Ciao,
intanto va detto che le regole che imponi valgono solo all'interno della tua rete perchè appena esci dall'interfaccia di pfSense sei nella terra di nessuno :)

Per dare un minimo di regole al traffico ed evitare che un download ti saturi la banda bloccando il voip puoi usare il wizard del traffic shaper.
Verifica quanto consuma in termini di kbps una telefonata e moltiplica per il numero delle contemporaneità, questa è la banda minima che devi riservare.

Ciao Fabio

P.S.
Se è per uso aziendale non sottovalutare un adsl da 4 soldi da dedicare al voip, ti risparmi figuracce e bestemmie

Da shell senza /t 0 funzia
Appena ho tempo provo a mettere anche /t 0 in upsmon.conf

Grazie Alberto

Non ho verificato ma su internet ho trovato questi:

Android.clients.google.com
Android.l.google.com
Ggpht.com
Photos-ugc.l.google.com
74.125.228.0/24
173.194.7.0/24
173.194.43.0/24
173.194.53.0/24
208.117.224.0/19
208.117.254.0/24
216.12.120.0/24

Ciao Fabio

Ciao Fabio
ti ringrazio sempre per le risposte.
Solitamente ho fatto il bind di OpenVpn sulla Wan ( essendo l'interfaccia che prende l'indirizzo ip della lan al quale posso fare un  port forwarding dal router ).
La prova di collegamento che faccio va bene perche sono due connessioni completamente differenti.Inoltre abbiamo un'altro server openvpn e quando devo fare delle prove eseguo la stessa procedura…

Ad ogni modo posso mandarti qualche screenshot della configurazione , così magari ci capiamo meglio ?

Ciao,
potresti provare con l'opzione Source OS che si trova in Advanced Feautures quando crei una regola di firewall.

Ciao Fabio

Ora ho aggiornato pfsense alla versione 2.3.2 con l'ultima versione di nut.
Ripropongo il quesito per poter spegnere tutti i pc in rete, compreso pfsense,
che naturalmente sono sotto lo stesso ups monitorato da pfsense.

Grazie per l'aiuto, Alberto

Ci sto perdendo tutti i neuroni e la pazienza…

Ciao,
ho letto solo ora la risposta e ti ringrazio moltissimo Fabio.

Alla fine la configurazione che avevo indicato, ero riuscito a crearla "ad occhio", e rispecchia esattamente i criteri che mi avevi indicato (e con buon risultato!).

Considerato che questa casistica è comune a molte realtà, indico i passi seguiti nel caso possa servire anche da altri.

La configurazione che ho adottato, parte dal principio che avrò 3 (o più) reti di cui 1 sarà per i client e 2 dedicate ai server (DMZ e INTRANET nel mio caso) usando quindi 3 porte fisiche più la (o le…) WAN.

innanzitutto la prima cosa è stata quella di verificare che il cablaggio non creasse dei ponti fisici tra le reti, caso che mi è successo e che mi ha costretto a ricostruire l'armadio di rete (non voglio sapere con che criteri certi tecnici lavorino...), particolare importante per non trovarsi a "combattere" con problemi di routing asimmetrici, che nel mio caso degradavano le connessioni fino a far crashare la pfsense tanto era alta la congestione di banda.

A questo punto ho settato indirizzi e classi relativi ad ogni singola interfaccia ed attivato le porte, passo successivo ha riguardato gli outbound nat...

In questo caso si è reso necessario l'attivazione dell' "AON" con poche ma semplici regole (5 in questo caso):

2 regole per si che

non vi sia NAT tra client verso intranet e DMZ

non vi sia NAT tra Intranet verso DMZ

3 regole per fare in modo che ogni rete possa uscire sul web (nel mio caso ho usato anche ip wan specifici in base alla rete sorgente)

Infine, impostando le regole di NAT (solo su DMZ) ho potuto aprire i vari servizi necessari sul web (Apache, FTP, etc…), mentre per i servizi INTRANET è stato sufficiente fare una regola generica sul filtro "da ovunque verso ovunque" senza NAT, in maniera da usare il firewall in modalità "esclusiva" su questa zona.

Il risultato è che ora:

qualsiasi client può "parlare" con i server restando nella rete interna, utile per evitare problemi di sicurezza in WAN e per sfruttare la velocità degli switch

i server INTRANET NON possono comunicare direttamente con i client mentre possono farlo verso la DMZ ed internet

i server DMZ comunica SOLO tramite WAN (quindi verso internet)

David

Ciao,
quando ti colleghi da casa il tuo client non riceve le rotte per raggiungere la sede B e/o la sede B non conosce le route per raggiungere casa tua.

http://www.pfsenseitaly.com/2013/08/openvpn-per-accesso-remoto-piu-sedi.html

Fabio

Ciao,
Non ho mai riscontrato il problema che stai citando ma poco importa, i campi local network e remote network possono essere sostituiti da direttive push route e route nel campo Custo Options. Anzi, io non compilo mai quei campi ma gestisco tutto dalle custom options.

Ciao fabio

http://www.pfsenseitaly.com/2012/09/multi-wan-con-pfsense-parte-1.html
http://www.pfsenseitaly.com/2012/10/multi-wan-con-pfsense-parte-2.html
http://www.pfsenseitaly.com/2012/10/multi-wan-con-pfsense-parte-3.html

Finalmente ho risolto.

Probabilmente dopo l'aggiornamento, nonostante precedentemente ci sia il check sulla voce, non rimane l'opzione

System\Advanced\Firewall & NAT \ Static route filtering\ Bypass firewall rules for traffic on the same interface

Totlo il check, salvato, rimesso e risalvato. Tutto è tornato a funzionare.

Anche se era una release "minore" questo avvalora il fatto che sia necessario eseguire gli aggiornamenti SEMPRE prima in ambiente test e poi dai clienti…... ;)

:o :o :o :o :o
non ricordavo di averlo attivato!!! Comunque avevi ragione era attivo il DNS Resolver e quindi facevano richieste all'impazzata…

Grazie 1000!!!

Dante

Disattivando Squid guard, il servizio si avvia, ma comunque non sembra funzionare….

Ora ho inserito solo questa riga :
#WINDOWS
refresh_pattern ([^.]+.)?(download|(windows)?update).(microsoft.)?com/.*.(cab|exe|msi|msp|psf|esd) 4320 100% 43200 reload-into-ims;

Cattura.JPG
Cattura.JPG_thumb

Come hardware è un Intel(R) Pentium(R) Dual CPU E2220 @ 2.40GHz con disco Sata 2. Domani provo le modifiche nel bios relative alla configurazione dei dischi.

Grazie intanto

risolto mettendo uno switch gigabite
e quindi gestendo direttamente gli apparati connessi a pfsense

Sono switch netgear GS724 penso lo facciano fare anche se non so lo facciano.