che poi non è che un hacker / un truffatore o un terrorista ha bisogno di andare in un albergo per fare danni, quando hai bloccato l'uso di torrent / p2p e per quanto possibile l'accesso ai nodi tor in modo che non vengano a bussarti alla porta la polizia postale sei apposto.

Il tecnico ha risolto il tutto, cito testuali parole " ho sistemato le chiamate al DNS"
Grazie

@kiokoman valuterò anche quella possibilità. Grazie per le dritte

Grazie mille.

No non c'e' nulla di tutto ciò, pfSense è pensato per fare solo da firewall,
c'e' una discussione qui https://forum.netgate.com/topic/142625/is-there-an-email-spam-filter
dove però l'unico suggerimento sensato è quello di @akuma1x :

Use a cloud provider for email SPAM filtering - host your email domain with gmail, or subscribe to a spam filtering host. I use mailroute for our business email accounts. But, do it in the cloud! This is NOT something you want to run yourself, too maintenance-heavy and time consuming.

@Gabri-91

Ciao Gabri, grazie della risposta. Purtroppo era la scheda di rete quad Port che avevo montato sul server ad essere danneggiata. Cambiata quella il sistema funziona perfettamente.

Ciao , fammi sapere. Comunque è importante disattivare il dns forward e abilitare il dns resolver per permettere solo al firewall in primis di risolvere gli ip e relativa cache di squid .Inoltre come citato prima ti consiglio di rilevare i network da bypassare tramite una interrogazione ASN attivare glia alias ed escluderli da squid . Controlla i log in tempo reale e non dovresti vedere più errori 409 .

Ciao,
il modo più semplice è attivare il NAT reflection. L'opzione la trovi in System > Advanced > Firewall & NAT

Ciao Fabio

Ciao,
verifica di non aver utilizzato gli stessi DNS che hai impostato in General Setup o almeno imposta l'interfaccia di riferimento del DNS compatibilmente con la linea da monitorare.
Quando definisci dei DNS vengono create delle rotte statiche e se malauguratamente il monitor della 2° ADSL è un DNS per cui è stata creata una rotta statica sulla 1° ADSL inizi ad avere malfunzionamenti.

Ciao Fabio

@kiokoman said in Configurazione VPN Layer 2 e DHCP:

ma perche' mai i pc di sinistra dovrebbero prendere il dhcp dal pfsense di destra?
dal disegno che hai fatto il dhcp dei pc di sinistra lo devono prendere dal pfsense di sinistra poi sarà il pfsense a instradare le richieste verso il pfsense di destra. il tuo problema e' proprio che entrambe le parti hanno la stessa classe di inidirizzi quindi cosi come sei messo saresti costretto a splittare il dhcp cioe' ad esempio da 1 a 100 sul lato sinistro e da 101 a 254 sul lato destro per evitare che i pc prendano lo stesso ip e poi saresti costretto a creare rotte /32 per ogni singolo pc in entrambe le reti, fattibile ma sarebbe un macello. molto meglio se cambi la classe da una delle 2 parti

Se creo 2 DHCP, ovviamente con range differenti e nella stessa classe funziona, però ho necessità che l'IP assegnato al "device" di sinistra sia dato da un unico DHCP in quanto deve interagire con un device posto nel lato destro del tunnel e obbligatoriamente nella stessa classe, questo però mi crea problemi e tutto il sistema non funziona.
Ho notato che se tengo attivi 2 DHCP ad un certo punto questi smettono di distribuire IP (forse un bug del Pfsense), questa cosa l'ho potuta verificare anche collegando un PC alla rete, l'unica soluzione è riavviare il Pfsense, il solo riavvio del servizio DHCP non è sufficiente.
Se invece il DHCP è uno solo sembra non dare questo problema.

Come ultima info ti posso dire che i dispositivi che sono connessi nel tunnel non sono PC.

le regole sono comunque sbagliate, la porta 53 ad esempio nelle regole lan risulta chiusa e ti server affinche funzioni il dns.
nella parte wan hai aperto tutto e quindi a poco ti serve un firewall.
cancella le regole in WAN e sistema le regole in LAN. il minimo per navigare in internet sono le porte 53,80,443 (LAN to * ) (WAN non è internet!!!) in uscita dalla lan poi guardando il log del firewall puoi in seguito aggiustare quello che ti serve

@albgen !! me ne sono accorto solo ora.. perchè hai riesumato un post di 4 mesi fa? 😀

Sono riuscito a risolvere il problema in questo modo, aggiungendo una seconda interfaccia di rete ed inserendo le due connessioni internet su due interfacce differenti.

In questo modo dalla sezione Firewall -> Rules riesco a fare le regole di instradamento come voglio.

Per chi fosse interessato io avevo impostato su una stessa interfaccia WAN due gateway differenti
(Ip statico 192.168.2.1) - (Ip Dinamicio 192.168.2.100)
Dovevo distribuire il traffico su connessioni differenti
(Ip statico 192.168.2.1) -> VPN
(Ip Dinamicio 192.168.2.100) -> Servizio FPT
ed indirizzare il traffico di un mio PC 192.168.0.150 sul gateway (Ip statico 192.168.2.1)

Se impostavo nell'interfaccia WAN il gateway predefinito allora le regole in Firewall -> Rules di instradamento firewall non funzionavano (non so se deve funzionare così oppure è un BUG).
Se non impostavo il gateway predefinito allora le regole Firewall -> Rules di instradamento firewall funzionavano,
ma il servizio (Ip Dinamicio 192.168.2.100) -> Servizio FPT non funzionava in quanto la risposta veniva inoltrata a (Ip statico 192.168.2.1).

Impostando due interfacce differenti per ogni connessione internet si semplifica il tutto e funziona alla grande.

@dica si esatto, qui c'e' una guida per quello che intendo io http://www.itnotes.it/sicurezza/pfsense-in-modalita-bridge-transparent-firewall/
Una volta fatto questo in teoria ti basta controllare il log del firewall per vedere che non blocchi qualcosa. Ma non ho esperienza per quanto riguarda il voip di fastweb

dovrebbe bastare... ma a quel punto per essere un pò piu largo ti suggerirei qualcosa di più performante in termine di cpu, sopratutto se cominci avere una decina di client openvpn collegati simultaneamente.

Il problema non è strettamente legato a pfSense... le soluzioni possono essere tante, se sei "obbligato" a usare NordVPN la soluzione te la possono/devono dare loro... ^_^

@fumetto ok grazie per la dritta, quindi io ho gia installato active directory e come dns sulla scheda di rete del server avevo impostato 1.1.1.1 e 8.8.8.8 (cloudfare e google)
ora dopo la creazione di Ad il dns sulla scheda lan è diventato "se stesso" ,e i dns che avevo impostato sono diventati i dns di inoltro , quindi se voglio aggiungere l'ip di pfsense dovrei aggiungerlo come dns di inoltro'
cioè se il dns di AD non trova l'host richiesto lo va a cercare sul dns di inoltro che guarda fuori (che per orea è quello di google-cloudfare),
quindi io dovrei inserire come primo dns di inoltro l ip di pfsense ?