[ RISOLTO]Ciao ,era la scheda di rete integrata che faceva confondere…..
ne ho messa una sul pci ed ho risolto il problema!
Grazie

Nel file di config del client hai l'indirizzo IP pubblico del server Vpn da raggiungere ?
Inoltre, se da PF-Sense vai su Status –-> Open Vpn dovresti vedere se effettivamente le richieste del client arrivano o meno. Così puoi capire a che punto si ferma il tentativo di collegamento.

Ciao Delf,
l'utilizzo che vorrei fare della DMZ è solamente per aumentare il livello di sicurezza.

non sono un esperto di firewall ma mi piace dilettarmi nel mondo informatico (il famoso smanettone)  :)

leggendo su internete le varie info e guide sembrerebbe che una DMZ aumenti il livello di sicurezza sia in caso di "buco in entrata" sia in uscita.

sopratutto per le uscite: ho un server exchange e vorrei che il mio server fosse il meno possibile soggetto a rischi di essere usato come server spam

sto cencando anche varie info per capire bene come configurare delle regole firewall in uscita per impedire quanto sopra.

non ho necessità di configurare la DMZ entro domani e sono piuttosto tranquillo con il firewall ma unire il "divertimento" di imparare cose nuove, all'utilità di aumentare la sicurezza mi sembra un buon compromesso.  :P

attualmente ho pfsense configuarto cosi:
ippubblico statico di telecome 123.123.123.123 che entra dentro al modem telecom 192.168.0.1 che è collegato alla wan 192.168.0.2 che a sua volta è nat 192.168.1.1

quindi lato modem telecom ho il forwording della porta 25 su 192.168.0.2 e lato firewall su 192.168.1.serverexchange

ciao e grazie

Ok risolto.

lasciando tutto invariato come avevo scritto nei primi post, ho dovuto attendere solo una nuova versione di pfsense che ha risolto la gestione degli alias con i dyndns.
Ora tutto funziona  ;D

ho escluso l'uso della vpn

Confermo… non avevo visto host name resolution da impostare e quindi era rimasta la voce standard Interface IP adress

Grazie mille per il tuo prezioso consiglio,

ho creato la regola e messa in prima posizione nella LAN

I gruppi con il tier erano già impostati essendo il FW impostato con il failover, ma ho preferito impostare il GW di uscita sulla WAN1 sempre, anche se casca la linea;
questo perchè, ricevo dall'esterno sull'IP del GW, quindi se fosse down, non avrei comunque nessuna chiamata dall'esterno.

Per ora vedo che funziona tutto regolarmente.

Grazie ancora

sono riuscito con pazienza a farlo…. e ringrazio per le risposte!

volevo solo qualcuno che lo facesse al posto mio perchè, essendo la prima volta e avendo configurato in 3 giorni VMware con vCenter - Nas Qnap per bck e storeg 5 server win con sql exchange e DC un server SAP ero praticamente "cotto" e "potevo" perdemi in qualche passaggio.... ::) ::) ::) ??? :P :-[

Quali regole utilizzi LAN (WiFi). Proxy?

Ciao Fabio,
ti aggiorno:

si ho tolto quella regola che era un refuso, la prima regola le comprende entrambe come consigliato da te ho messo una rete con ip privato ora utilizzo 192.168.0.0/16.

Il traceroute aggiungendo le rotte corrette (che ti allego) e mettendo una rotta statica sull'asa (ti allego anche questo), si ferma al primo hop e cioè al server openvpn e se provo a fare un ping alla lan del firewall (il nuovo ip è 192.168.0.100) mi da "Destionation Host Unreachable".

Sto sbagliando qualche rotta?

Aggiornamento:
Sniffando il traffico sul server openvpn e facendo un ping verso un ip che sta dietro pfsense (collegato in openvpnclient) da una macchina che sta nella stessa rete del server openvpn, ottengo

"09:06:13.539313 IP 10.34.0.230 > 192.168.0.100: ICMP echo request, id 24886, seq 1, length 64"
Quindi qualcosa arriva…ma non torna indietro.

Grazie come sempre

NuoveRotte.png
NuoveRotte.png_thumb
RotteAsa.png
RotteAsa.png_thumb

Quella di usare una porta diversa dalla 80 per più webserver, è sconsigliato e da usare solo in casi particolari, principalmente per 2 motivi.

gli utenti remoti, possono avere firewall o proxy server, configurati per raggiungere solo le porte più comuni, e non le altre, per cui solo porta 80, 25, 110 etc.etc.
se tu poni gli altri web server su porte tipo 81 82 83 etc. possono non essere raggiungibili.
Inoltre, nel tuo suggerimento, la porta 81 è sconsigliata perchè tutte le porte 0-1023 sono riservate:  https://it.wikipedia.org/wiki/Lista_di_porte_standard potresti avere necessità di gesti molti web server per cui dovresti assegnare molte porte.

C'era anche un terzo motivo, con cui mi sono scontrato in passato, ma ora non mi viene più in mente :-P

Perfetto! Ti ringrazio per il chiarimento  :D

Ciao,
se il collegamento è 1:n allora puoi usare un pfsense con 2 porte, ad una colleghi la macchina verso cui viene fatto (192.168.10.20) il traffico e sull'altra lo switch dove sono attestate le altre.
Se fosse così sarebbe molto meglio avere 2 subnet (VLAN), diciamo una per i server ed una per i client e far fare al pfsense il routing layer 3.
Ciao Fabio

Ciao,
il metodo corretto è quello di installare il package cron, è l'unico che ti permette di inserire nel file di config (config.xml) le impostazioni in modo che ad ogni riavvio il file di configurazione del crontab venga rigenerato correttamente.
Fabio

Probabilmente c'è un bug in quel package
Prova a segnalarlo qui
https://redmine.pfsense.org/projects/pfsense-packages/issues?set_filter=1&tracker_id=1

Ciao fabio