la vlan 1 entra le altre vlan NO!

Immagino tu stia parlando di squidguard Dipende da come hai configurato squid Di norma il protocollo https non può essere intercettato perchè sicuro e come tale stabilisce una connessione punto punto tra il pc ed il server che ospita il sito a cui si accede. Ciao

Si, ovviamente l'apparato della sede dove non c'è pfSense te lo devi configurare senza guida e deve supportare OpenVPN Ciao

purtroppo quella lista è per Skype for Business e non per Skype (la classica versione desktop); quindi avevo provato ma non sembra funzionare  :'(

Ciao, il problema potrebbe essere legato ad errori nello smistamento del traffico in uscita nel senso che il traffico in entrata viaggia correttamente ma i pacchetti di risposta escono dalla wan opposta a quella da cui sono entrati e quindi scartati dall'host che ha iniziato la comunicazione. Non so se sono riuscito a spiegarmi decentemente. esempio: un client in internet accede alla porta https di un server interno alla tua rete, in entrata passa dalla wan2, il server web riceve la richiesta e risponde ma il firewall forza il traffico ad uscire dalla wan1, ovvimente il client non riconosce più il traffico che riceve e lo scarta. Per fare un po'di troubleshooting puoi usare wireshark ed analizzare i pacchetti in transito. Ciao fabio

devi modificare la regola che permette a tutto il traffico in uscita dalla LAN. Rendila più specifica, aggiungendo per esempio la subnet in DMZ come negata. Aggiungi una regola che permetta l'accesso alle porte a agli ip in dmz che vuoi ottenere e mettila prima della regola precedente. usa alias di porte e alias di indirizzi per semplificare l'elenco di regole. devi comunque intervenire sulle regole LAN

Puoi provare a fare qualche cosa con snort. Non sarà una passeggiata. L'alternativa è far passare tutto il traffico web da proxy e chiudere le porte in uscita. Purtroppo gli utenti potrebbero sempre far passare il traffico p2p tramite una vpn (openvpn funziona anche tramite proxy). Finchè gli utenti avranno accesso amministrativo alle proprie workstation sarà difficile fare qualcosa di veramente efficace.

Ottima quida, io ho installato il client ACME  nella scuola dove lavoro e riesco ad autenticare l'utenza del captive portal in https. Grazie fabio.vigano ;)

allora il router lo fai sparire visto che ora il tuo router è pfsense. Al massimo lo usi come access point, quindi senza usare la sua porta wan.

Ciao Fabio, di seguito i log dei due PfSense: SIMMETRICA Mc Link: Mar 8 11:24:16 charon 13[NET] <76> sending packet: from 84.YY.YY.NN[4500] to 79.XX.XX.XX[4500] (92 bytes) Mar 8 11:24:16 charon 13[ENC] <76> generating INFORMATIONAL_V1 request 4271193197 [ HASH N(AUTH_FAILED) ] Mar 8 11:24:16 charon 13[IKE] <76> found 1 matching config, but none allows pre-shared key authentication using Main Mode Mar 8 11:24:16 charon 13[CFG] <76> looking for pre-shared key peer configs matching 84.YY.YY.NN…79.XX.XX.XX[172.16.1.10] Mar 8 11:24:16 charon 13[ENC] <76> parsed ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ] Mar 8 11:24:16 charon 13[NET] <76> received packet: from 79.XX.XX.XX[4500] to 84.YY.YY.NN[4500] (108 bytes) Mar 8 11:24:16 charon 13[NET] <76> sending packet: from 84.YY.YY.NN[500] to 79.XX.XX.XX[500] (244 bytes) Mar 8 11:24:16 charon 13[ENC] <76> generating ID_PROT response 0 [ KE No NAT-D NAT-D ] Mar 8 11:24:16 charon 13[IKE] <76> remote host is behind NAT Mar 8 11:24:16 charon 13[ENC] <76> parsed ID_PROT request 0 [ KE No NAT-D NAT-D ] Mar 8 11:24:16 charon 13[NET] <76> received packet: from 79.XX.XX.XX[500] to 84.YY.YY.NN[500] (244 bytes) Mar 8 11:24:16 charon 13[NET] <76> sending packet: from 84.YY.YY.NN[500] to 79.XX.XX.XX[500] (160 bytes) Mar 8 11:24:16 charon 13[ENC] <76> generating ID_PROT response 0 [ SA V V V V ] Mar 8 11:24:16 charon 13[IKE] <76> 79.XX.XX.XX is initiating a Main Mode IKE_SA Mar 8 11:24:16 charon 13[IKE] <76> received draft-ietf-ipsec-nat-t-ike-02\n vendor ID Mar 8 11:24:16 charon 13[IKE] <76> received NAT-T (RFC 3947) vendor ID Mar 8 11:24:16 charon 13[IKE] <76> received FRAGMENTATION vendor ID Mar 8 11:24:16 charon 13[IKE] <76> received DPD vendor ID Mar 8 11:24:16 charon 13[IKE] <76> received XAuth vendor ID Mar 8 11:24:16 charon 13[ENC] <76> parsed ID_PROT request 0 [ SA V V V V V ] Mar 8 11:24:16 charon 13[NET] <76> received packet: from 79.XX.XX.XX[500] to 84.YY.YY.NN[500] (180 bytes) FO Telecom: Mar 8 11:24:16 charon 05[IKE] <con1000|2>received AUTHENTICATION_FAILED error notify Mar 8 11:24:16 charon 05[ENC] <con1000|2>parsed INFORMATIONAL_V1 request 4271193197 [ HASH N(AUTH_FAILED) ] Mar 8 11:24:16 charon 05[NET] <con1000|2>received packet: from 84.YY.YY.NN[4500] to 172.16.1.10[4500] (92 bytes) Mar 8 11:24:16 charon 07[NET] <con1000|2>sending packet: from 172.16.1.10[4500] to 84.YY.YY.NN[4500] (108 bytes) Mar 8 11:24:16 charon 07[ENC] <con1000|2>generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ] Mar 8 11:24:16 charon 07[IKE] <con1000|2>local host is behind NAT, sending keep alives Mar 8 11:24:16 charon 07[ENC] <con1000|2>parsed ID_PROT response 0 [ KE No NAT-D NAT-D ] Mar 8 11:24:16 charon 07[NET] <con1000|2>received packet: from 84.YY.YY.NN[500] to 172.16.1.10[500] (244 bytes) Mar 8 11:24:16 charon 07[NET] <con1000|2>sending packet: from 172.16.1.10[500] to 84.YY.YY.NN[500] (244 bytes) Mar 8 11:24:16 charon 07[ENC] <con1000|2>generating ID_PROT request 0 [ KE No NAT-D NAT-D ] Mar 8 11:24:16 charon 07[IKE] <con1000|2>received NAT-T (RFC 3947) vendor ID Mar 8 11:24:16 charon 07[IKE] <con1000|2>received FRAGMENTATION vendor ID Mar 8 11:24:16 charon 07[IKE] <con1000|2>received DPD vendor ID Mar 8 11:24:16 charon 07[IKE] <con1000|2>received XAuth vendor ID Mar 8 11:24:16 charon 07[ENC] <con1000|2>parsed ID_PROT response 0 [ SA V V V V ] Mar 8 11:24:16 charon 07[NET] <con1000|2>received packet: from 84.YY.YY.NN[500] to 172.16.1.10[500] (160 bytes) Mar 8 11:24:16 charon 07[NET] <con1000|2>sending packet: from 172.16.1.10[500] to 84.YY.YY.NN[500] (180 bytes) Mar 8 11:24:16 charon 07[ENC] <con1000|2>generating ID_PROT request 0 [ SA V V V V V ] Mar 8 11:24:16 charon 07[IKE] <con1000|2>initiating Main Mode IKE_SA con1000[2] to 84.YY.YY.NN</con1000|2></con1000|2></con1000|2></con1000|2></con1000|2></con1000|2></con1000|2></con1000|2></con1000|2></con1000|2></con1000|2></con1000|2></con1000|2></con1000|2></con1000|2></con1000|2></con1000|2></con1000|2></con1000|2> Grazie per il prezioso supporto.

Dai tuoi screenshot sembrerebbe tutto ok Hai provato a rifare nat e rule? Fabio

Ciao, verifica che lo switch che stai utilizzando supporti i multicast Fabio

Ottimo! Ciao Fabio

Ciao, Devi creare dei gatway group. Direi almeno 2: il primo avrà wan1 come tier1 e wan2 come tier2. Wan1 farà failover su wan2 il secondo avrà wan2 come tier1 e wan1 co.e tier2. Wan2 farà failover su wan1 Questi gruppi li assegnerai come gateway alle rules di gestine del traffico della lan Prova a leggere questo http://www.pfsenseitaly.com/2012/10/multi-wan-con-pfsense-parte-2.html?m=1 Ciao Fabio

Consiglio un buon AP da collegare a pfSense. Ubiquiti è un buon compromesso. Oppure un router wifi consumer da usare solo in modalità AP come faccio io col Netgear R7000. Comunque è meglio se ci dai più info.

@gdemartinez: Ciao a tutti, ho da tempo installato un pfsense con un collegamento Fibra Fttc con ruoter di Telecom e ip pubblici aggiuntivi. Ho impostato una regola di Nat che mi permette di raggiungere un webserver da remoto, e associato l'ip pubblico ad un dominio di terzo livello. Ho la necessità di raggiungere il server dall'interno della lan digitando il nome di dominio piuttosto  che l'ip interno. Ho letto che è possibile farlo configurando il dns forwarder ma non riesco a farlo funzionare. quando digito il nome di dominio viene visualizzata la pagina di login di pfsense. Qualcuno ha dei suggerimenti? Grazie se usi  l'host override facendogli risolvere il nome associato all'ip interno: [image: chrome_2017-02-23_16-47-48.png] [image: chrome_2017-02-23_16-47-48.png_thumb]

@Oiligriv: Ciao! Stavo studiando il reverse proxy di squid su PfSense versione 2.3.3 il mio obiettivo è quello di poter chiamare dall'esterno due web server interni es:         https://pippo.miodominio.it  –-> andrà su 192.168.1.2         https://pluto.miodominio.it  ---> andrà su 192.168.1.3 ho trovato svariate guide online, ma con scarso risultato, se rimango in http e con un solo host di backend tutto funziona, appena aumento gli host ogni volta le chiamate non funzionano più correttamente La mia configurazione attuale è (ovviamente è solo un ambiente di studio) Connessione Fibra Tim con indirizzo ip dinamico PfSense: esegue un PPPoE per la connessione e allo stesso tempo ha un Dynamic DNS aggangiato un provider per il dominio pubblico con i dns configurati con record CNAME che puntano tutti al dns dinamico. avete delle idee? usa l'haproxy.

Grazie mille per la rispsota farò delle prove e posterò i risutati