Si basta definire un unico pool in modalità FailOver senza creare pool per il loadbalance. In questo modo la seconda linea verrà usata solo nel caso la prima non sia presente.

Ciaoz.-
Matteo

Si certo Delfino. E' come ti ho detto in chat.
Direi che non ci sono problemi con le NAT 1:1 e VIP.

Ciaoz.-

Matteo

Per cui se ho afferrato il problema in modo corretto se su da un PC della LAN (poniamo 192.168.115.200) provi a raggiungere il servizio WEB del Server su WAN2 (ponimo ip 10.0.0.2) non vedi nulla. Corretto ? Credo di si.

Domanda 1) Ho visto che per fare il port ref. hai usato degli Alias tipo "Sviluppo" "Gpsonly" e simili. Hai gia provato ad usare l'ip corretto (che immagino sia qualcosa del tipo 192.168.120.???) se ho capito giusto?

Prova 1) hai provato a creare un VIP 10.0.0.10 al posto di usare l'ip di pf ?

Ora come ora non mi viene in mente altro … senti prova a cercarmi in msn info@mascomputer.net così ne parliamo in "tempo reale" :|

Ciaoz.-
Matteo

aspettiamo con ansia anche altre dritte!! tipo il cambio password per gli utenti!!!

buon lavoro ragazzi

allora, ho risolto mettendo come gw interno un unico ip carp, e come ip esterni un ip carp per ogni indirizzo pubblico che esce, sembra funzionare bene ora ho un mac addres diverso per ogni ip e condiviso tra i due fw, anche se non ho ancora provato a spegnene uno..un po di paura… 8)

lan-->gw carp--->fw1-->---->  carp 1(ind pubblico 1)
                    |          |        carp 2 (ind pubblico 2)
                      ->fw2-->        carp x (ind pubblico x)

A me va … in ogni caso prova con questo:

http://files.pfsense.org/mirror/tutorials/carp/carp-cluster-new.htm

Ciaoz.-

Matteo

ok ho installato nuovamente il sistema!!!

Per quello che posso dirti io non ho avuto prolemi rilevanti (Uso Unix - Linux (SuSE - Ubuntu - Debian per Asterisk) - AS400 - Windows (98 - Me - 2K - XP - Vista - 2K3 - 2K8) e sistemi op. proprietari di alcuni apparati embedded (like unix). Attenzione non ho mai usato la funz. di riconoscimento OS nelle regole del firewall. Controlla lo stato delle sk. di rete a livello fisico, spesso è un problema hw quando ci sono problemi di quel tipo.

Che altro dire … facci spare.

Ciaoz.-

Non ho ancora provato quella funzione, per cui non so dirtinulla al riguardo.

Matteo

Dopo gli ultimi agg. (di oggi 10/07/2008) posso dire che pf in se va. Con l'ultimo update (pfSense-Full-Update-1.2.1-TESTING-SNAPSHOT-20080710-0010.tgz) va il DHCP ma le IPSec hanno smesso di funzionare. ATTENZIONE !

Ciaoz.-

ok grazie per l'aiuto alla prossima!!!

Si si … ero ubriaco ... avevo reinstallato tutto e mi ero dimenticato di togliere il baffo in System --> Advance per il blocco del NAT Reflection ecco perchè non andava!
Ora funge tutto. Danke e fammi sapre le l'upd così scopro qualcosa di nuovo :D

Ciaoz.-

Matteo

@tylerpc:

Allora io avevo eseguito i seguenti passi:
1)ho creato un virtual ip:192.168.1.38  Proxy ARP in "Firewall->Virtual IPs ";
2) In "Firewall->NAT" ho creato la seguente regola: WAN - 192.168.1.38(virtualip)-TCP-HTTP –> 192.168.0.201-HTTP

Ma non funziona !

Per la NAT 1:1 Cosa devo mettere nella voce ""External subnet" ?

Ma i primi 2 passi sembra giusti ma hai creato la regole nel firewall che permette il traffico ?
Per la NAT 1:1 se è solo 1 ip non ci sono problemi basta il /32.

Ribasico che per vedere se va dei trovarti nella wan (per cui con un ip 192.168.0.xxx) e provare ad attaccarti all ip wan per cui 192.168.0.201.

Per l'ultima domanda non ti seguo più … non riesco a trovarne lo scopo in ogni caso basta che configuri le regole del firewall dove dici che l'unica sorgente è l'ip che ti interessa.

Ciaoz-.
Matteo

@alcholic:

Stamattina mi sono trovato dinnanzi ad un bel problema…Nell'azienda dove ho installato pf le persone addette alla modifica del sito non riuscivano ad entrare nell ftp...
Spulciando un po per il forum sono riuscito a capire ciò:

Questo problema lo hanno tutti coloro che utilizzano il LoadBalance in entrata ed in uscita
Come risolvere?????
Bhè basta creare una Rules in LAN prima del Balance che accetti tutte le richieste verso 127.0.0.1
Spero di esservi stati utile
Luigi

Io, con le seguenti regole nella sezione LAN (ho una configurazione multiwan), non riesco a fare ftp.. ho risolto temporaneamente connettendomi al server remoto tramite SFTP, ma appena ne becco uno che non lo implementa questo workaround non funzionerà!!

Proto  Source  Port  Destination  Port  Gateway  Schedule  Description

LAN net * * * *   Default LAN -> any WAN LAN address * 127.0.0.1 * *   ftp troubleshooting LAN address * 213.144.66.64/29 * 88.32.33.73   Traffico verso i server al MIX - tramite 88.32.33.77 LAN net * WAN address * 88.32.33.73   Make sure DMZ 1 traffic goes to right interface LAN net * WAN2 net * 192.168.18.254   Make sure DMZ 2 traffic goes to WAN2 DMZ LAN net * * * LoadBalance   Load Balance

Inoltre ho l'FTP-Proxy disabilitato sulle due interfacce WAN, mentre è abilitato sulla LAN. Dove sbaglio?

@mascaos:

@ermal:

Mi dici che errori ti da?

In Effetti un problema l'ho riscontrato, non riesco ad installarlo. Fin ora l'ho usato in modalità live caricando i file conf. Ma oggi volevo installarlo in modo definitivo ed usarlo pesantemente ma facendo vari prove (su differenti PC, comprese macchine virtuali di VMWare o di VirtualBOX.
Risulta anche a vuoi questo problema sull'installazione (per capirsi l'opz. 99 del munù in shell)

Ciaoz.-

Danke.

anche io non riesco ad installarlo… sembra che non riesce a trovare il file per avviare l'installazione o cosa del genere...

@mascaos:

Allora preciso subito che non ho ancora provato per cui non mi prendo responsabilità, ma in teoria qui:

http://cvs.pfsense.org/~sullrich/testing_images/6/FreeBSD_RELENG_6_3/pfSense_RELENG_1_2/

Trovi le varie immagini per agg. pf con la reales 6.3.

Ribadisco non le ho provate per cui non chiedermi gli effetti … magari prima provala su una VM o una macchina di test.

Io stò usando direttamente la 1.3 alpha e per ora non ho avuto particolari problemi, vero è che non ho ancora abilitato nulla delle nuove funz. !

Ciaoz.-

Qui sotto metto il link per un iso di pf 1.2.1 test basata su FreeBSD 6.3

http://cvs.pfsense.org/~sullrich/pfSense.iso

Ciaoz.-

PS: la stò provando mentre scrivo il post :D  ::)

@fscorziello:

Ciao Matteo , anche io riuscivo a bloccarlo con snort . Il problema che ho riscontrato è questo :
Quando snort intercetta la richiesta di login del client Skype genera l'alert e automatiamente blocca l'offender , peccato che nel mio caso quando bloccava il client non gli permetteva di andare su internet solo di vedere la rete locale.
Con quale versione di snort hai risolto il problema ?
Hai usato qualche configurazione particolare ?

Saluti

A dire il vero non ho rilevato alcun problema particolare … ho usato il pacco che viene giù direttamente dalla GUI di pf. Mi sono registrato su snort, ho seguito le "mitiche" istruzioni raccatta nella rete e fine. Problemi particolari non ne ho riscontrati (e tutt'ora non ne riscontro).

Ciaoz.-
Matteo

@Delfino:

Buongiorno,chiedo consiglio perchè non riesco a venirne fuori:
ho installato una macchina con 3 schede ethernet pci ed una integrata….mi riconosce solo le tre pci.
Come faccio a farla riconoscere?suggerimenti??

grazie

dacci maggiori info sulla scheda che non riconosce…

Si e una "port forwarding" e puoi creare con la graffica.

La regola uguale in pf e rdr on $wan proto tcp from any to $wanip port $port -> $internal_ip port $internal_port

Ma omuncue puoi farlo con la graffica semplicemente.

Quando WCCP si puo fare da command line e non so perche il bounty no e stato finito.
Per recordo, if_gre(4) if FreeBSD suporta WCCP[1,2] quindi questo e possibile da configurare.

Ermal

P.S. scussate ma sonno capitato di caso, ma e tempo che non schrivo l'italiano :)

ciao mascaos, ho provato e riprovato come hai detto per limitare la banda, ma ho ancora un problema, la banda mi viene limitata, ma non per singolo utente.. io ho una 20 mega e voglio limitare la bada ad 1 mega per client.. invece io sono riuscito solo a limitare la banda a un mega che poi si dividono tutti gli utenti.. allora uso il captive portal interno di pfsense, il server ha due schede di rete una wan, dove poi e collegato un modem eternet, e una lan dove e collegato un acces point. come dhcp uso sempre pfsense..
poi il mio secondo problema è evitare che tutti i client vadano in rete tra di loro, devono avere solo l'acesso ad internet.. spero di essere stato chiaro,grazie x un vostro aiuto..