Io "temo" per le configurazioni e quindi mi tengo la stabile 2.3.4 (magari anche dopo  :P )…

Grazie!!!

Ciao,
Qui trovi come fare
http://www.pfsenseitaly.com/2013/08/openvpn-per-accesso-remoto-piu-sedi.html?m=1
Ciao Fabio

@tonysud:

quello che non mi e' chiaro e' questo:
nel caso descritto da te, con il router telecom + router di proprieta', l'ip che fa da gateway all'interno della /29  su quale router e' attestato? sul router telecom o su quello di proprieta'?

nel mio caso e' attestato sul router telecom e non riesco a toglierlo in nessun modo, anche disattivando la connessione punto punto sul router telecom, pare che l'ip del gateway risponde ancora al ping

In quel contesto che ho descritto lindirizzo ip gateway della /29 è associato all'interfaccia (tipicamente la dmz) del router di proprietà che tutti i 5 host della /29 utilizzeranno, a sua volta il router di proprietà ha come ip gw wan l'indirizzo della punto-punto dell'interfaccia interna del router telecom verso il quale viene ruotato tutto il traffico.
Quindi tipicamente il router cliente dovrà avere 3 interfacce:
WAN: su cui è condigurata la connessione punto-punto verso il router telecom e su cui è configurata una /30 o /31 assegnata da telecom
DMZ: su cui è configurata la /29 a cui fanno capo gli host direttamente esposti su internet su cui sono configurati i 5 ip pubblici utilizzabili.
LAN: dietro nat

Riguardo la configurazione del router telecom occorre coninvolgere l'assistenza telecom specificando che appunto si intende assegnare la /29 ad un proprio apparato, per realizzare ciò sarà necessario che venga assegnata una ulteriore subnet per la punto-punto tra il router telecom e quello cliente.

Confido che, tra tutti gli utenti del forum, ci possa essere chi ha in casa una configurazione simile e possa fornire ulteriori dettagli anche procedurali/formali da seguire con telecom.

Ciao a tutti,
l'implementazione attuale dell'ipv6 per le utenze consumer TIM (sperimentale da tempo immemorabile…. non ci stanno investendo molto sull'ipv6 che in Italia è fermo al palo da anni e anni...) è quella illustrata qui:
https://assistenzatecnica.tim.it/at/portals/assistenzatecnica.portal?_nfpb=true&_pageLabel=InternetBook&radice=consumer_root&nodeId=/AT_REPOSITORY/876181
In pratica l'indirizzo (/64) viene assegnato utilizzando le credenziali di accesso (uguali per tutti gli utenti): user: adsl@alice6.it / password: adsl@alice6.it  (nota: viene assegnato anche un ulteriore ipv4 pubblico dinamico, è dual stack ipv4+ipv6)
In pfsense (presupponendo che abbiate il modem configurato in bridge) occorre creare una nuova connessione PPPoE (o modificare quella attuale), si tratta di accedere in PPPoE appunto con le credenziali suddette e avere quindi accesso al pop in dual stack ipv4+ipv6 con indirizzo ipv6 assegnato via SLAAC (non 6in4 o 6to4 o 6rd).

Ma, il mio consiglio è LASCIATE PERDERE… per farla breve però sono più i contro che i pro:

CONTRO:

Indirizzo ipv6 DINAMICO con tutto ciò che ne consegue…. in primis ovvi problemi ogni volta che cade la connessione o si riavvia il modem, alle macchine nella lan verranno assegnati indirizzi diversi...

Latenza decisamente più alta (sia ipv4 che ipv6) rispetto a quanto riscontrato con l'accesso pppoe ipv4

MTU limitata: vengono "mangiati" qualche decina di byte rispetto al 1492 tipici del pppoe, il che fa dedurre, insieme alla latenza più alta, che l'accesso è gestito dal pop tramite un ulteriore tunnel verso altro nodo remoto dedicato alla "sperimentazione" ipv6.

PRO: non ne vedo, al di là di togliersi la curiosità di fare qualche prova, in pratica è inusabile in ambito lan (è pensato giusto per chi vuol accedere dal proprio pc in pppoe dal pc a modem tim), molto ma molto meglio, per chi ha tim attualmente, appoggiarsi su un tunnel broker come Hurricane Electric ad esempio (che assegna /48 statica anche accedendo con ipv4 dinamico, tramite autenticazione e ddns, perfettamente implementato in pfsense, con tanto di servizio dns e reverse dns gratuito)

Di questo passo l'ipv6, lato TIM, in Italia lo vedremo il secolo prossimo….  ;D a meno di pressioni da parte del legislatore nazionale o europeo, unica eccezione tra i big è Fastweb (/64 statica, 6rd).

Cosa intendi per regola globale ?
Se hai il pureftpd in un server posto in DMZ, su pfsense non devi fare altro che porre una regola NAT che mette le porte 21 + quelle riservate al pasv mode, frà la wan e l'ip del server ftp posto in dmz.
In pureftpd devi poi mettere in configurazione (credo /etc/pure-ftpd/conf/)
ForcePassiveIP  [il tuo ip pubblico]
PassivePortRange  [porta iniziale] [porta finale]

RISOLTO!

imposto come gateway della scheda di rete della mia macchina Windows 192.168.1.11, modifico le rule di outbound del firewall e tutto funziona.

Surfbouncer VPN ha trabajado durante más de un año sin problemas.

Le regole sono state create come per le altre LAN. Non riesco a capire perche LAN e OPT1 funzionano mentre OPT2 no.
Allego screen regola e estratto del log.

regole.PNG
regole.PNG_thumb
log.PNG
log.PNG_thumb

Da menu Firewall -> Rules, clickki sul tab che rappresente la scheda della tua Wifi, e fai add rules
A quel punto da source selezioni wifi network, come destinazione ci metti l'ip del tuo nas ed è fatta.

FTP_Client_proxy, è solo per facilitare i client dietro lan ad accedere ai server ftp esterni.
Il problema del protocollo FTP, è che ha bisogno di 2 porte per funzionare.
La 21 che è la command port, dove appunto dai i comandi al server, e poi una data port che è negoziata frà client e server.
La modlità si dice attiva, quando è il client che comunica al server quale porta usare per il data port, e passiva quando è il contrario, ossia il server dice al client quale porta è disponibile.
Va da se che un server ftp, non potrà funzionare bene in modalità attiva se lo poni dietro ad un firewall (pfsense), perchè il firewall, in linea di massima blocca tutte le porte in ingresso.
Ecco perchè si preferisce la modalità passiva.
Se intendi configurare un tuo server ftp in modalità passiva, che andrai a porre in dmz, dovrai configurare il server in modo tale da settare un certo numero di porte per il data port.
Diciamo, da 60000 a 60500
Poi, in pfsense, farai una regola per fare il forwarding oltre alla porta 21, anche le porte da 60000 a 60500 (suggerisco di usare i port alias).
A questo punto dal tuo client remoto, potrai collegarti in modalità passiva
Quì alcune delucidazioni sull' ftp:
http://www.consulentiit.it/protocollo-ftp-attivo-ftp-passivo-differenze/
Per la configurazione del vsftpd, se non ricordo male, basta porre in /etc/vsftpd.conf
pasv_enable=Yes
pasv_min_port=60000
pasv_max_port=60500

Mha… io francamente non ci ho mai provato, preferendo openvpn.
L'unica cosa che sono riuscito a far funzionare in l2tp sono i roadwarrior con ios e android, seguendo la guida di pfsense:
https://doc.pfsense.org/index.php/L2TP/IPsec#Setup_IPsec

per quanto riguarda l2tp verso windows, forse ti conviene dare un occhio, o chiedere nel forum internazionale... in quello italiano credo trovi ben poco.
https://forum.pfsense.org/index.php?topic=120540.0

Un pò difficile rispondere senza avere un pò di dettagli.
Bisognerebbe capire se hai un pbx (un centralino tipo asterisk), oppure se usi un pbx virtuale di un tuo fornitore voip, e se hai a disposizione o meno uno switch layer 2 a cui collegare tutti gli apparati voip.

@fabio.vigano:

la cosa miglore da fare è usare un adsl dedicata al voip…
Il QoS o traffic shaper sulla wan non funziona poichè tu dai priorità a pacchetti che poi gestirà un altro. Va ricordato che il QoS in pfSense funziona in uscita da un interfaccia.

Bondì,
Grazie della risposta.
Nel mio caso il Traffic shaping si è rivelato funzionale.
Il fornitore voip è lo stesso che mi fornisce connettività, per cui, se in linea generale potrebbe essere vero che il qos, viene preso in carico da altri, nel mio caso essendo lo stesso fornitore, è evidente che anche loro hanno un qos verso i gateway voip
Dal giorno del primo post ho attivato il traffic shaping, facendo alcune prove frà PRIQ e HFSC.
Entrambi si comportano bene, e dal mio punto di vista, non noto alcuna differenza in termini di qualità finale della conversazione.
Alla fine ho optato per l'HFSC, solamente perchè possibile riservare una banda minima al voip.
Il problema della priorità lato lan è facilmente risolvibile riservando una vlan specifica per il voip, a cui collegare tutti gli apparati (e quindi anche al pbx lato lan voip), e poi dalla configurazione dello switch, se almeno layer 2 ovviamente, garantire a tale vlan la massima priorità possibile.

ciao, a me capita con vecchi modelli che hanno attivata la modalita di utilizzo dati in caso il wireless non possa connettersi ad internet.
Disattivata tale funzione accedono al portale.

Dimenticavo: funziona con le tue informazioni

se i tuoi IP vanno da 106 a 114 il che 9 IP e mi sembra strano…ne dovresti avere 8 o multipli...non puoi usare il primo e l'ultimo del range. Di norma il penultimo IP è il router di riferimento che diventa GW per la tua scheda WAN e la subnet nel caso di 8 IP è di sicuro 255.255.255.248
Ciao

Salve a tutti,
sono nuovo del forum ed ero interessato alla questione del technicolor di Tiscali.
Io ho attivato una fibra 100/20 con il modem in comodato d' uso, ed utilizzo un fritzbox 7272 con un trunk voip clouditalia.
Da quello che vedo si comporta molto strano, a volte và e a volte no, ossia molto spesso cercando di ricevere telefonate in ingresso, ottengo il tono di occupato o di non registrato.
Spostando tutto su un ' ADSL tradizionale, e non cambiando nulla nella configurazione, funziona tutto.
Avete avuto esperienze in merito?
Grazie e buona serata