Io ho trovato un'ottima guida qui > https://www.riparailmiopc.com/migliore-router-eolo-1071.html

OK ora prima di procedere devo eliminare tutti i VIP che avevo creato tenendo solo quello con la subnet. Come devo gestire le regole di NAT? Al momento andavo a richiamare il VIP sulle varie regole. Se inserisco SINGLE HOST e metto a mano il IP pfsense mi riporta con il VIP Vedo che posso creare anche degli ALIAS Stò cercando di assegnare i vari IP a vari LAN presenti sotto pfsense e mi sarebbe comodo richiamarli per ALIAS. Come mi consigli di procedere? Una volta sistemato il NAT elimino i VIP e vado avanti con la VPN. Grazie 1000 per il supporto P.S. Per quanto riguarda la precedente domanda, abbiamo un private cloud con vari server vmware. Devo gestire i backup su cloud per dei clienti e lo scambio dati lo faccio sotto VPN. Anche noi abbiamo una VPN IPSec con il datacenter. Vorrei differenziare le cose, ovvero far entrare noi su un IP (tra l'altro "dedicato" alla LAN1 mentre far entrare i clienti su un altro.

@reishiki: Buonasera, ho una Vodafone station e connessione vdsl. C'è un modo per far arrivare tutto il traffico direttamente sul mio pfsense? Ho l'impressione che nonostante abbia messo una dmz per inoltrare tutto il traffico a pfsense, la Vodafone station continui a bloccarmi alcune porte. Attualmente la mia configurazione è la seguente (internet) –--ip pubblico (Vodafone station) -- 10.10.10.1 -> -- 10.10.10.2(pfsense) -- 192.168.1.0/24 (lan) Inoltre è possibile configurare l'ip pubblico direttamente sull'interfaccia di pfsense? Ti dovrebbe bloccare solo alcune porte, tipo la 443, 8081, 6699 e 8088. Se tu metti delle ulteriori regole ad hoc su quelle porte dovrebbe arrivare tutto a pfSense ;) Cosa intendi per IP Pubblico da impostare?

Io "temo" per le configurazioni e quindi mi tengo la stabile 2.3.4 (magari anche dopo  :P )… Grazie!!!

Ciao, Qui trovi come fare http://www.pfsenseitaly.com/2013/08/openvpn-per-accesso-remoto-piu-sedi.html?m=1 Ciao Fabio

@tonysud: quello che non mi e' chiaro e' questo: nel caso descritto da te, con il router telecom + router di proprieta', l'ip che fa da gateway all'interno della /29  su quale router e' attestato? sul router telecom o su quello di proprieta'? nel mio caso e' attestato sul router telecom e non riesco a toglierlo in nessun modo, anche disattivando la connessione punto punto sul router telecom, pare che l'ip del gateway risponde ancora al ping In quel contesto che ho descritto lindirizzo ip gateway della /29 è associato all'interfaccia (tipicamente la dmz) del router di proprietà che tutti i 5 host della /29 utilizzeranno, a sua volta il router di proprietà ha come ip gw wan l'indirizzo della punto-punto dell'interfaccia interna del router telecom verso il quale viene ruotato tutto il traffico. Quindi tipicamente il router cliente dovrà avere 3 interfacce: WAN: su cui è condigurata la connessione punto-punto verso il router telecom e su cui è configurata una /30 o /31 assegnata da telecom DMZ: su cui è configurata la /29 a cui fanno capo gli host direttamente esposti su internet su cui sono configurati i 5 ip pubblici utilizzabili. LAN: dietro nat Riguardo la configurazione del router telecom occorre coninvolgere l'assistenza telecom specificando che appunto si intende assegnare la /29 ad un proprio apparato, per realizzare ciò sarà necessario che venga assegnata una ulteriore subnet per la punto-punto tra il router telecom e quello cliente. Confido che, tra tutti gli utenti del forum, ci possa essere chi ha in casa una configurazione simile e possa fornire ulteriori dettagli anche procedurali/formali da seguire con telecom.

Ciao a tutti, l'implementazione attuale dell'ipv6 per le utenze consumer TIM (sperimentale da tempo immemorabile…. non ci stanno investendo molto sull'ipv6 che in Italia è fermo al palo da anni e anni...) è quella illustrata qui: https://assistenzatecnica.tim.it/at/portals/assistenzatecnica.portal?_nfpb=true&_pageLabel=InternetBook&radice=consumer_root&nodeId=/AT_REPOSITORY/876181 In pratica l'indirizzo (/64) viene assegnato utilizzando le credenziali di accesso (uguali per tutti gli utenti): user: adsl@alice6.it / password: adsl@alice6.it  (nota: viene assegnato anche un ulteriore ipv4 pubblico dinamico, è dual stack ipv4+ipv6) In pfsense (presupponendo che abbiate il modem configurato in bridge) occorre creare una nuova connessione PPPoE (o modificare quella attuale), si tratta di accedere in PPPoE appunto con le credenziali suddette e avere quindi accesso al pop in dual stack ipv4+ipv6 con indirizzo ipv6 assegnato via SLAAC (non 6in4 o 6to4 o 6rd). Ma, il mio consiglio è LASCIATE PERDERE… per farla breve però sono più i contro che i pro: CONTRO: Indirizzo ipv6 DINAMICO con tutto ciò che ne consegue…. in primis ovvi problemi ogni volta che cade la connessione o si riavvia il modem, alle macchine nella lan verranno assegnati indirizzi diversi... Latenza decisamente più alta (sia ipv4 che ipv6) rispetto a quanto riscontrato con l'accesso pppoe ipv4 MTU limitata: vengono "mangiati" qualche decina di byte rispetto al 1492 tipici del pppoe, il che fa dedurre, insieme alla latenza più alta, che l'accesso è gestito dal pop tramite un ulteriore tunnel verso altro nodo remoto dedicato alla "sperimentazione" ipv6. PRO: non ne vedo, al di là di togliersi la curiosità di fare qualche prova, in pratica è inusabile in ambito lan (è pensato giusto per chi vuol accedere dal proprio pc in pppoe dal pc a modem tim), molto ma molto meglio, per chi ha tim attualmente, appoggiarsi su un tunnel broker come Hurricane Electric ad esempio (che assegna /48 statica anche accedendo con ipv4 dinamico, tramite autenticazione e ddns, perfettamente implementato in pfsense, con tanto di servizio dns e reverse dns gratuito) Di questo passo l'ipv6, lato TIM, in Italia lo vedremo il secolo prossimo….  ;D a meno di pressioni da parte del legislatore nazionale o europeo, unica eccezione tra i big è Fastweb (/64 statica, 6rd).

Cosa intendi per regola globale ? Se hai il pureftpd in un server posto in DMZ, su pfsense non devi fare altro che porre una regola NAT che mette le porte 21 + quelle riservate al pasv mode, frà la wan e l'ip del server ftp posto in dmz. In pureftpd devi poi mettere in configurazione (credo /etc/pure-ftpd/conf/) ForcePassiveIP  [il tuo ip pubblico] PassivePortRange  [porta iniziale] [porta finale]

RISOLTO! imposto come gateway della scheda di rete della mia macchina Windows 192.168.1.11, modifico le rule di outbound del firewall e tutto funziona.

Surfbouncer VPN ha trabajado durante más de un año sin problemas.

Le regole sono state create come per le altre LAN. Non riesco a capire perche LAN e OPT1 funzionano mentre OPT2 no. Allego screen regola e estratto del log. [image: regole.PNG] [image: regole.PNG_thumb] [image: log.PNG] [image: log.PNG_thumb]

Da menu Firewall -> Rules, clickki sul tab che rappresente la scheda della tua Wifi, e fai add rules A quel punto da source selezioni wifi network, come destinazione ci metti l'ip del tuo nas ed è fatta.

FTP_Client_proxy, è solo per facilitare i client dietro lan ad accedere ai server ftp esterni. Il problema del protocollo FTP, è che ha bisogno di 2 porte per funzionare. La 21 che è la command port, dove appunto dai i comandi al server, e poi una data port che è negoziata frà client e server. La modlità si dice attiva, quando è il client che comunica al server quale porta usare per il data port, e passiva quando è il contrario, ossia il server dice al client quale porta è disponibile. Va da se che un server ftp, non potrà funzionare bene in modalità attiva se lo poni dietro ad un firewall (pfsense), perchè il firewall, in linea di massima blocca tutte le porte in ingresso. Ecco perchè si preferisce la modalità passiva. Se intendi configurare un tuo server ftp in modalità passiva, che andrai a porre in dmz, dovrai configurare il server in modo tale da settare un certo numero di porte per il data port. Diciamo, da 60000 a 60500 Poi, in pfsense, farai una regola per fare il forwarding oltre alla porta 21, anche le porte da 60000 a 60500 (suggerisco di usare i port alias). A questo punto dal tuo client remoto, potrai collegarti in modalità passiva Quì alcune delucidazioni sull' ftp: http://www.consulentiit.it/protocollo-ftp-attivo-ftp-passivo-differenze/ Per la configurazione del vsftpd, se non ricordo male, basta porre in /etc/vsftpd.conf pasv_enable=Yes pasv_min_port=60000 pasv_max_port=60500

openvpn sicurezza maggiore rispetto alla sola accoppiata user/pw.

Mha… io francamente non ci ho mai provato, preferendo openvpn. L'unica cosa che sono riuscito a far funzionare in l2tp sono i roadwarrior con ios e android, seguendo la guida di pfsense: https://doc.pfsense.org/index.php/L2TP/IPsec#Setup_IPsec per quanto riguarda l2tp verso windows, forse ti conviene dare un occhio, o chiedere nel forum internazionale... in quello italiano credo trovi ben poco. https://forum.pfsense.org/index.php?topic=120540.0

Un pò difficile rispondere senza avere un pò di dettagli. Bisognerebbe capire se hai un pbx (un centralino tipo asterisk), oppure se usi un pbx virtuale di un tuo fornitore voip, e se hai a disposizione o meno uno switch layer 2 a cui collegare tutti gli apparati voip.

@fabio.vigano: la cosa miglore da fare è usare un adsl dedicata al voip… Il QoS o traffic shaper sulla wan non funziona poichè tu dai priorità a pacchetti che poi gestirà un altro. Va ricordato che il QoS in pfSense funziona in uscita da un interfaccia. Bondì, Grazie della risposta. Nel mio caso il Traffic shaping si è rivelato funzionale. Il fornitore voip è lo stesso che mi fornisce connettività, per cui, se in linea generale potrebbe essere vero che il qos, viene preso in carico da altri, nel mio caso essendo lo stesso fornitore, è evidente che anche loro hanno un qos verso i gateway voip Dal giorno del primo post ho attivato il traffic shaping, facendo alcune prove frà PRIQ e HFSC. Entrambi si comportano bene, e dal mio punto di vista, non noto alcuna differenza in termini di qualità finale della conversazione. Alla fine ho optato per l'HFSC, solamente perchè possibile riservare una banda minima al voip. Il problema della priorità lato lan è facilmente risolvibile riservando una vlan specifica per il voip, a cui collegare tutti gli apparati (e quindi anche al pbx lato lan voip), e poi dalla configurazione dello switch, se almeno layer 2 ovviamente, garantire a tale vlan la massima priorità possibile.

ciao, a me capita con vecchi modelli che hanno attivata la modalita di utilizzo dati in caso il wireless non possa connettersi ad internet. Disattivata tale funzione accedono al portale.

Dimenticavo: funziona con le tue informazioni