Non so come si comporta la FWA di Tim quando commuta a 1 Mbps, ma mi vengono in mente due tentativi che potresti fare:

Il primo:
se la FWA a 1 Mbps viene instradata in modo diverso rispetto a quella aperta, allora puoi impostare per il parametro "Monitor IP" del gateway FWA un IP esterno che quando la FWA e' aperta risponde e quando e' limitata no.

Il secondo:
Se per caso si scoprisse che la restrizione di banda della FWA implica un aumento di latenza verso Internet allora potresti:

impostare il "Monitor IP" del gateway FWA su un IP esterno che risenta dell'avvenuta restrizione di banda, impostare il 'Trigger level" per il wan failover del gateway group con il quale esci su "High Latency", impostare sulle Advanced Options del gateway FWA una "latency threshold" massima tale che discrimini tra la situazione in cui la FWA e' aperta e quella in cui e' strangolata.

Sono solo ipotesi, perche' non ho la piu' pallida idea di cosa sto dicendo ... ma una prova la farei.

Ciao, Marco

@kiokoman
Speravo che ci fosse .... comunque ho già provveduto a rimodulare i parametri .
lease.png
Comunque , allargare una subnet sicuramente risolve in parte il problema , ma dal punto di vista tecnico non la condivido .
Grazie per le tue risposte.

si puoi farlo, crei un alias con l'host che vuoi raggiungere, pfsense ri-risolve l'indirizzo ogni 30 secondi e poi fai una regola sulla lan che permetta accesso all'alias con porta 80/443 e una sotto che blocca le porte 80/443 con destinazione "any"
c'è comunque da verificare il funzionamento del sito in questione dopo, se la pagina ha contenuti "statici" non ci sono problemi ma se ha contenuti che reindirizza ad altri siti/ip diventa più complicata la questione

Si infatti. Evidentemente non sto effettuando le aperture in maniera corretta…

mi piacerebbe poterti fare degli screenshot delle videate… ora ho fatto il rollback della configurazione di PfSense. Appena riesco rifaccio nuovamente il test e ti posto tutte le informazioni di configurazione sia delle interfaces sia delle regole. E' diverso tempo che ci sbatto la testa e vorrei risolvere la cosa una volta per tutte. Ho visto che nell'anteprima a destra le videate del PC si riescono a vedere. altrimenti se mi dai una tua mail te le mando in formato doc. Poi torniamo qui e condividiamo con gli altri. Magari può essere di aiuto anche a qualche altro membro del Forum

Grazie
Gianmario

Grazie ancora

Gianmario

quello è solo un avviso, non è detto che non funzioni e mal che vada basta aggiornare i client a openvpn 2.4
2.3.4_1 non è più supportato comunque, dovresti aggiornare a 2.4.4-p3 appena possibile

no, sinceramente non cambia nulla in termini di prestazioni, provalo su una macchina virtuale se sei curioso ma ripeto quasi non vale la pena d'altronde è un firewall non un sistema operativo su cui lavorarci giornalmente

sinceramente credo che il problema sia sullo switch L3 ci deve essere qualche problema di routing o di permessi o gateway sbagliato/non impostato o altro.. difficile a dirsi senza vedere come lo hai configurato

@fabio-vigano .... si è stato impostato.

Ciao @romantik70,
l'errore significa che all' ip 185.212.227.121 e porta 443 non ti risponde nessuno.
Sei sicuro che siano corretti?
Puoi girare le specifiche per connetterti alla vpn di shpv.fr?
Ciao Fabio

ho risolto oggi per puro caso. collegato un 4° apparato all'ip pubblico incriminato , ecco che tutto ha funzionato a dovere. a momenti mi veniva un colpo. allora ho riprovato un apparato non funzionante, il quale continuava a non funzionare. allora ho riattaccato il router funzionante, un netgear, e questi ha continuato a funzionare. insomma, direi che mi sono imbattuto in 3 hardware guasti, in sequenza. e' incredibile, lo ammetto, ma con un router netgear da 60 euri, il tutto funziona. se tolgo il netger e provo uno degli altri 3 hardware, ecco che non funziona.
son basito ma e' proprio cosi'.
bun 2020 e grazie a tutti

ok, ci riprovo.
come ip "monitor" ho usato 1.0.0.1 per gatewa1 e 208.67.222.222 per gateway2
adesso ho un problema molto piu' serio, apro altro 3d.
grazie a tutti

Ciao,
Nella configurazione del server, nella sezione tunnel settings c'è l'opzione redirect ipv4 gateway, se la sounti, in fase di creazione del file di config per il client viene inserita la direttiva redirect-gateway che instrada tutto il traffico sulla VPN
Di default quest'opzione non è spuntata.
In ogni caso se editi il file di config ed elimini la direttiva, sei a posto.
Ciao Fabio

@kiokoman

Riprendo un attimo questa discussione per aggiornare sugli interventi sul firewall windows.
Per evitare di disattivare il firewall ho aggiunto tra le regole in entrate un'altra.
Non ho specificato ne porta ne servizio però coem potete vedere :

alt text

Queste impostazioni sotto però permettono ad utenti collegati tramite openVPN di vedere le risorse di rete di un pc:

alt text
La modifica che funziona è proprio "Indirizzo Ip locale->Qualsiasi indirizzo IP". Se modifico questa e aggiungo la subnet 192.168.6.0/24 nello spazio sotto non accedo più alle risorse.
In "indirizzo remoto ip" ho inserito la subnet della LAN virtuale giusto per non lasciare l'opzione "qualsiasi indirizzo IP" selezionata, ma non serve a niente per lo scopo.
È uan modifica fatta un po' troppo alla carlona, giusto per non disttivare compeltamente il firewall, ma mi sembra troppo permissiva. Voelvo aggire sulle porte e i servizi da autorizzare ma non saprei cosa cambiare.
Mi aiutate a ad impostare meglio questa regola?
Grazie

@kiokoman said in CPU con supporto AES-NI encryption per pfsense 2.5:

è un dual core del 2011 che non ha istruzioni AES-NI, non ho idea di come possa comportarsi quel netbook con freebsd ne se sia in grado di gestire poi pacchetti aggiuntivi come pfblockerng che comunque richiedono un po di cpu. prova e poi vedi tanto se ce l'hai li fermo non ti costa nulla

Vero provare non mi costa nulla, però non ce l'ho proprio buttato li al momento. Comunque linux (versioni leggere) ci girava decentemente, credo quindi che anche con freeBSD non dovrebbe penare più di tanto. Tieni presente che comunque il fattore potenza per gestire le esigenze di calcolo e di rete è relativametne importante nel mio caso. Stiamo parlando della mia rete LAN con pochi dispositivi connessi. Il suo vero collo di bottiglia è l'Hd ora vecchio e usurato.
Grazie

Devi usare la sezione IPv4 Custom list ed indicare gli ip che vuoi aggiungere manualmente alla lista.
Se invece vuoi fare qualcosa di manuale senza usare pfblocker basta che crei un alias e ci aggiungi a mano gli ip
Fabio

@senseiluke said in Load Balancer e Failover:

Mi servirebbe capire un'altra cosa.
Il Load balancer serve ad alleggire il carico del traffico proveniente dalla LAN su più connessioni (il più delle volte solo due) in caso di bisogno, ma non è come se raddoppiassi la banda effettivamente. Voglio dire se dalla WAN1 (ISP_a) ho 50Mb/s di banda a disposizion e dalla WAN2(ISP_b) ho altri 50 non è che se vado a fare lo speed test mi ritrovo con 100 Mb/s? Verrà utilizzata solo una linea. Giusto?
Grazie

Esatto, il load balancer distribuisce in modo roundrobin le connessioni sulle Wan del pool.
Questo fa sì che con determinati protocolli si abbiamo dei malfunzionamenti. Esempio quando fai browsing Il tuo browser chiede la pagina index.html del sito e dopo averla letta avvia il download dei vari elementi (immagini, CSS, ha ecc...) Per ogni elemento apre una nuova sessione quindi se hai un bilanciamento su più wan, ricevi un po' di elementi da ogni connettività. Questo in https non è possibile perché viene interpretato come un errore.
La cosa migliore è analizzare il proprio traffico e cercare di bilanciare il traffico in modo statico facendo uscire un certo protocollo sempre da una stessa Wan.
Es: http ed https da wan1, FTP, POP3 e IMAP da wan2
In questo tipo di configurazione userei comunque un gruppo di fault tolerance in modo che se una Wan cade viene usata l'altra.
Ciao Fabio

è normale dato che non è previsto che si "stacchino" le interfacce