Se ho capito bene la cosa che chiedi con il solo PF non è fattibile ora come ora. In quanto devi discernere le chiamate non solo per puro IP ma anche per "stringa" del dominio da cui parte la richiesta. Ed ora come ora non è fattibile con il solo PF. So per certo che alcuni smenettoni sono riusciti a farlo ma con parecchio lavoro del loro e pacchi agg. da shell.

Ciaoz.-

In parte è vero: l'hardware incide abbastanza nelle prestazioni del sistema. CPU e schede di rete sono i componenti che maggiormente pesano sulla prestazione dell'intero sistema.
Molto dipende anche dalle schede di rete, a seconda che si usi una scheda da server oppure una classica intel 1000GT. Sono entrambe ottime schede, viaggiano alla stessa velocità magari, ma ovviamente quella da server ha molta piu' disponibilità e costa notevolmente di più, oltretutto potrebbe funzionare solo su slot pci-x

La VPN richiede un po' di potenza dalla CPU ma è anche vero che se non crei certificati più grandi di 2048 bit non dovresti aver problemi nemmeno con l'hardware che hai già.
CPU a parte io preferisco un sistema che abbia almeno 512Mb di RAM. Sul mio sistema dove ho attivi anche il proxy, la VPN, una DMZ per i client wireless e un altro paio di servizi ho 1Gb di RAM e nei giorni dove ho più carico il sistema si prende anche 80% della RAM.

Comunque con l'hardware che hai non dovresti aver problemi, forse la VPN farà un po' fatica per via della CPU ma credo che la velocità tutto sommato sarà sufficiente.

Ok abbiamo tutte le nostre conferme, con quella regola LAN pinga OPT1 ma non viceversa, allora il fulcro sono proprio le rules, sei proprio un grande Zanetti!!! ;););)

La modalità passiva è sempre problematica. Io stesso per ovviare tempo fa ad un problema analogo, cioè un mio server ftp dietro pfSense, ho dovuto abilitare un port forwarding in entrata di un certo range di porte che il server FTP usa in modalità passiva. Questo senza abilitare il NAT 1:1, anche perchè non avevo altri IP pubblici a disposizione.

Mi connettevo all'ip errato quando tentavo di accedere alla VPN da internet ..
dovevo connettermi al 192.168.1.2
Ora è OK :-)

ps.
Il Gateway sul server della LAN è come dici tu impostato sull' ip della LAN del firewall

Grazie !

Ciao Mascaos.

Ti disturbo ancora dopo un pò di tempo in quanto ancora non ho risolto il mio problema e vorrei chiederti cortesemente un pò del tuo prezioso aiuto.

Il problema te lo ricordo, è che dovrei far funzionare la VPN PPTP attraverso la connessione WAN (e da qui va già) e (a scelta o in caso di caduta della linea WAN) anche dalla linea OPT1.

Ho fatto milioni di prove, tutti i casi possibili, ma niente da fare.

Le due linee, una HDSL ed una ADSL configurate singolarmente sulla WAN (prima una e poi l'altra) concedono la VPN PPTP regolarmente.
Quando configuro la HDSL sulla WAN e la ADSL sulla OPT1, la WAN permette l'accesso in VPN correttamente ma la OPT1 si ferma alla verifica della password in corso restituendo poi l'errore 619.

Ti chiedo l'ultima cortesia: considerando che io abbia pfSense con patch fino ad oggi, quindi la pfSense-Full-Update-1.2.1-RC1-20081018-0540.tgz, semplicemente ad installazione appena terminata (quindi a configurazione pulita) potresti farmi in pochi passaggi un esempio di configurazione per permettere il funzionamento della PPTP anche sulla OPT1 ?
Mi sembrava di capire che a te funzionasse correttamente. Metti pure degli indirizzi IP di esempio.

Grazie se vorrai aiutarmi, sei la mia ultima speranza.

Luca

Anch'io ero interessato alla scadenza dell'utente dopo un toto di ore, e infatti ho pensato che l'unica cosa è usare il RADIUS, sempre che anche con esso si possa fare o se c'è bisogno di un'altra applicazione.

Dai raga, a chi ne sa più di noi dedicateci qualche minutino. Abbiamo voglia di imparare e magari possiamo creare dei riferimenti a chi verrà in seguito qui sul forum.

Grazie in anticipo a tutti

Speriamo in un intervento di qualche guru LiquiD_85  ;D

tecnicamente e' facile, ma se vuoi implementare una soluzione efficente e stabile devi almeno mettere un database…. noi abbiamo un cluster di mysql e 2 radius server ma e' stato tutt'altro che facile  !!!!

ps: non so se si puo autenticare tramite mac adress , credo di si ma ricordati che tranne in quel caso, dovranno sempre autenticarsi con pagina di captive portal. se poi ce l'autenticazione locale di pfsense o il radius e'  uguale !! sempre di li devono passare!!!!

@bebbus:

ciao, io ho risolto in questo modo:

attiva captiveportal e gli dici di usare un server radius!!
ip del tuo pfsense, porta 1812, secret "giuseppe"

poi vai in freeradius–->client --> gli metti gli stessi dati, vai in setting gli metti la stessa porta!!

il gioco è fatto!!!

nb.
devi guardare la porta del server perchè freeradius lo installa con una porta diversa da quella che vedi in captive portal!!!

Ciao, io ho seguito le tue indicazioni ma non mi funziona comunque… Premetto che con Local user manager funziona correttamente

Ti spiego come ho fatto:

In Captive Portal nella sezione Authentication ho messo:
RADIUS Authentication

IP Address: 127.0.0.1 Port: 1812 Shared secret: prova

Nella configurazione di FreeRADIUS (Services -> FreeRADIUS):
Users

Username: Mario Password: una password Number of Multiple connection: 1 (ho il dubbio che per far connettere solo una persona bisogna mettere 0 qui)
il resto tutto vuoto

Clients

Client: 127.0.0.1 Shortname: Mario Shared Secret: prova

Non va e inoltre il pfsense è lento ad applicare le modifiche, segno che c'è qualcosa che lo fa lavorare o lo blocca.

posta le configurazioni…. ...
rilascia regolarmene l'indirizzo ip con il dns  ecc ...  su gli altri computer?

ciao .. io uso captive portal + squid sulla stessa interfaccia e funziona benissimo !! posta la configurazione che gli diamo un'occhiata! caos e' molto bravo in queste cose senti lui!!

Grazie della risposta!  :D

Ok, probabilmente parte del problema è lì, sulle classi di IP differenti… gli indirizzi sul router collegato ad OPT1 devono essere del tipo 192.168.1.XXX perché il modem-router accetta solo 192.168.1.1, altrimenti non funziona il voip collegato. Purtroppo è un modem che è stato deliberatamente azzoppato di fabbrica prima di essere distribuito agli utenti, e per il quale mi sono già avvelenato il sangue in passato…

Se conosci il tipo lo eviti!!! (se puoi  :'()

Per la LAN mi occorre invece mantenere, per una situazione che ho ereditato da altri, la classe 172.22.41.XXX

Comunque per il collegamento WAN<->LAN la differenza di classi di IP non mi pare generi problemi. Inoltre ho visto che da WAN raggiungo il pc interno anche senza impostare il VIP...

Per i NAT ho fatto confusione: sopra manca l'outbound.  Ti aggiungo gli screenshot di seguito.

Di nuovo grazie!

t4.jpg
t4.jpg_thumb
t5.jpg
t5.jpg_thumb

Giusto per segnalare: ho risolto installanto IPCOP con modulo urlfilter + advproxy ed abilitando la quota tempo per utente (autenticato tramite ldap).

Decisamente è meglio che mi chiami su MSN … c'è troppo roba. E già da queste schermate ci sono delle cose che non mi tornano.

Ciaoz.-

Matteo

L'ho provata questo weekend e va. A questo punto non saprei che dire … prova a fare l'inverso blocchi tutti ad esclusione degli ip validi.

Ciaoz.-

Be allora da mio punto di vista ISA è solo un cliente dalla LAN di PF. Per cui a livello logico è solo un normale PC. Ovvio che tutti i PC della LAN avranno l'ip di ISA come proxy e non quello di PF. E ISA avrà pf come GW. Fine

Matteo

deduco che nessuno ha usato pfsense 1.3!!  ???