Ciao,
il problema potrebbe essere legato ad errori nello smistamento del traffico in uscita nel senso che il traffico in entrata viaggia correttamente ma i pacchetti di risposta escono dalla wan opposta a quella da cui sono entrati e quindi scartati dall'host che ha iniziato la comunicazione.
Non so se sono riuscito a spiegarmi decentemente.
esempio: un client in internet accede alla porta https di un server interno alla tua rete, in entrata passa dalla wan2, il server web riceve la richiesta e risponde ma il firewall forza il traffico ad uscire dalla wan1, ovvimente il client non riconosce più il traffico che riceve e lo scarta.
Per fare un po'di troubleshooting puoi usare wireshark ed analizzare i pacchetti in transito.
Ciao fabio
devi modificare la regola che permette a tutto il traffico in uscita dalla LAN.
Rendila più specifica, aggiungendo per esempio la subnet in DMZ come negata.
Aggiungi una regola che permetta l'accesso alle porte a agli ip in dmz che vuoi ottenere e mettila prima della regola precedente.
usa alias di porte e alias di indirizzi per semplificare l'elenco di regole.
Puoi provare a fare qualche cosa con snort. Non sarà una passeggiata.
L'alternativa è far passare tutto il traffico web da proxy e chiudere le porte in uscita.
Purtroppo gli utenti potrebbero sempre far passare il traffico p2p tramite una vpn (openvpn funziona anche tramite proxy).
Finchè gli utenti avranno accesso amministrativo alle proprie workstation sarà difficile fare qualcosa di veramente efficace.
Ottima quida, io ho installato il client ACME nella scuola dove lavoro e riesco ad autenticare l'utenza del captive portal in https.
Grazie fabio.vigano ;)
Mar 8 11:24:16 charon 13[NET] <76> sending packet: from 84.YY.YY.NN[4500] to 79.XX.XX.XX[4500] (92 bytes)
Mar 8 11:24:16 charon 13[ENC] <76> generating INFORMATIONAL_V1 request 4271193197 [ HASH N(AUTH_FAILED) ]
Mar 8 11:24:16 charon 13[IKE] <76> found 1 matching config, but none allows pre-shared key authentication using Main Mode
Mar 8 11:24:16 charon 13[CFG] <76> looking for pre-shared key peer configs matching 84.YY.YY.NN…79.XX.XX.XX[172.16.1.10]
Mar 8 11:24:16 charon 13[ENC] <76> parsed ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
Mar 8 11:24:16 charon 13[NET] <76> received packet: from 79.XX.XX.XX[4500] to 84.YY.YY.NN[4500] (108 bytes)
Mar 8 11:24:16 charon 13[NET] <76> sending packet: from 84.YY.YY.NN[500] to 79.XX.XX.XX[500] (244 bytes)
Mar 8 11:24:16 charon 13[ENC] <76> generating ID_PROT response 0 [ KE No NAT-D NAT-D ]
Mar 8 11:24:16 charon 13[IKE] <76> remote host is behind NAT
Mar 8 11:24:16 charon 13[ENC] <76> parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]
Mar 8 11:24:16 charon 13[NET] <76> received packet: from 79.XX.XX.XX[500] to 84.YY.YY.NN[500] (244 bytes)
Mar 8 11:24:16 charon 13[NET] <76> sending packet: from 84.YY.YY.NN[500] to 79.XX.XX.XX[500] (160 bytes)
Mar 8 11:24:16 charon 13[ENC] <76> generating ID_PROT response 0 [ SA V V V V ]
Mar 8 11:24:16 charon 13[IKE] <76> 79.XX.XX.XX is initiating a Main Mode IKE_SA
Mar 8 11:24:16 charon 13[IKE] <76> received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Mar 8 11:24:16 charon 13[IKE] <76> received NAT-T (RFC 3947) vendor ID
Mar 8 11:24:16 charon 13[IKE] <76> received FRAGMENTATION vendor ID
Mar 8 11:24:16 charon 13[IKE] <76> received DPD vendor ID
Mar 8 11:24:16 charon 13[IKE] <76> received XAuth vendor ID
Mar 8 11:24:16 charon 13[ENC] <76> parsed ID_PROT request 0 [ SA V V V V V ]
Mar 8 11:24:16 charon 13[NET] <76> received packet: from 79.XX.XX.XX[500] to 84.YY.YY.NN[500] (180 bytes)
FO Telecom:
Mar 8 11:24:16 charon 05[IKE] <con1000|2>received AUTHENTICATION_FAILED error notify
Mar 8 11:24:16 charon 05[ENC] <con1000|2>parsed INFORMATIONAL_V1 request 4271193197 [ HASH N(AUTH_FAILED) ]
Mar 8 11:24:16 charon 05[NET] <con1000|2>received packet: from 84.YY.YY.NN[4500] to 172.16.1.10[4500] (92 bytes)
Mar 8 11:24:16 charon 07[NET] <con1000|2>sending packet: from 172.16.1.10[4500] to 84.YY.YY.NN[4500] (108 bytes)
Mar 8 11:24:16 charon 07[ENC] <con1000|2>generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
Mar 8 11:24:16 charon 07[IKE] <con1000|2>local host is behind NAT, sending keep alives
Mar 8 11:24:16 charon 07[ENC] <con1000|2>parsed ID_PROT response 0 [ KE No NAT-D NAT-D ]
Mar 8 11:24:16 charon 07[NET] <con1000|2>received packet: from 84.YY.YY.NN[500] to 172.16.1.10[500] (244 bytes)
Mar 8 11:24:16 charon 07[NET] <con1000|2>sending packet: from 172.16.1.10[500] to 84.YY.YY.NN[500] (244 bytes)
Mar 8 11:24:16 charon 07[ENC] <con1000|2>generating ID_PROT request 0 [ KE No NAT-D NAT-D ]
Mar 8 11:24:16 charon 07[IKE] <con1000|2>received NAT-T (RFC 3947) vendor ID
Mar 8 11:24:16 charon 07[IKE] <con1000|2>received FRAGMENTATION vendor ID
Mar 8 11:24:16 charon 07[IKE] <con1000|2>received DPD vendor ID
Mar 8 11:24:16 charon 07[IKE] <con1000|2>received XAuth vendor ID
Mar 8 11:24:16 charon 07[ENC] <con1000|2>parsed ID_PROT response 0 [ SA V V V V ]
Mar 8 11:24:16 charon 07[NET] <con1000|2>received packet: from 84.YY.YY.NN[500] to 172.16.1.10[500] (160 bytes)
Mar 8 11:24:16 charon 07[NET] <con1000|2>sending packet: from 172.16.1.10[500] to 84.YY.YY.NN[500] (180 bytes)
Mar 8 11:24:16 charon 07[ENC] <con1000|2>generating ID_PROT request 0 [ SA V V V V V ]
Mar 8 11:24:16 charon 07[IKE] <con1000|2>initiating Main Mode IKE_SA con1000[2] to 84.YY.YY.NN</con1000|2></con1000|2></con1000|2></con1000|2></con1000|2></con1000|2></con1000|2></con1000|2></con1000|2></con1000|2></con1000|2></con1000|2></con1000|2></con1000|2></con1000|2></con1000|2></con1000|2></con1000|2></con1000|2>
Ciao,
Devi creare dei gatway group. Direi almeno 2:
il primo avrà wan1 come tier1 e wan2 come tier2. Wan1 farà failover su wan2
il secondo avrà wan2 come tier1 e wan1 co.e tier2. Wan2 farà failover su wan1
Questi gruppi li assegnerai come gateway alle rules di gestine del traffico della lan
Prova a leggere questo
http://www.pfsenseitaly.com/2012/10/multi-wan-con-pfsense-parte-2.html?m=1
Consiglio un buon AP da collegare a pfSense. Ubiquiti è un buon compromesso. Oppure un router wifi consumer da usare solo in modalità AP come faccio io col Netgear R7000. Comunque è meglio se ci dai più info.
Ciao a tutti,
ho da tempo installato un pfsense con un collegamento Fibra Fttc con ruoter di Telecom e ip pubblici aggiuntivi. Ho impostato una regola di Nat che mi permette di raggiungere un webserver da remoto, e associato l'ip pubblico ad un dominio di terzo livello. Ho la necessità di raggiungere il server dall'interno della lan digitando il nome di dominio piuttosto che l'ip interno. Ho letto che è possibile farlo configurando il dns forwarder ma non riesco a farlo funzionare. quando digito il nome di dominio viene visualizzata la pagina di login di pfsense.
Qualcuno ha dei suggerimenti?
Grazie
se usi l'host override facendogli risolvere il nome associato all'ip interno:
Stavo studiando il reverse proxy di squid su PfSense versione 2.3.3
il mio obiettivo è quello di poter chiamare dall'esterno due web server interni
es:
https://pippo.miodominio.it –-> andrà su 192.168.1.2
https://pluto.miodominio.it ---> andrà su 192.168.1.3
ho trovato svariate guide online, ma con scarso risultato, se rimango in http e con un solo host di backend tutto funziona, appena aumento gli host ogni volta le chiamate non funzionano più correttamente
La mia configurazione attuale è (ovviamente è solo un ambiente di studio)
Connessione Fibra Tim con indirizzo ip dinamico
PfSense: esegue un PPPoE per la connessione e allo stesso tempo ha un Dynamic DNS aggangiato
un provider per il dominio pubblico con i dns configurati con record CNAME che puntano tutti al dns dinamico.
