Ho altre 2 domande:

come hai configurato i GW nelle rispettive ETH, se li hai configurati ? La NAT come l'hai configurata?

Ciaoz.-

Matteo

Lavorando con materiale embedded tipo WRAP ed altro ho avuto simili difficoltà … in linea di massima ho risolto così:

http://forum.pfsense.org/index.php/topic,7676.0.html

Poi da quell'installazione mi sono creato un immagine tramite un installazione ad ok di FreeBDS.

Ora uso quell'immagine per fare quello che mi serve. (ovviamente l'immagine ha una dim. fissa … unico neo ... però con dd o altri prg si aggira in modo semplice.)

Ovviamente il post l'ho immaginato per un installazione su una CF o una chiave ma funziona anche per un HDD.

Ciaoz.-

Grazie , proverò a cambiare scheda di rete , speriamo bene .
Saluti

Ad oggi credo proprio che con pf non puoi fare quello che chiedi.

Ciaoz.-

Matteo

@mascaos:

Se qualche altro ha trovato soluzioni migliori bene …

se autorizzi per il tuo hotspot il solo traffico http, basta il proxy trasparente di pf sull'interfaccia dove hai attivato il cp, nessuno può sfuggirgli ;)

grazie mille delle dritte e della disponibilità

@bruno:

@brainout:

funziona tutto regolarmente e vorrei completare la configurazione esponendo pubblicamente due server che ho sulla lan
per motivi di praticita' ho abbandonato l'idea della DMZ, ma non e' detto che ritorni a considerarla.

la dmz serve proprio nelle situazioni come la tua, in cui devi esporre dei servizi all'esterno ma vuoi comunque proteggere la tua LAN per non rischiare di compromettere tutto il resto, visto che poi hai quattro schede di rete e da quanto sembra ne usi solo 2 (LAN e WAN) è un peccato non usare le altre, no?

sono d'accordo con te, ma proprio nella documentazione di monowall, a cui si riferisce pfsense, ho notato una postilla, ma e' possibile che non abbia ben capito (dato il mio scarso livello di conoscenza dell'inglese), dove sostiene che un server esposto in dmz che in qualche modo comunichi con la lan e' unless inutile.

Concettualmente comprendo questa filosofia, se lasci aperto anche solo una delle 65000 porte l'attacco passa da li

magari le altre due porte le dedico ad un load balance

@brainout:

I due server devono essere raggiunti sia dalla lan con tutti i servizi che dall'esterno con i medesimi servizi (sono server sia di produzione che di test)

se posso, di che servizi si tratta? se è un server web, è inutile il nat 1:1, è meglio fare il port forwarding delle porte che ti occorrono veramente, tipo 80 e 443.

un server e' un DNS secondario, relay di posta secondario ed altri servizi "di back up" vari,
l'altro server e' un application server che puo' tranquillamente avere aperto solo la 80 come dici giustamente tu

ciao!

PS il dato che mi manca per la soluzione al mio problema era la configurazione del virtual Ip.
Credevo che tale opzione fosse riferita solo ai casi in cui non si ha a disposizione IP Pubblici reali, invece ora, avendo configurato la sezione virtual ip, funziona tutto come un orologio svizzero

io utilizzo openvpn perchè i miei box pfsense sono dietro ad altri router e quindi non sono
riuscito a mettere in piedi una vpn in ipsec(credo per il discorso nat).
Quello che volevo sapere è se conviene utilizzare openvpn o ipsec ?
quali sono i pro e i contro ?

Mi rispondo da solo per la domanda fatta sopra:

ho chiuso tutto il traffico tcp/udp e quindi non aggiornava e vedeva la lista dei pacchetti.

Ora vi chiedo: basta lasciare aperta la porta 80 per vedere e installare i pacchetti??

Ho provato e riprovato per ore con i tuoi files. Ho anche reinstallato tutto ma non funziona nulla.

Grazie lo stesso cerco di risolvere in altro modo.

@Zanotti:

Purtroppo non ho moltissimo tempo per rifare la configurazione intera. Provo ad allegare i miei files di configurazione con la raccomandazione di studiarli un attimo prima di applicarli su di una installazione. "Dovrebbero essere corretti" a prima vista sono i backup della macchina dove avevo messo in hotspot l'access point Netgear. I file allegati sono degli xml a cui ho dovuto rinominare l'estensione per allegarli. Occhio, vanno rinominati in .xml

Spero quanto prima di mettere anche gli screenshot.

Dai un occhiata qui http://forum.pfsense.org/index.php/topic,8248.msg48122.html#msg48122

Ho postato la mia configurazione per quanto riguarda il captive portal, il portforwarding per squid e le regole di firewall. Poi dimmi se vanno bene per te.

ok , ho trovato i pacchi in system->packages

grazie

Fatti vivo su msn … devo farti delle domande in tempo reale.

In primo luogo ... sul server A (pf) ci sono 3eth gisuto ?
Immagino una LAN + una WAN + una OPT

Poniamo che l'OPT sia quella che usi per Server B tu da LAN 192.168.1.10 vuoi pingare 10.0.0.2 gisuto ?
Immagino di si ... ma così come l'hai disegnato già dovrebbe andare in quanto il tuo dgw già vede le lan a cui tu vuoi arrivare ... ovviamente se hai messo nelle regole di opt una regola che lasci passare il traffico della lan verso questa interfaccia.

L'altro mio dubbio è il cavo cross ... hai provato con uno switch in mezzo .. solo così a titolo di prova ... ho qualche dubbio nella mia mente pazza invasa dal VoIP e del Wireless :D :P !

Senti cercami in MSN ... devo fare delle domande in tempo reale ... altrimenti ci impieghiamo 30 post per arrivare alla fine.

Ciaoz.-

Belle domande che fai non ne ho la + pallida idea … ottimo faccio 2 exp.
In parole povere tu vorresti convertire l'iso in un usb avviabile giusto ?

Penso di si ... non dovrebbe essere impossibile ma devo vedere come fare dato che con iso di freebsd non ho mai provato e non so su che tools si basa. :D

Ciaoz.- alla prox.!

ciao

ti ho mandato una mail, grazie 1k!

Ad oggi il QoS "standard" in pf non c'è.
In effetti posso confermare che non è proprio il massimo della semplicità ma se ci smanetti un pochino dovresti prenderci mano … io ciò messo un paio di mesi per riuscire a prenderci confidenza.

Ciaoz.-

@bruno:

@firewall:

Inoltre, ho notato che riesco a pingare il mio router (collegato sull'interfaccia WAN) da qualsiasi computer della LAN.
Ma non deve essere cosi di default, o mi sbaglio? In pratica, in questo modo tutti possono impostare come gateway direttamente il router e non passare per il firewall…

hai verificato solo il ping e ipotizzato la possibilità di uscire direttamente via router cambiando gw o è davvero così?
dubito che il tuo client (con ip privato) abbia idea di come raggiungere il router (che avrà ip pubblico) senza un gateway appartenente alla stessa subnet della tua LAN per cui dovrebbe essere impossibile che funzioni.

si… la mia è stata un'ipotesi... comunque appena ho 10 minuti provo e aggiorno il topic...
grazie mille!!!

Come gia detto in altri post … prima di lasciare richieste così vaste date un occhio al resto del forum ... praticamente 4/5 di quello che chiedi è gia stato chiesto in altri Post (lo so per certo perchè in molti di quelli ho risposto pure io).

In ogni caso ... quello che chiedi di fare è perfettamente fattibile ovviamente basta un pochino d'impegno, una buona dose di pazienza e voglia di fare.

Per quanto concerne l'hw ti basta un pc con 3 sk di rete ( o 2 sk di rete rame + un wifi basata su chip atheros, nello specifico risparmieresti l'ap).

Per quanto concerne l'autentificazione puoi farlo con captive portal e radius o con ISA (Win2k3 + AD) qui c'è il link per un ottimo help http://pfsense.iserv.nl/tutorials/cp_config/radius_win2k3.htm

Sul captive portal ti consiglio di cercare qui e la sul forum, anche in ita trovi più di un post.

Che altro dire … be monta il PC, scarica l'iso installa e prova poi se ti blocchi a quel punto chiedi ... :D :P

Ciaoz.-

Matteo

Ho risolto tutto e spero che quello che riporto possa essere di aiuto ad altri.

le porte radius vanno cambiate nel file /etc/inc/vpn.inc il server RADIUS deve essere nella stessa rete del lato LAN di pfsense la subnet dei client PPTP funziona meglio se la si lascia in /28 (/etc/inc/globals.inc)

Grazie a tutti per il supporto!