Infatti ;-)

@delfi5:

da un dispositivo a valle di pf non riesci ad accedere alla pagina di config del modem?

No perchè la lan è su rete 10 e il modem sulla 192

io uso squid in trasparent mode, voi cosa consigliate come male minore

Il modem ha il modulo adsl installato per la connessione al pfsense uso la porta gigabit con ip fisso ho seguito le indicazioni di base delle policy per altro fatemi sapere

@blackpeer:

Giusto un rapido aggiornamento dopo una quarantina di giorni: il problema NON e' risolto… e' molto attenuato.

Le schede tengono per 15-20 giorni, rispetto ai 3-4 della configurazione gigabit, noto che dipende dall'effettivo carico di rete.

In questo periodo e' caduto 2 volte, sempre risolto con reboot del solo pfSense, mentre il modem NON e' stato mai riavviato.

Per ora lo tengo cosi', sperando in un futuro update dei drivers Realtek.

Franco.

Ottimo comunque. Torno a suggerirti il riavvio schedulato di pf ogni N giorni. E' vero non è il massimo, però funziona e non devi sostituire l'hardware.

Daniele

Tutto giusto quanto detto sopra. Attenzione a non fare confusione:

@tex83rb:

mi hanno consigliato pfsense per unire le 2 adsl

ma non intendo load balancing, intendo fare bonding, in maniera che se non ottengo 750 kb/s in download … almeno ottengo un 600 kb/s o giù di lì.. diciamo un po’ meno della somma delle 2 connessioni (leggo che di solito si può ottenere un 90 % della somma reale )

Solo in determinate condizioni si può verificare ciò che scrivi, come ti hanno ampiamente scritto sopra.

Le vedo molto dura…

ecco… mi era appena arrivata l'appliance...
Vabbè la terrò di scorta, avevo già intenzioni di prenderne un'altra prima di andare in produzione, per tenerla di scorta.

Mi butto su un intel i3,

questo per intenderci: https://www.miniserver.it/firewall/power-utm/firewall-appliance-power-utm-aluminum.html

grazie mille!

Finalmente ho risolto il problema: ho disabilitato "Do not allow IP-Addresses in URL" su Proxy SquidGuard. Adesso tutte le pagine vengono caricate e i server non hanno problemi con gli aggiornamenti.
Ringrazio bbassotti per l'aiuto che mi ha dato.  ;)

@Wolf666:

Io accederei via VPN. Crerei un server VPN su pfSense cui accedere poi tramite clients (configurazione road warriors). Protocollo IPSec o OpenVpn.

era esattemente quello che volevo suggerire

Alla fine ci sono riuscito….il problema era che testavo su una WAN in cui non ci stavano dispositivi in ascolto su quella porta...poi ho fatto le stesse procedure sulla WAN interessata e i test danno porta aperta. Altro piccolo problema era nel bilanciamento in quanto ci sono 3 WAN bilanciate....fissata la regola su una WAN il tutto funziona.
Grazie per la pazienza Wolf....alla prossima

@fabio.vigano:

Ciao,
confermo che con pfSense non è possibile limitare l'accesso per mac address. Potresti provare con lo switch, di solito quelli un po'più evoluti hanno questa funzionalità.

Attenzione al captive portal, l'errore più comune è credere che un dispositivo non si colleghi veramente fino a quando non fa login sul CP. Questo è falso, alla rete i dispositivi si connettono comunque, quello che viene inibito è il traffico verso internet. Quindi se nella rete del CP sono esposte macchine e servizi, queste sono accessibili da chiunque si colleghi alla rete anche senza fare login sul CP.

Ciao Fabio

Se si vuole procedere a limitare l'accesso per MAC io preferisco la soluzione Managed Switch, assegnando VLAN per MAC e segmentando il traffico WiFi tra Guest e Trusted. A questo punto uso poi pfSense per assegnare le regole firewall.
Credo, non ho provato, che una volta incanalato il traffico sulla VLAN, che sta su una sua subnet, si possa usare il Captive portal su questa subnet ed operare un ulteriore filtro.
L'altra soluzione è quella di usare un AP che supporti le VLAN.

Ciao,
il timeout non è molto efficace, poichè i moderni OS scambiano di continuo informazioni sulla rete quindi la connessione di fatto non è mai inattiva.
In alcune scuole abbiamo individuato la durata massima di una sessione ed abbiamo impostato sul CP di pfsense quella durata come hard timeout. Per esempio, se la scuola è aperta solo dalle 9 alle 13 potresti mettere un hard timeout di 4 ore in modo che nel caso peggiore alle 17 tutte le sessioni verranno chiuse.
L'altra soluzione che ti suggerirei (ma che non ho provato) è uno script di logoff che lanci una sessione browser corrispondente al link di logoff del CP
In questo modo è come se l'utente cliccasse sempre sul link di chiusura della sessione.
Putroppo il link contiene l'id della sessione quindi dovresti trovare il modo per recuperare quest'informazione.

Ciao Fabio

Ciao,
In realtà stai chiedendo 3 cose diverse, salvo errata interpretazione da parte mia. Le trecose sono:

autorizzare i lease dhcp solo dopo autenticazione su dominio autorizzare il traffico di rete solo dopo autenticazione su dominio autorizzare il traffico verso internet solo dopo autenticazione su dominio

La prima è abbastanza strana, come potrei autenticarmi senza aver ricevuto un ip per dialogare con il dc per l'autenticazione? Quindi tendenzialmente la risposta è che non è possibile
La terza farebbe pensare ad un proxy con autenticazione e qui potrei dirti che si può fare ma non con un autenticazione "automatica" ovvero con credenziali passate dal client windows in modo trasparente
La seconda è quella che forse può riportarci sulla strada giusta, a pensarci bene un sistema di autenticazione 802.1x potrebbe risolvere tutti e 3 i problemi e soddisfare le tue richieste. Per implementarlo non serve pfsense ma un server radius connesso ad active directory. Nonostante su pfsense si possa installare freeradius, non è possibile integrarlo con ad correttamente, inoltre dovresti fare in modo che ogni client nelle impostazioni di rete utilizzi 802.1x
Normalmente è una soluzione usata con reti wifi con protezione wpa2 infrastructure. Dove l'ho implementato ho usato il controller wifi o servizi radius, quello più sempliceche mi sia capitatodi usare e quello attivabile su nas synology.
Quindi riassumendo, con pfsense non puoi fare quello che chiedi ma puoi farlo con un server radius che si interfacci con AD
Ciao

anchio ho lo stesso problema, cioГЁ che non avviene la sincronizzazione con Google Calendar ed inoltre quando vado a cliccare sul bottone email di essentialpimpro 5.81 mi esce lerrore come foto allegata e devo chiudere il programma.

Grazie Wolf per le info

Grazie per la risposta,
però non trovo la motivazione di quell'alto carico cpu… Ho sempre utilizzato pfsense con macchina virtuale in particolare utilizzando KVM su ubuntu server...
Però ho letto nel forum che ci sono dei problemi con le interfacce virtualizzate che non hanno buon rendimento..
Onestamente non avevo mai notato questo problema, però effettivamente se si fanno dei test con "alte" velocità qualcosa salta fuori...
Il mio load average alto è sicuramente dovuto alla cpu che non è molto performante e per questo voglio provare a fare un installazione pulita senza virtualizzazione e constatare se la situazione migliora..

Appena rientro da un viaggio di lavoro proverò .

Cordiali saluti

Ho risolto! Bisogna fermare il routing!