@akatamai:

grazie della risposta…si ho fatto tutti i passaggi descritti, l'unica cosa dove mi riservo di verificare è che non credo di aver usato il wizard e quindi giustamente niente regole

Ok, allora controlla quelle e poi vediamo…

@Ernesto:

hai qualche appliance da consigliarmi? quelle (relativamente economiche) che ho trovato han tutte porte 10/100. mi farebbe comodo in formato rack 1U o 2U e con le porte LAN disposte frontalmente

noi usiamo con successo la FW8888 di ALLNET (se non la trovi da nessuna parte noi siamo anche rivenditori…).

Se ti serve con un processore più potente (ma tieni conto che come firewall per una piccola azienda è più che sufficente...) ci sono modelli di altre marche che partono da processori core 2 fino ad arrivare anche a quattro processori Xeon (per supportare 4-5 milioni di utenti contemporanei con schede a 10 Gbit...), ma i prezzi cominciano a salire molto rapidamente...

Un'altra alternativa economica possono essere le appliance di Fabiatech (noi di nuovo siamo rivenditori...) come la FX5622 che ha 4 LAN gigabit oppure la FX5624 che ne ha 2.

Per potere si può, ma non credo sia facilissimo… ;)

Non è possibile evitare di configurare la WAN, oltretutto la WAN non è detto che debba per forza essere una scheda ethernet.
Nella lista dei devices hai notato se son presenti anche i modem 3g usb? Se non sono presenti, probabilmente non vengono supportati, di conseguenza ti converrebbe procedere con l'installazione assegnando alla WAN una scheda di rete, poi di seguito, aggiornare online Pfsense dalla 1.2.3 alla 2.0 rc1 (collegandoti in qualche modo alla rete). Una volta aggiornata, dovrai riassegnare la WAN, cercando nella lista questi famigerati modem…
Per concludere dovrai attribuire il secondo modem ad un altra interfaccia, ad es. OPT1 (graffa "Block private networks" e "Block bogon networks
"), che puoi sempre rinominare in WAN2 (io non te lo consiglio!), per poi creare il gruppo gateway come load balancer o backup...

Purtroppo sono anche io nella stessa situazione, ma caso molto più semplice.

2 fw pfsense 1.2.3 Release, la primissima conf ha funzionato egregiamente, considerando pure che in una della 2 sedi c'è un nat 1-to-1 davanti al fw.

L'altra notte alle 5 di mattina, leggo nei log:

INFO: phase2 sa deleted

Da quel momento non c'è verso di fare ripartire il tunnel. Nessun errore, dai log normali si legge

2011-03-02 17:12:38: INFO: 127.0.0.1[500] used as isakmp port (fd=7)
2011-03-02 17:12:38: INFO: x.y.z.k[500] used as isakmp port (fd=8)
2011-03-02 17:12:38: INFO: 192.168.100.1[500] used as isakmp port (fd=9)

Dai log di debug non ci sono errori, per il momento non trovo soluzione.

Buon di, ho avuto un problema "simile" al tuo. Mi spiego meglio, su configurazione P4 HT, scheda madre P5e qualcosa(sono a lavoro e nn ricordo i dettagli della mother) e banco da 1 Gb DDR2 ho installato su HDD SATA il live cd di pfsense (ultima versione scaricabile dal sito).

L'installazione e configurazione sono andate benone, ma dopo il riavvio finale, quindi dopo aver tolto il cd parte tutto fino al bootloader, una volta premuto F1 inizia il caricamento del kernel ma si pianta subito, non mi esce nessun output video, solo quel maledetto "" e poi + nulla!!!

Ho provato a scollegare tutto lo scollegabile, CD, floppy ecc… ma nulla!!!

Qualcuno ha mai avuto lo stesso problema? Non voglio per forza una soluzione ma solo sapere se qualcuno è incappato nello stesso errore.

grazie a tutti

Risolto da me, grazie.
Ho fatto una regola e riavviato il servizio.  ;D

Nessuno mi sa dire se la finestra RRD Graphs della WebGui di PfSense si autorefresha ? In particolare faccio riferimento al primo grafico, ad esempio, di Processor: quello con periodo di 4 ore con media fatta ad un minuto. Grazie.

A forza di prove e test sono arrivato ad una conclusione soddisfacente.

ADDENDUM: alcuni operatori (ad esempio NGI) ti danno la possibilità di "aggregare" più linee ADSL per avere più banda…

Ma comunque lo devono fare loro con i loro apparati (tu non hai nessun controllo) e tu vedrai sempre uno e un solo gateway...

@appavito:

MA LE VLAN LE PUOI ABILITARE ANCHE SULLA WAN????  SULLA LAN OK… MA SULLA WAN IO UN CI SONO RIUSCITO...

…non urlare... scrivi in minuscolo!!!

Le VLAN sulla WAN non so se funzionino (in teoria sì, ma io non le userei mai e quindi non ci perdo tempo a fare prove...).

Il mio consiglio resta una porta ethernet per ogni WAN.

@appavito:

HAI UN BALANCER CON DUE CONNESSIONI ?? ( HO VISTO CHE HAI UNA CONNESSIONE DI BACK UP)
IL CAPTIVE FUNGE SOLO SUL DEFAULT GW … QUINDI SE TI VA GIU LA WAN... ADDIO CAPTIVE.

.

Si ho una WAN (adsl pppoe gestita da Pfsense) più OPT1 (in dhcp)come Backup; ma nessun bilanciamento.
Ma scusa, se si imposta il captive portal su LAN, teoricamente non dovrebbe lavorare solo se è in piedi la wan principale?!

@appavito:

DEVI METTERE DU MACCHINE IN CASCATA… UNA PER IL BILANCIAMENTO E  F.OVER  E L'ALTRA PER IL CAPTIVE..

Potrei mettere in cascata un embedded Alix, ma vorrei evitare. In cascata…quindi 2 routing...mm..

@appavito:

CONTROLLA CHE SULLE MACCHINE CLIENT UN CI SIA IL BLOCCO POPUP..

Chiaro, ma no, nessuna restrizione.

@appavito:

IL CAPTIVE E' UN REDIRECT A CHIAMATA DNS ( A PAGINA DI ERRORE… ) IL LOGIN TI DOVREBBE APPARIRE NEL BROWSER

Dovrebbe….

@appavito:

…NON IN UNA FINESTRA A PARTE.. A PARTE TI APPARE LA DISCONNESSIONE....

Esatto, forse mi sono spiegato male.

@appavito:

PROVA A TENERE PREMUTO IL TASTO CTRL QUANDO FAI IL LOGIN..

Che cosa comporta? ….ok, ma dovrebbe apparirmi il login, invece mi da "pagina non trovata", come volessi navigare offline!

Nel frattempo ho provato ad aggiornare alla pre-2.0 beta5.
Il problema persiste, ma ho notato una cosa anomala:
Se setto "Authentication" su "No Authentication" la finestra di login compare!! ma non su tutti i computer!...mah
Ho scritto anche nella sezione inglese, ma al momento nessuno risponde:
http://forum.pfsense.org/index.php/topic,33260.0.html

nella 2.0 il captive gira solo sul default gateway oppure sono riusciti a  farlo girare anche con il gateway che si crea quando fai  il  load balancer??

ok risolto
chi fa per sè fa per tre  ;D

nat.jpg_thumb
nat.jpg

@Hyde:

Salve ragazzi, mi sto avvicinando anche io a pfSense e sono in cerca di hw.
Inizialmente ero orientato verso l'ALIX visto i costi ridotti, poi, leggendo il libro "pfSense the definitive guide" mi sta sorgendo il dubbio che forse qualcosa di più performante serve, anche perché un firewall/router senza Snort mi sembra un po' monco.

Il sistema che vorrei configurare sarebbe un router/firewall con funzionalità vpn, con packet filtering etc, che serva la mia piccola lan domestica (5 pc).

I punti fermi sono: basso consumo e bassi costi.

Ora, per quanto leggendo dal post di Appavito un serverino entry level si aggiri intorno ai 250 euro, i suoi consumi non credo siano paragonabili a quelli embedded, così, che costo ha la scheda proposta da efuture?

Mentre buone mini-itx?

Pfsense non ha delle grandi richieste in termini di HW, tanto per darti un'idea il server aziendale che ho configurato è un vecchio server del 2003 con una mainboard gigabyte dual CPU, 2 vecchissimi Athlon, 2Gb di RAM e un RAID5 che ho riutilizzato dal momento che c'era già. L'unica cosa su cui Pfsense è pignolo sono le schede di rete quindi io vado solo di Intel. Al momento ho 5 schede ethernet Intel che gestiscono diversi segmenti di rete, dual WAN, SNORT, OpenVPN, DNS server, Squid, NTP, e altri servizi senza nemmeno sudare.

Per una rete casalinga al limite ti basta anche un pentium 4 di quelli vecchi però usa delle buone schede di rete e una dotazione di RAM adeguata, con 1GB, SNORT permettendo, dovresti farcela alla grande.

Per le mini-itx stavo guardando anch'io qualcosa, mi stavo orientando sui processori i3 o i5, gli atom a conti fatti hanno un rendimento moto inferiore. Gigabyte e Asrock hanno delle ottime motherboard.

Il commento di Zanotti è corretto, OpenVPN è più semplice da gestire e va bene…

IPSec è più "professionale" e io lo uso soprattutto per VPN site-to-site di aziende clienti (ha parecchie opzioni di sicurezza e di configurazione...), ma comunque se vuoi usarlo per il tuo scopo funziona tranquillamente senza usare IP virtuali (a meno che non ti perdi nei mille parametri per farlo funzionare...).
Naturalmente i peers devono anche loro supportare IPSec...

PFsense offre anche Tunnel PTPP che sono facilissimi da usare se i tuoi utenti remoti sono PC con Windows (praticamente sui PC basta che crei una "nuova connessione di rete" ad una rete remota...), ma è meno flessibile, meno sicuro, e io non l'ho mai provato...

Tu vorresti le regole per collegarti via VPN road warrior e raggiungere un'altra vpn un'altra site to site?