Anch'io ero interessato alla scadenza dell'utente dopo un toto di ore, e infatti ho pensato che l'unica cosa è usare il RADIUS, sempre che anche con esso si possa fare o se c'è bisogno di un'altra applicazione.

Dai raga, a chi ne sa più di noi dedicateci qualche minutino. Abbiamo voglia di imparare e magari possiamo creare dei riferimenti a chi verrà in seguito qui sul forum.

Grazie in anticipo a tutti

Speriamo in un intervento di qualche guru LiquiD_85  ;D

tecnicamente e' facile, ma se vuoi implementare una soluzione efficente e stabile devi almeno mettere un database…. noi abbiamo un cluster di mysql e 2 radius server ma e' stato tutt'altro che facile  !!!!

ps: non so se si puo autenticare tramite mac adress , credo di si ma ricordati che tranne in quel caso, dovranno sempre autenticarsi con pagina di captive portal. se poi ce l'autenticazione locale di pfsense o il radius e'  uguale !! sempre di li devono passare!!!!

@bebbus:

ciao, io ho risolto in questo modo:

attiva captiveportal e gli dici di usare un server radius!!
ip del tuo pfsense, porta 1812, secret "giuseppe"

poi vai in freeradius–->client --> gli metti gli stessi dati, vai in setting gli metti la stessa porta!!

il gioco è fatto!!!

nb.
devi guardare la porta del server perchè freeradius lo installa con una porta diversa da quella che vedi in captive portal!!!

Ciao, io ho seguito le tue indicazioni ma non mi funziona comunque… Premetto che con Local user manager funziona correttamente

Ti spiego come ho fatto:

In Captive Portal nella sezione Authentication ho messo:
RADIUS Authentication

IP Address: 127.0.0.1 Port: 1812 Shared secret: prova

Nella configurazione di FreeRADIUS (Services -> FreeRADIUS):
Users

Username: Mario Password: una password Number of Multiple connection: 1 (ho il dubbio che per far connettere solo una persona bisogna mettere 0 qui)
il resto tutto vuoto

Clients

Client: 127.0.0.1 Shortname: Mario Shared Secret: prova

Non va e inoltre il pfsense è lento ad applicare le modifiche, segno che c'è qualcosa che lo fa lavorare o lo blocca.

posta le configurazioni…. ...
rilascia regolarmene l'indirizzo ip con il dns  ecc ...  su gli altri computer?

ciao .. io uso captive portal + squid sulla stessa interfaccia e funziona benissimo !! posta la configurazione che gli diamo un'occhiata! caos e' molto bravo in queste cose senti lui!!

Grazie della risposta!  :D

Ok, probabilmente parte del problema è lì, sulle classi di IP differenti… gli indirizzi sul router collegato ad OPT1 devono essere del tipo 192.168.1.XXX perché il modem-router accetta solo 192.168.1.1, altrimenti non funziona il voip collegato. Purtroppo è un modem che è stato deliberatamente azzoppato di fabbrica prima di essere distribuito agli utenti, e per il quale mi sono già avvelenato il sangue in passato…

Se conosci il tipo lo eviti!!! (se puoi  :'()

Per la LAN mi occorre invece mantenere, per una situazione che ho ereditato da altri, la classe 172.22.41.XXX

Comunque per il collegamento WAN<->LAN la differenza di classi di IP non mi pare generi problemi. Inoltre ho visto che da WAN raggiungo il pc interno anche senza impostare il VIP...

Per i NAT ho fatto confusione: sopra manca l'outbound.  Ti aggiungo gli screenshot di seguito.

Di nuovo grazie!

t4.jpg
t4.jpg_thumb
t5.jpg
t5.jpg_thumb

Giusto per segnalare: ho risolto installanto IPCOP con modulo urlfilter + advproxy ed abilitando la quota tempo per utente (autenticato tramite ldap).

Decisamente è meglio che mi chiami su MSN … c'è troppo roba. E già da queste schermate ci sono delle cose che non mi tornano.

Ciaoz.-

Matteo

L'ho provata questo weekend e va. A questo punto non saprei che dire … prova a fare l'inverso blocchi tutti ad esclusione degli ip validi.

Ciaoz.-

Be allora da mio punto di vista ISA è solo un cliente dalla LAN di PF. Per cui a livello logico è solo un normale PC. Ovvio che tutti i PC della LAN avranno l'ip di ISA come proxy e non quello di PF. E ISA avrà pf come GW. Fine

Matteo

deduco che nessuno ha usato pfsense 1.3!!  ???

In sostanza, mi serve sapere ciò, solo per cercare di copiare i settaggi che vengono scritti da pfsense quando si attiva la VPN PPTP e riscriverli allo stesso modo ma per la linea OPT1.
Questo sempre per cercare di risolvere quel maledetto problema di poter accedere in  VPN PPTP anche dalla linea OPT1.

Ecco perchè prima chiedevo di sapere se posso modificarli a mano senza guastare qualcosa.

Grazie mille come sempre.

Luca

Ottimo. Per ora siamo a cavallo e quando cresceranno le esigenze… beh, facciamole crescere!
Considera che ora c'è un unico Netgear DG834...  :-
Puoi darmi i prezzi?
Se vuoi in questo momento sono su MSN (o meglio, Pidgin) con l'indirizzo postato prima.
Grazie ancora.

Risolto tutto :-)

@Zanotti:

Hai aggiustato i gateway di "MioServer" e "TabletPC" in modo che puntino rispettivamente a "PFSense" e "serverOpenVPN"?
Sarebbe utile postare la configurazione di entrambe le VPN.

Su MioServer il gateway è corretto, su TabletPC non posso controllare, ma farò controllare al personale della sede dove si trova.
Purtroppo non ho accesso alla configurazione del serverOpenVPN, in quanto non è gestito da me…
La mia configurazione la trovi qui sotto,ma è molto banale visto che io faccio da client.
Quello che mi lascia perplesso è che da PFSense, come dicevo, riesco a pingare la rete interna "dall'altra parte" (termine tecnico :D) ma non da MioServer...

Protocol: TCP
Server Address: IpPubblicoDelServer
Server port: 5001
Cryptography: BF-CBC (128bit)
Authentication method: PKI

Ca certificate: certificato che mi hanno inviato loro
Client certificate: certificato che mi hanno inviato loro
Client key: chiave che mi hanno inviato loro

Inoltre, ho questa regola sulle Firewall Rules, nella parte WAN:

Proto       Source Port Destination  Port Gateway Schedule 
TCP/UDP     *       *        *         5001     *

Dicci a grandi linee come hai configurato pf ora … come sono conf. le interfacce, la nat e le regole in linea di massima  (o se puoi postare qualche foto :D :P)

Ciaoz.-

PS: