Capacidade PFSENSE e Versão mais Estavel
-
Boa noite, estou a 3 dias tentando fazer funcionar squid + squidguard + AD + traffic shaper .
Segui diversos tutoriais e nada não autentica o usuário, e o traffic shaper termino o wizard ele trava toda a navegação.Antes de continuar na saga gostaria de saber se vale a pena todo esforço.
Tenho 4 interfaces wan, 1 lan e 4 vlans
500 usuarios
Com um trhougput de 5GB/s por interface.1- PFSense vai aguentar ?
2- Algum Tunning recomendado para que a navegação seja satisfatória?Com o proxy creio que vou economizar muito da placa indo e voltando com requisições.
Um bom cache de DNS tbm evitando tantas consultas.
E o QoS para priorizar o que realmente é importante devem me dar uma qualidade de navegação e gerencia.Por ultimo se alguém tiver algum cenário parecido e puder me ajudar com o caminho das pedras agradeço.
Uso a versão 2.3.2 (mas estou desistindo pois a interface trava do nada, regras por alias não estao funcionando e outros probleminhas)
Obrigado
-
Ninguem ….????
-
Vamos ver se posso te ajudar..
Boa noite, estou a 3 dias tentando fazer funcionar squid + squidguard + AD + traffic shaper .
Segui diversos tutoriais e nada não autentica o usuário, e o traffic shaper termino o wizard ele trava toda a navegação.Qual típo de autenticação? SSO com PF2ad? Ou apenas integrando o squid e mudando o método de autenticação pra ldap? As duas opções funcionam muito bem.
Sobre o traffic shapper, concordo que ele nao é tao lindo quanto apresenta o wizard, por esse motivo só uso o 'limiter' (q nao é exatamente a mesma coisa).Antes de continuar na saga gostaria de saber se vale a pena todo esforço.
Tenho 4 interfaces wan, 1 lan e 4 vlans
500 usuarios
Com um trhougput de 5GB/s por interface.
1- PFSense vai aguentar ?
2- Algum Tunning recomendado para que a navegação seja satisfatória?trhougput de 5GB/s por interface?? Pauleira hein.. Existem alguns tunning sim, inclusive na documentação oficial –> https://doc.pfsense.org/index.php/Tuning_and_Troubleshooting_Network_Cards
Particularmente nunca precisei usar.
Com o proxy creio que vou economizar muito da placa indo e voltando com requisições.
Um bom cache de DNS tbm evitando tantas consultas.
E o QoS para priorizar o que realmente é importante devem me dar uma qualidade de navegação e gerencia.Sinceramente nao uso proxy com cache pq, pelo que li, ele não é tão eficiente pela natureza dinâmica da maioria das páginas atuais. Além disso sempre tive um ou outro probleminha e como meus links sao rápidos, larguei de mão de cache.
Por ultimo se alguém tiver algum cenário parecido e puder me ajudar com o caminho das pedras agradeço.
No meu ambiente + complexo tenho um pfsense(físico) rodando num dell com 32Gb de RAM, 8 cores e 320GB de HD SAS em RAID5 e 4 interfaces gigabit. Ele é router e UTM do datacenter. Link de 1GB. Antigamente utilizávamos um sonicwall nsa 5500, mas migramos pro pfsense devido ao custo de renovação das licenças do sonic.
Os principais pacotes instalados são Snort (com IPS habilitado) e o Pfblocker.
Ta atendendo bem…Uso a versão 2.3.2 (mas estou desistindo pois a interface trava do nada, regras por alias não estao funcionando e outros probleminhas)
ObrigadoDesconheço problemas de aplicação de regras por alias. Tenho 18 pfsenses rodando e não percebi esse erro, porém o travamento da webgui ocorreu algumas pouquíssimas vezes. E sempre que ocorre reinicio os serviços via console.
-
Ldap default do sistema. Não consigo autenticar ele, fica recursivamente solicitando senha e não navega.
No limiter consigo limitar banda por maquina ou por site? por exemplo cada maquina ter 2 mb na porta 80 e youtube 512kb?
Os meu hardware é 1/3 do seu mas mantem processamento e memoria com baixo consumo, o que eu queria é priorizar alguns acessos, bloquear stream e um firewall muito simples.
No 2.3.2 a interface fica MUITOOOOOO lenta e trava, reinicio via console e tento acessar por exemplo o DHCP server, fica uns 10 minutos pensando, carrega a pagina quando vou adicionar um ip, mais 10 min e trava.
Tem algum tutorial do squid + squidguard + AD 2008 R2?
Obrigado pela ajuda
-
Ldap default do sistema. Não consigo autenticar ele, fica recursivamente solicitando senha e não navega.
Verifique se você consegue pingar seu domínio AD. (ex: empresa.local) Coloque o IP do AD no dns do pfsense. Eu mesmo, pra evitar problemas, desativo a função de dns-server do pfsense e deixo tudo pro WindowsServer.
Sempre deixe seu firewall aberto e só feche depois que tudo funcionar.
No limiter consigo limitar banda por maquina ou por site? por exemplo cada maquina ter 2 mb na porta 80 e youtube 512kb?
Por máquina: tenho certeza que sim
Por site: acho que sim.Os meu hardware é 1/3 do seu mas mantem processamento e memoria com baixo consumo, o que eu queria é priorizar alguns acessos, bloquear stream e um firewall muito simples.
No 2.3.2 a interface fica MUITOOOOOO lenta e trava, reinicio via console e tento acessar por exemplo o DHCP server, fica uns 10 minutos pensando, carrega a pagina quando vou adicionar um ip, mais 10 min e trava.Essa demora nao é normal. Você fez instalação limpa? Pode ser relacionado ao problema de autenticação do squid talvez.
Tem algum tutorial do squid + squidguard + AD 2008 R2?
Obrigado pela ajudaNão tenho
Outra coisa. Na parte 'Sticky Topics' do forum dicas interessantes. Da uma olhada lá. Algumas coisas antigas, mas vale a pena olhar.
Ex: https://forum.pfsense.org/index.php?topic=8930.0 -
Instalação limpa e restore apenas do DHCP funcional por 2 semanas.
A interface "voltou" a funcionar, desativei a parte de System => users manager que tinha habilitado para testar a comunicação com o AD.
Vou tentar com uma VM agora PF2AD e retorno.
Quanto ao limitador tenho de criar uma regra pra cada IP? sim são todos fixos no dhcp.
vi que tem outro topico sobre isso do @diego25 https://forum.pfsense.org/index.php?topic=113455.0 mas ainda sem solução.
-
Instalação limpa e restore apenas do DHCP funcional por 2 semanas.
A interface "voltou" a funcionar, desativei a parte de System => users manager que tinha habilitado para testar a comunicação com o AD.Isso ocorre pq o pfsense nao ta achando seu AD. Pro squid autenticar, nao precisa de configurar isso ai nao… Essa config vc precisará caso seja necessário: deixar os usuários do AD autenticar no pfsense(GERENCIA). Ou entao se vc for criar conexao openvpn cliente-to-server.
Vou tentar com uma VM agora PF2AD e retorno.
Funciona bem. Procura o grupo pf2ad no facebook que o mantenedor do código ta lá..
Quanto ao limitador tenho de criar uma regra pra cada IP? sim são todos fixos no dhcp.
vi que tem outro topico sobre isso do @diego25 https://forum.pfsense.org/index.php?topic=113455.0 mas ainda sem solução.Nao precisa criar um por IP. Crie um ALIAS de Ip's e aplique o limiter.
-
Martin boa noite,
o problema da demora para a interface o web responder, tenho 99% de certeza que é por causa da sua autenticação via AD, eu tive um problema desses quando um AD de um cliente parou de autenticar e o pfsense validava as conexões por ele… se puder postar as configurações utilizadas no seu proxy para conexão com AD. Se não quiser colocar os ips reais, coloque ips simbolicos para que possa entender como configurou...
Outra coisa, seu AD é pelo windows ou Samba?
-
Atualizando….
Virtualbox somente LAN
PFsense 2.3.2 (2.3.1+update)
Squid3 0.4.22
SquidGuard 1.14_3shallalist ==> http://www.shallalist.de/Downloads/shallalist.tar.gz
PF2AD ==> http://pf2ad.mundounix.com.br/pt/index.html
AD Windows 2008 R2
Grupos Autenticadoswpad no ngix (80%) não sobe a instancia da porta 80 no iniciar e tirou as paginas de erro do ar... estou trabalhando nisso
WEBPROXY 100% funcional obrigado rlrobs pela indicação do pf2ad e parabens ao desenvolvedor.
joaobrn acho que te respondi tbm certo?
Migrarei na quinta e se tudo correr bem vou fazer um tutorial.
Na próxima semana monto uma maquina fisica de testes e vou subir Captive portal para rede convidados e testar o limitador de banda e QoS para priorização dos serviços.
Obs. Estas configurações que eu postei no inicio foram aplicadas em um Mikrotik RB750 no intervalo de tempo das respostas dos senhores pois estava em duvida em manter um servidor ou comprar um aplliance.
FailOver
Captive Portal autenticado no AD via RADIUS
Controle de Banda por grupo de Usuario
Controle de Banda por dominio
QoS priorizando portas ou dominios -
Não sei se você viu os videos do Gustavo (desenvolvedor do pf2ad), mas ele fala do uso de recurso. O pf2AD é pesado, aliás, nao ele, mas o ntlm da microsoft. Acompanhe isso no seu ambiente.
Sobre o captive portal você terá problema se for querer integrar ao squid e logar os acessos por usuário. Terá que modificar o helper check_ip.php (aqui na lista tem o código completo corrigido.)