Ho scoperto che il problema è dovuto allo stramaledetto router telecom, il pirelli bianco con in boundle l'aladino voce.
Questo router gestisce due sottoreti sullo stesso switch: sottorete 192.168.1.x e sottorete con ip pubblici
Ogni tanto mi genera quella serie di errori su pfsense ma non ho capito perchè.
ciao

Ciao,
utilizzi l'interfacci in http o https?
Non è che nella configurazione fai qualche errore con le interfacce di rete?
ciao

ciao
non so la risposta ma volevo chiederdi una cosa
ho configurato pfsense in bridge e voelvo vedere i log in modo diverso
La mia richiesta era poter vedere nei log non l'ip della destinazione ma la risoluzione del nome per potere vedere dove naviga un certo pc
è possibile
grazie e scusa se ne approfitto di te

Ciao,
queste sono montabili a rack http://www.efuture.it/products/13-firewall-pfsense fatta eccezione per quella più piccola. Il modello pf-1120 ha degli adattatori per il montaggio a rack.
come prezzi credo siano sui 700€ per il modello pf-1120, io in realtà l'ho avuto ad un prezzo molto scontato perchè l'ho preso in bundle con il pf-3110.
Su queste appliance il chipset delle schede di rete è intel.
Ciao

@LonelyWolf:

Possibile, ma non certo.
Cmq anche io avevo problemi da lan2 a lan1 non essendo pfsense il gateway, è stato sufficiente inserire una route statica nei client in entrambe le lan (ovviamente solo a quelli che necessitano comunicazione).

nel mio caso la route statica non é stata sufficiente.
aggiungendo il virtual ip tutto s'é messo a funzionare a dovere (dopo il riavvio)

ora ho pure tolto la regola "allow LAN2 to any" dal firewall e tutto sembra cmq funzionare.

il NAT ingora le regole del fw?

scusate ma non sono granché pratico di networking :\

@LonelyWolf:

Prfemetto che non sono in ufficio fino a lunedì quindi a memoria non ricordo bene.
Di sicuro io non ho nessuna group acl, in common acl->target rules quelle che ho messo a deny (l'unica cosa che ho configurato di squidguard) vengono bloccate (tranne facebook e non capisco ancora perchè, ho dovuto fare una regola ad hoc x questo). Mentre la default action è allow.

Per testare che blocchi tutto prova a lasciare le singole categorie con –-- (cioè il default) e mettere come regola di default block; in questo modo qualsiasi cosa è bloccata di default.

Mi viene in mente, per caso hai qualche regola di nat/firewall imostata a parte quelle di default che potrebbero interferire?

Ciao. Intanto grazie per la chiacchierata :)

Ho provato sia a non avere l'acl group che ad impostare tutte le common a deny, oppure tutte su –-- e solo la 'default access' a deny... insomma di prove ne ho fatte parecchie.

Però nonostante nei log abbia "squidGuard ready for requests (1334928026.953)" il tutto è funzionato per qualche minuto poi al primo cambio di configurazione è come se le regole non esistessero.

Ogni volta che cambio una configurazione premo 'salva' alla fine della pagina e vado nei general settings a dare un 'APPLY'.

Tutto pare attivo, nei log vedo passare le pagine che dovrebbero essere filtrate con gli orari corretti etc. però di fatto i client accedono sempre a tutto senza problemi (questo sia impostando il transparent proxy che disattivandolo e configurando il browser).

Per il resto ho una route attiva su un GW della rete per poter accedere ad una macchina in DMZ (non dovrebbe influenzare in alcun modo) ed ho un port forward verso un terminal server per l'accesso dall'esterno da un ip definito.

Tutto qui; dovrei aggiungere un sacco di altre regole per i test, ma finchè non funziona a dovere il proxy/filtering è inutile che mi metta a fare altre prove, perchè diciamo che è il motivo principale per il quale penserei a pfsense.

Ciao, gentilissimo.

Per essere chiari: l'amministrazione di pfsense continuo a farla con gli utenti locali, non voglio usare le utenze AD.

Vorrei però far funzionare il proxy con gli utenti AD ed eventualmente dividere (se possibile) i vari gruppi in base a quello che possono o meno vedere etc.

Da quel che ho letto fino ad ora però sempre verrà richiesta la uid e la pwd; non viene automaticamente usata l'utenza di login al dominio… Questo potrebbe essere un grosso problema se non altro per non appesantire gli utenti.

Un'altra cosa già che ci sono senza dover aprire un nuovo topic: sto anche vagliando la possibilità di usare un transparent proxy senza nessuna login... Però ogni volta che vado ad attivare il transparent proxy la navigazione si blocca completamente lato client...

Grazie.

ok sono riuscito ad arrivare alla macchina virtuale grazie ai vostri suggerimenti…
tramite virsh ho visto che gira un guest chiamato: captive-portal l'ho terminato e restartato.

Ma niente... comandi per accedere alla console pfsense da virsh?
o meglio... potete aiutarmi a reinstallare pfsense su questa kvm, di cosa necessito?

@Ernesto:

Ho cambiato i DNS e tutto sembra tornato alla normalità.
possibile che per un DNS farlocco si inchiodi PFSense?

ieri mentre eseguivo l'installazione ed il setup iniziale mi è successa la stessa cosa… WebGUI inchiodata perchè avevo inserito un DNS non funzionante.

Il problema è che, se stai installando la cosa per capire come va, ti da quasi l'idea che vada da schifo.

Volevo dirti di guardare una cosa simile per il tuo problema, ma poi ho lasciato stare pensando che non potesse dipendere da quello ed il problema che avevo era dovuto ad altro... Invece :)

E' di oggi la notizia che al Politecnico di Milano si comincera' ad usare solo la lingua inglese!
Sul forum c'e' uno dei moderatori che ha postato un link su quello che stai cercando, puoi leggere di piu al riguardo andando qui: http://forum.pfsense.org/index.php/topic,41612.msg214886.html

Oppure se vuoi scaricare direttamente il zip, vai qui: http://diskatel.narod.ru/pfsense/pfsense-lang-1_0.zip

Versione 2.0

;D

Ok, ho risolto, avevo sbagliato ad assegnare le interfacce.

Belle queste storie! neanche nelle regioni piu' sperdute dell'Africa sono capaci di simili abusi ai danni dei propri cittadini, per fare un paragone, e' come se un ladro mi frega la macchina, ammazza un pedone ed io vengo condannato per omicidio  :D
Con quella legge Pisanu poi eravamo proprio gli zimbelli del mondo intero….

Forse e' un buggo del PFSense, io avevo un problema molto simile al tuo, una volta cliccato su "continua" tutto rimaneva fermo, poi qualcuno mi ha suggerito di inserire l'indirizzo completo (http://www.sito.com/ invece che solo www.sito.com/) ed il redirect ha cominciato a funzionare come doveva.
Quando si "impallava", potevo comunque inserire l'indirizzo manualmente e si collegava senza problemi.
Sull'interfaccia Wan sto usando 192.168.0.69 mentre su quella Lan 192.168.1.1.
Prova anche ad usare un sito diverso da Google, perche' piu' di una volta mi e' capitato di dover aspettare a lungo prima di essere diretto al sito della nazione dove mi trovavo…

@Israfel:

Per quanto mi riguarda ogni mio problema risolto posterò la soluzione che ho trovato giusta o sbagliata che sia.

Ottima idea! Se vuoi ti passo anche i miei di problemi, cosi' quando trovi la soluzione puoi postare ancora di piu'  ;D

Grazie!

ne stavamo parlando su di un altro post.

Cercavo anche io la stessa cosa, però non l'ho più trovata. Magari ho anche visto male.
Non so se altri firewall software facciano questa cosa.

Per me la richiesta di credenziali non è un grosso problema, certo è un lavoro più di fino…
Non saprei nemmeno cosa cercare esattamente con google per trovare risposta a questa domanda

Ciao,
ma cosa intendi con Lan (senza ip)? Hai un ip dinamico sull'interfaccia Lan
Non mi è molto chiaro lo schea della tua rete, ipotizzando una rete fatta così:

+–---[LAN]–---[PC/NAS/….]
INTERNTE –-- hug ---[WAN pfsense]
                                  +–---[OPT1]–--[AP WIRELESS]

Dovresti fare solo 2 cose:

sotto firewall > rules > LAN crea una regola che permette tutto il traffico da LAN ad OPT1 (li imposti rispettivamente in source e destination) sotto firewall > rules > OPT1 crea una regola che permette tutto il traffico da OPT1 ad LAN (li imposti rispettivamente in source e destination)

Queste due regole mettono in comunicazione le due sottoreti, sinceramente non ho capito cosìhai fatto su opt2 ed opt3 ma ad occhio potrebbe essere inutile ed averti complicato la situazione.
Tieni presente che in pfsense 2.0.x puoi avere un dhcp per ogni interfaccia quindi ti consiglierei di tenere lan e opt1 con 2 sottoreti differenti
Cosa molto più semplice sarebbe utilizzare un AP collegato direttamente allo switch e non ad una porta di pfsense ma immagino che tu lo abbia messo sotto pfsense per controllare gli accessi da rete wifi.

Ciao

Ciao,
per mettere in atto la configurazione che hai in mente su pfsense 2.0 o 2.01 devi:

come ti è stato indicato è creare due record MX per il tuo server di posta, il 1° deve avere una priorità più alta e deve puntare all'ADSL con IP statico il secondo deve puntare all'ADSL con ip dinamico, per farlo dovresti usare (come hai indicato) un DDNS.

avere una macchina pfSense con almeno 3 schede di rete, 2 per le wan e 1 per la lan

collega alla wan1 l'adsl con ip statico e alla wan2 l'adsl con ip dinamico

vai in system > routing > gateways e crea i due gateway impostando wan1 come gateway di default, indica un ip da monitorare per far capire a pfsense se l'adsl è su (io uso i dns del provaider)

vai in groups e crea un nuovo gruppo  chiamato Wan1ToWan2 (o come ti pare) ed imposta wan1 con tier1 e wan2 con tier2 in trigger level scegli la modalità con cui vuoi far entrare in azione l'adsl di backup

vai in firewwall > nat > port forward e crea le regole di nat per il forward della porta 25 e porte VOIP (normalmente 5060 e 5061), ricorda che devi creare la rgola sia per le connessioni provenienti da wan1 che da wan2

vai in firewwall > nat > outbound, lascia la modalità automatica e crea due regole una per wan1 ed una per wan2 per far uscire i protocolli che ti interessano (normalmente io metto wan1/wan2 | subnet interna |||||*| NO

ora quando crei le regole in firewall > rules > lan devi solo ricordarti di impostare come Gateway il gruppo creato prima (nel mio esempio era Wan1ToWan2) questo fa si che se wan1 cade tutto il traffico in uscita per quella regola viene rediretto su wan2.

se puoi ti consiglierei di creare delle route statiche in system > routing > routes i modo che i DNS del provider dell'ADSL con ip statico siano raggiungibili solo attraverso wan1 e i dns del provider dell'ADSL con ip dinamico siano raggiungibili solo da wan2. Questo evita che il ping di monitoraggio della wan1 passi da wan 2 e viceversa

Considerazioni:
Se vuoi un bilanciamento per alcuni protocolli puoi creare un nuovo gruppo ed usare wan1 e wan2 con stesso tier e poi al punto 8 usi il nuovo gruppo  nel campo gateway per le regole che ti interessa vadano in bilanciamento sulle due adsl.

In entrata il bilanciamento/failover dipende dalle capacità del protocollo e da chi ti contatta, mi spiego meglio, per la posta il protocollo prevede già che possano esistere più MX e che se il primo fallisce viene contattato il secondo, per il voip sip dipende dal provider che fornisce il servizio, io ad esempio non posso indicare un centralino voip di backup quindi quando mi cade l'adsl primaria io non posso ricevere telefonate ma solo farle.

Spero di non aver dimenticato nulla
Ciao