È esattamente l'impostazione che ti dicevo. Poi ogni costruttore la chiama in modo diverso.
Mi sa che quella per il nat è una fissazione :) forse è il caso di capire a cosa serve e quando serve.

Ciao

@Pakken:

Curiosità mia… cosa ti turba del NAT? Le macchine pubbliche le potevi isolare anche creando un'altra subnet privata, chiaro che non vai a fare nat 1:1 su ip della lan.

In realtà nulla, non posso fare a meno del NAT! Ma ho trovato più "semplice" la soluzione trasparente per quelle macchine che devono rimanere isolate e intendo che non devono assolutamente generare traffico/aprire connessioni verso la LAN (produzione).

Con NAT 1:1 mi tocca creare VIP, NAT, REGOLE.
Con BR, set di regole sull'IF del Bridge. Poi a valle del BR ci può essere un solo host o addirittura un altro FW (a questo punto il nat non è più un'opinione, ma credo quasi una certezza).

Il turbamento è solo questo: mischiare NAT e bridge sullo stesso fw sarà una m.*ata?

Magari è solo una mia paranoia di fine anno, per cui fino al prossimo non ci penso.
Buon finale!

SONO UN PIRLA !! ;D

Ti ringrazio Fabio!

Buon Natale :)

No, in pfsense ipsec è parte del kernel, non si tratta di un servizio a parte e pertanto riavviabile.
Motivo per cui le route vengono gestite in modo automatico.
Ciao Fabio

Ciao,
rispondo in breve alle tue domande

No, non funziona in modo così seplice a causa del protocollo https che essendo per natura sicuro e cifrato non ammette intrusi nella comunicazione a meno di config particolari ma che spesso creano problemi con alcuni siti sicuri che riconoscono un attacco di man in the middle e bloccano l'accesso. In ambiente multi wan devi modificare le impostazioni del proxy inserendo nel campo Custom Option questa stringa tcp_outgoing_address 127.0.0.1; No, la cosa migliore è uscire sempre dalla stessa wan e se proprio ti vuoi cimentare nel failover puoi provare quest'accrocchio https://forum.pfsense.org/index.php?topic=58784.0 oppure più semplicemente utilizzare openvpn.

Ciao fabio

Devi installare squid, poi con sarg o simili puoi avere dei report sui siti visitati.
Per legge è violazione della privacy…
Fabio

Primo: La porta a cui hai attaccato il Pfsense l'hai posta come "tagged" sulla vlan 100 ?
Secondo: la porta 13 a cui hai attaccato il pc, come l'hai messa ? se c'è a valle un pc senza abilitato la vlan, devi porla sullo switch come "untagged" sulla vlan100.
Terzo: Perchè la 13 l'hai posta in Trunk ? a cosa ti serve ? Se non ricordo male, il Trunk per Cisco, è per porre N porte dello switch a operare come una una porta logica, per maggior througput o reliability… quello che altri switch o in Linux, viene chiamato Channel Bonding, o ancora 802.3ad Link Aggregation. Non mi pare sia il tuo caso.
Quarto: Non so cosa sia l' "Access", o cosa intenda Cisco con quel termine, ad ogni modo, in generale, è inutile abilitare robe che non servono.

Ciao,
Non è possibile. Senza gateway la macchina non sa come instradare i pacchetti di risposta per il client rdp.
Fabio

Ciao,
per capire quale algoritmo di cifratura utilizzare dai un occhiata qui
http://www.pfsenseitaly.com/2012/12/quale-lalgoritmo-crittografico-migliore.html

Altro consiglio, verifica che la compressione del traffico VPN sia disabilitata, aggiunge latenza alle chiamate voip e sovraccarica il processore dell'alix.

Ciao Fabio

:) limitare lo spam su varie caselle email se era possibile

Ho dovuto rinviare per giornate un po' troppo piene…

Comunque adesso ho il giocattolo nuovo, gia' fatte tutte le altre predisposizioni, appena mi ci mettero' ti faro' sapere! Intanto grazie...

A proposito, ho visto che sulla lista dei pacchetti da poter installare, sulle versione 2.2.5 si parla di una incompatibilita' di dansguardian rispetto a clamav o havp ... il problema lo affrontero' piu' avanti... comunque avete novita'?

Grazie e buona serata

In effetti aggiungendo "push route 192.168.70.0 255.255.255.0" nella configurazione avanzata lato server funziona!
Lato client non ho modificato nulla.
Questo "baco" è stato corretto nella nuova versione 2.2.5?

Grazie di nuovo per le risposte