andiamo avanti con la diagnostica, stamattina sono stato dal cliente e gli ho montato il box che qui da me funzionava senza problemi… da lui niente, il firewall non risolve i nomi nemmeno per se stesso. A questo punto di sicuro c'è qualcosa sulla loro connessione che blocca i pacchetti verso i root servers... come odio certi provider....

nessuna, la migliore soluzione è quella di usare un Access-point esterno, personalmente di consiglio di guardare nel catalogo mikrotik

stavo facendo delle prove

come prima prova impostato il server openvpn su pfsense e ho provato a collegarmi con un portatile con windows 7 e client openvpn

pfsense ha lato wan ip statico e lato lan una rete del tipo 192.168.0.0/16 (e' una barra 16 e non una 24)
ho messo come tunnel la rete 10.0.8.0

e ho esportato la configurazione sul portatile con win7 e client openvpn
ho fatto una prova e la vpn si e' messa in piedi

funziona pero' alcune cose non mi tornano:

1. se contemporaneamente alla prima connessione, prendo un secondo portatile e faccio una seconda connessione, la seconda vpn non va in piedi, e' come se si potesse collegare uno alla volta

2. se con il portatile faccio per esempio VNC su 192.168.25.60 funziona, pero' sul server VNC vedo che la richiesta mi proviene dall'ip 10.0.8.2
e qui ho un bel problema: un sacco di macchine della rete non sanno come raggiungere la rete 10 perche' se ne escono su internet con altri router (abbiamo vari abbonamenti)
si puo' fare in modo che per es. il portatile si presenti come un ip della 192.168.. ?

Ciao , internet non funziona intendi la navigazione, mail, e altro  ?
Diversamte  hai un blocco di stallo  del firewall ? I log del sistema cosa scrivono ? Il dns resolver è servito dal firewall ? Hai servizi schedulati per il blocco e l'ora di sistema è corretta ?

@sisko212:

A mio modo di vedere le strade potrebbero essere 2.

1), è quella di settare nei client (o glielo fai fare a dhcp) come dns primario, il suo AD, e come secondario il dns di pfsense.
Dovrebbe funzionare, ma forse introduce un pò di ritardo, perchè i client prima tentano di risolvere da AD, e poi, non ottenendo risposta, lo fa dal dns secondario e quindi pfsense.

settare nel dns manager del tuo AD, un server di inoltro, che ovviamente punta a pfsense. I tuoi client avranno solo l' AD come dns che poi sarà lui a risolvere verso pfsense per i nomi host che non ha in tabella.

Poi i vari accessi a internet, oltre che con le regole firewall classiche, al limite puoi pensare di gestirle con un proxy, tipo squid e/o squidguard

Grazie mille, credo che opterò per la soluzione 2 ;)

ok perfetto
Grazie mille fabio

Se ho capito cosa intendi, a grandi linee i passi da seguire sono questi:
sulla sede master, devi capire prima di tutto qual'è il vip che instrada, il gateway del cosiddetto centro stella.
A quel punto se decidi di piazzare un tuo firewall, dopo averlo collegato al router MPLS e avergli assegnato un IP che il router possa contattare, devi muoverti così:

-sulla cpe del centro stella devi far modificare la default route facendola puntare all'interfaccia "MPLS" del firewall che andrai a piazzare;
-sul firewall del centro stella andrai a creare le rotte statiche per le subnet remote instradandole verso la cpe del centro stella;

A quel punto il traffico delle sedi remote verrà instradato dentro al tuo firewall dove potrai gestirlo come se fosse traffico locale e da lì mandarlo poi su internet tramite un'altra interfaccia del firewall che connetterai all'apparato che esce su internet, nattandolo sempre sull'IP pubblico della tua sede principale.
Non sono granchè abituato a lavorare con pfsense quindi non so guidarti in maniera precisa nei menù, ma la logica da seguire non cambia.
ciao

Come non detto.
Tolgo fin da subito il router che sta sopra pfsense e faccio la VPN direttamente con pfsense Vs Asa.
Grazie e alla prossima.

Ciao,
gli IROUTE che hai messo sono sbagliati.
Non capisco perchè ti stai complicando la vita.

Per configurare le vpn site to site puoi seguire questa guida
http://www.pfsenseitaly.com/2016/03/openvpn-server-su-pfsense-23.html
e poi puoi replicare n volte la parte dei client

Per la parte di remote access (la tua vpn di gestione) segui questa guida
http://www.pfsenseitaly.com/2013/08/openvpn-per-accesso-remoto-piu-sedi.html

Ciao Fabio

mmmm l'ip l'hai assegnato al bridge… se non ricordo male, quando giocavo con il bridging su linux, l'ip dovrebbe essere assegnato all'interfaccia fisica (opt1 se non vedo male).
In teoria dovrebbe essere irrilevante, ma in ogni caso controlla, anche sulla documentazione, ad esempio:
https://doc.pfsense.org/index.php/Interface_Bridges
se c'è qualcosa che possa essere relativo al tuo caso.

Ciao,
Il problema credo stia nella configurazione degli switch
Tutte le porte di link tra pfsense-switch1 e switch1-switch2 devono essere dei trunk mentre la porta verso il server deve essere untagged sulla vlan 100
A mio avviso avresti potuto risparmiarti di dichiarare la VLAN sul pfsense e lasciare la porta sullo switch come porta untagged per la vlan 100 così come dovrebbe essere configurata anche la porta verso il server.
Ovviamente il mio discorso vale solo se sul pfsense non gestisci altre VLAN, se invece devi trasportare più TAG tè corretto quello che hai fatto.

Ciao Fabio

Nessuno mi ha risposto, evidentemente siete davvero impegnati… o ci si avvicinano le ferie... ;D

comunque rete VPN funzionante al 100%.

Grazie mille a tutti

Grazie sei stato molto gentile ed esaudiente

@nicolat Ciao, ma come fai ad avere il disco pieno?? Forse hai dato troppo spazio alla cache del web proxy? Ma il disco che disco è?

Grazie a tutti, in realtà ho risolto per cui non devo più comprare niente!
@keen Darò comunque un'occhiata ai siti che hai segnalato.
@Fumetto La Zotac CI323 è quella che attualmente uso come router pfSense, però le schede di rete sono Realtek, e non Intel, e la volevo cambiare proprio per quello!
Il problema che avevo è che usando in maniera intensiva torrent, la scheda di rete LAN Realtek collassava costringendo ad un reboot manuale della Zotac. Al che ho capito cosa intendono quando consigliano molto caldamente schede di rete Intel!
Ero quasi deciso a comprare dell'hardware nuovo quando dopo innumerevoli smadonnamenti e ricerche su Google ho capito che impostando la scheda LAN A 100 Mbit/sec anziché al default 1000 Mbit/sec il problema sparisce e la connessione torna stabile anche scaricando abbestia. Tanto la mia fibra è 70/20, non la saturo con una 100 Mbit/sec! ;-)

Abbiamo rifatto un nuovo FW da zero e la situazione non cambia.

La cosa strana che abbiamo notato guardado con wireshark i pacchetti è che la macchina WIN che funziona ha nel protocollo TLSv1.2 mentre tutte le altre hanno nel protocollo SSL…

Io ho trovato un'ottima guida qui > https://www.riparailmiopc.com/migliore-router-eolo-1071.html

OK
ora prima di procedere devo eliminare tutti i VIP che avevo creato tenendo solo quello con la subnet.
Come devo gestire le regole di NAT?
Al momento andavo a richiamare il VIP sulle varie regole. Se inserisco SINGLE HOST e metto a mano il IP pfsense mi riporta con il VIP
Vedo che posso creare anche degli ALIAS
Stò cercando di assegnare i vari IP a vari LAN presenti sotto pfsense e mi sarebbe comodo richiamarli per ALIAS.
Come mi consigli di procedere?
Una volta sistemato il NAT elimino i VIP e vado avanti con la VPN.

Grazie 1000 per il supporto

P.S.
Per quanto riguarda la precedente domanda,
abbiamo un private cloud con vari server vmware. Devo gestire i backup su cloud per dei clienti e lo scambio dati lo faccio sotto VPN.
Anche noi abbiamo una VPN IPSec con il datacenter.
Vorrei differenziare le cose, ovvero far entrare noi su un IP (tra l'altro "dedicato" alla LAN1 mentre far entrare i clienti su un altro.

@reishiki:

Buonasera,
ho una Vodafone station e connessione vdsl.
C'è un modo per far arrivare tutto il traffico direttamente sul mio pfsense? Ho l'impressione che nonostante abbia messo una dmz per inoltrare tutto il traffico a pfsense, la Vodafone station continui a bloccarmi alcune porte.

Attualmente la mia configurazione è la seguente

(internet) –--ip pubblico (Vodafone station) -- 10.10.10.1 -> -- 10.10.10.2(pfsense) -- 192.168.1.0/24 (lan)

Inoltre è possibile configurare l'ip pubblico direttamente sull'interfaccia di pfsense?

Ti dovrebbe bloccare solo alcune porte, tipo la 443, 8081, 6699 e 8088. Se tu metti delle ulteriori regole ad hoc su quelle porte dovrebbe arrivare tutto a pfSense ;)

Cosa intendi per IP Pubblico da impostare?