-a283-1f261a45e4ed-immagine.png]

@fabio-vigano said in Dubbio sull'utilizzo della funziona "do not NAT" (OutBound NAT): Ciao, Serve esattamente per caso come quello che hai citato. Se vuoi che tra due sottoreti normalmente nattate l'ip di un particolare dispositivo debba transitare senza mascheramento allora usi quel flag. Di fatto impone al sistema di fare solo routing in quel particolare caso. Non so se sono riuscito a farmi capire Ciao Fabio Spiegazione chiarissima: quello che mi sfuggiva, è che pfSense per gli "outbound NAT" applica il "masquerate" in default e quel flag semplicemente lo disattiva. ...banale: ma non l'avevo afferrato. Un Grazie a tutti!

Ciao Kiokoman Si ho gia' aggiunto quello che mi hai suggerito, ma non funziona ancora. Vi do ulteriori dettagli: Se utilizzo l'utility di PING direttamente da Pfsense e sceglio come destinazione l'indirizzo del modem (192.168.5.1)..... SITE2 Origine LAN: PING yes. Origine OPENVPN SITE-to-SITE: PING yes. SITE1 Origine LAN: PING no. Origine OPENVPN SITE-to-SITE: PING yes. Non riesco a capire cosa manca.... Grazie

@kiokoman Grandissimo! Erano proprio il "DHCP Registration" e il DNSSEC! Grazie mille.

purtroppo no, dovevi configurare syslog per inviare i log ad un server esterno con più capacità di conservazione

Ciao! Necroposto per dirvi (e dire al mondo) che wind (non so se lo fa il provider o il modem) fa transparent proxy sulla porta 53. Ovvero, qualsiasi dns tu metta, viene "rimpiazzato" durante la richiesta con quello wind, un po' come un http redirect. Per risolvere devi usare un DNS su una porta diversa. Purtroppo siccome il router non permette di cambiare la porta del dns, ho dovuto usare una raspberry con dnsmasq e mettere l'IP locale della rasp come server dns nelle impostazioni del server dhcp del router (l'alternativa sarebbe mettere il dns manuale a tutti i dispositivi e ma anche no)