Proxy+Relatorio lightsquid na rede interna



  • Boa tarde,

    tenho a seguinte situação:

    Modem Link internet > Servidor Fw PSsense (proxy + lightSquid) > Servidor Windows Server 2003 (rede, AD) > REDE INTERNA

    No LightSquid consigo apenas ver os acessos que saem pelo servidor, claro, o servidor faz o roteamento para a rede interna, sendo assim, teria alguma forma de reconhecer dentro da rede interna quem faz o acessos aos sites demonstrados no relatorio. No gancho como fazer o controle de banda ou da black list por exemplo nos ips da rede interna sendo que é o servidor que fornece a internet.

    Alguem pode me ajudar?




  • Por que não deixar o pfSense servir a rede interna? Acho muito esquisita essa sua configuração e não consigo ver o motivo disso.



  • @johnnybe:

    Por que não deixar o pfSense servir a rede interna? Acho muito esquisita essa sua configuração e não consigo ver o motivo disso.

    Deixei para manter o active diretory, e os ips fixos das maquinas na rede interna.



  • @Robsonsb:

    Deixei para manter o active diretory, e os ips fixos das maquinas na rede interna.

    Isso não me convence. Por favor, não veja como crítica mas como recomendação. Deixe seu AD fornecendo DNS e DHCP, e reconfigure o pfSense pra servir a rede interna e também a internet.
    Em todos meus clientes com AD, a rede funciona muito bem dessa forma:
    1- Win server com AD, servindo DNS e DHCP
    2- Gateway IP do pfSense



  • @johnnybe:

    @Robsonsb:

    Deixei para manter o active diretory, e os ips fixos das maquinas na rede interna.

    Isso não me convence. Por favor, não veja como crítica mas como recomendação. Deixe seu AD fornecendo DNS e DHCP, e reconfigure o pfSense pra servir a rede interna e também a internet.
    Em todos meus clientes com AD, a rede funciona muito bem dessa forma:
    1- Win server com AD, servindo DNS e DHCP
    2- Gateway IP do pfSense

    Ótimo Johnnybe,

    Capaz, sem problemas, obrigado pela recomendação, farei uma reestruturação em breve aqui na empresa (Aquisição de novo servidor) daí acredito que farei dessa forma.

    Obrigado,



  • Olá,

    Vou ser mais incisivo do que o Johnnybe.

    Essa topologia não é interessante a menos que você possua algum sistema que te obrigue a fazer com que o servidor Windows seja o Gateway da rede, e essa situação é bem rara, pelo menos pela minha experiência.

    Não há ganho de segurança nem alguma obrigação de funcionalidade para tal, pelo contrário, você corre o risco de, caso um problema ocorra nesse Servidor Windows, ficar sem o dominio e também sem internet.

    VocÊ pode configurar o PFSense direto na rede, colocando-o como gateway nos computadores, DNS primário seria seu controlador de dominio, DHCP poderia ser um Roteador, seu PFSense e até mesmo o Windows Server, eu recomendo no PFSense.

    Essa mudança de topologia não é o bicho de sete cabeças que parece, também resolveria seu problema com os Logs do Squid. Diminuiria sua latencia na conexão de internet, usaria menos recursos do servidor, enfim, há uma série de vantagens.

    Se você possui alguma aplicação que está instalada no Windows Server e precisa ser acessada remotamente, também é fácil resolver, basta redirecionar as pastas necessárias usando o NAT Port Forwarding.

    Se precisar de ajuda com a mudança, estamos aqui  ;D



  • @LFCavalcanti:

    Olá,

    Vou ser mais incisivo do que o Johnnybe.

    Essa topologia não é interessante a menos que você possua algum sistema que te obrigue a fazer com que o servidor Windows seja o Gateway da rede, e essa situação é bem rara, pelo menos pela minha experiência.

    Não há ganho de segurança nem alguma obrigação de funcionalidade para tal, pelo contrário, você corre o risco de, caso um problema ocorra nesse Servidor Windows, ficar sem o dominio e também sem internet.

    VocÊ pode configurar o PFSense direto na rede, colocando-o como gateway nos computadores, DNS primário seria seu controlador de dominio, DHCP poderia ser um Roteador, seu PFSense e até mesmo o Windows Server, eu recomendo no PFSense.

    Essa mudança de topologia não é o bicho de sete cabeças que parece, também resolveria seu problema com os Logs do Squid. Diminuiria sua latencia na conexão de internet, usaria menos recursos do servidor, enfim, há uma série de vantagens.

    Se você possui alguma aplicação que está instalada no Windows Server e precisa ser acessada remotamente, também é fácil resolver, basta redirecionar as pastas necessárias usando o NAT Port Forwarding.

    Se precisar de ajuda com a mudança, estamos aqui  ;D

    Hum, mais/menos acho que te entendi,

    Sim, meu windows server também é servidor de arquivos.

    Outra pergunta, posso manter a faixa de ip's fixo que tenho na rede interna !?

    tem um outro porém, minha empresa está localizada em um centro unificado de fronteiras, onde a mesma possui um sistema no qual minha empresa possue também e precisa fazer a conexao com o banco de dados desse sistema, ou seja, minha rede interna também acessa.

    Como ficaria a minha situação?



  • @Robsonsb:

    @LFCavalcanti:

    Olá,

    Vou ser mais incisivo do que o Johnnybe.

    Essa topologia não é interessante a menos que você possua algum sistema que te obrigue a fazer com que o servidor Windows seja o Gateway da rede, e essa situação é bem rara, pelo menos pela minha experiência.

    Não há ganho de segurança nem alguma obrigação de funcionalidade para tal, pelo contrário, você corre o risco de, caso um problema ocorra nesse Servidor Windows, ficar sem o dominio e também sem internet.

    VocÊ pode configurar o PFSense direto na rede, colocando-o como gateway nos computadores, DNS primário seria seu controlador de dominio, DHCP poderia ser um Roteador, seu PFSense e até mesmo o Windows Server, eu recomendo no PFSense.

    Essa mudança de topologia não é o bicho de sete cabeças que parece, também resolveria seu problema com os Logs do Squid. Diminuiria sua latencia na conexão de internet, usaria menos recursos do servidor, enfim, há uma série de vantagens.

    Se você possui alguma aplicação que está instalada no Windows Server e precisa ser acessada remotamente, também é fácil resolver, basta redirecionar as pastas necessárias usando o NAT Port Forwarding.

    Se precisar de ajuda com a mudança, estamos aqui  ;D

    Hum, mais/menos acho que te entendi,

    Sim, meu windows server também é servidor de arquivos.

    Outra pergunta, posso manter a faixa de ip's fixo que tenho na rede interna !?

    tem um outro porém, minha empresa está localizada em um centro unificado de fronteiras, onde a mesma possui um sistema no qual minha empresa possue também e precisa fazer a conexao com o banco de dados desse sistema, ou seja, minha rede interna também acessa.

    Como ficaria a minha situação?

    Acho que @Robsonsb:

    @johnnybe:

    @Robsonsb:

    Deixei para manter o active diretory, e os ips fixos das maquinas na rede interna.

    Isso não me convence. Por favor, não veja como crítica mas como recomendação. Deixe seu AD fornecendo DNS e DHCP, e reconfigure o pfSense pra servir a rede interna e também a internet.
    Em todos meus clientes com AD, a rede funciona muito bem dessa forma:
    1- Win server com AD, servindo DNS e DHCP
    2- Gateway IP do pfSense

    Johnnybe,

    No caso agora, se eu quiser fazer assim como descreveu acima, posso fazer o seguinte, por um ip fixo da rede ad na placa Lan, e por o pfsense no switch da rede, e nas estações, por no gateway o ip do pfsense.

    Acredito que funcione

    Inclusive o gateway do servidor será o ip do pfsense? Correto?



  • @LFCavalcanti:

    Olá,

    Vou ser mais incisivo do que o Johnnybe.

    Essa topologia não é interessante a menos que você possua algum sistema que te obrigue a fazer com que o servidor Windows seja o Gateway da rede, e essa situação é bem rara, pelo menos pela minha experiência.

    Não há ganho de segurança nem alguma obrigação de funcionalidade para tal, pelo contrário, você corre o risco de, caso um problema ocorra nesse Servidor Windows, ficar sem o dominio e também sem internet.

    VocÊ pode configurar o PFSense direto na rede, colocando-o como gateway nos computadores, DNS primário seria seu controlador de dominio, DHCP poderia ser um Roteador, seu PFSense e até mesmo o Windows Server, eu recomendo no PFSense.

    Essa mudança de topologia não é o bicho de sete cabeças que parece, também resolveria seu problema com os Logs do Squid. Diminuiria sua latencia na conexão de internet, usaria menos recursos do servidor, enfim, há uma série de vantagens.

    Se você possui alguma aplicação que está instalada no Windows Server e precisa ser acessada remotamente, também é fácil resolver, basta redirecionar as pastas necessárias usando o NAT Port Forwarding.

    Se precisar de ajuda com a mudança, estamos aqui  ;D

    Lfcavalcanti,

    Tentei efetuar a mudança que comentou, deixando o pfsense diretamente na rede, deixando nas maquinas cliente o gateway e o dns primário o ip do pfsense, até aí tudo bem porém o servidor não esta conectando na internet.

    Configurações LAN pfsense:
    Ip 192.168.200.4

    Configurações servidor
    Ip 192.178.200.2
    Gateway 192.169.200.4
    Dns primário 192.168.200.4
    Sem conexão com a internet

    Configurações Pcs da rede: ip fixo
    Ip 192.168.200.5 - em diante
    Gateway 192.168.200.4
    Dns primário 192.168.200.4
    Dns secundário 192.168.200.2

    Pcs com conexão a net normalmente

    Obs. O servidor estava roteando internet, esqueci de algum detalhe? Como deixar o servidor como cliente da internet?



  • Bom dia!!
    Como ficou as opções de DHCP no Windows Server?



  • @helberttavares:

    Bom dia!!
    Como ficou as opções de DHCP no Windows Server?

    helberttavares,

    A princípio o serviço nao esta ativo, conf. Imagem




  • @Robsonsb:

    @helberttavares:

    Bom dia!!
    Como ficou as opções de DHCP no Windows Server?

    helberttavares,

    A princípio o serviço nao esta ativo, conf. Imagem




  • você autorizou o dhcp no seu ad?



  • @marcelloc:

    você autorizou o dhcp no seu ad?

    Não, pois utilizo ips fixos na rede.



  • @Robsonsb:

    Modem Link internet > Servidor Fw PSsense (proxy + lightSquid) > Servidor Windows Server 2003 (rede, AD) > REDE INTERNA
    o servidor faz o roteamento para a rede interna,

    Você já alterou isso???

    você esta fazendo nat no ad, por isso só aparece o ip do ad.

    ad não "nasceu" para ser gateway de rede, use o melhor de cada tecnologia.

    pfsense com firewall e gateway da rede e ad com ad,dns e dhcp( você consegue configurar o dhcp para entregar sempre o mesmo ip para cada máquina).



  • @marcelloc:

    @Robsonsb:

    Modem Link internet > Servidor Fw PSsense (proxy + lightSquid) > Servidor Windows Server 2003 (rede, AD) > REDE INTERNA
    o servidor faz o roteamento para a rede interna,

    Você já alterou isso???

    você esta fazendo nat no ad, por isso só aparece o ip do ad.

    ad não "nasceu" para ser gateway de rede, use o melhor de cada tecnologia.

    pfsense com firewall e gateway da rede e ad com ad,dns e dhcp( você consegue configurar o dhcp para entregar sempre o mesmo ip para cada máquina).

    Foi nessa mudança, deixando o pfsense na rede sem passar pelo servidor que nao consegui ter acesso a internet no servidor, nos Pcs funcionou, deixei o pfsense na mesma faixa de ip da rede e pus nos Pcs o pfsense como gateway e dns primário, maquinas na internet normal.
    No servidor, pus na placa de rede da rede interna o gateway ip do pfsense e dns e nao conectou a internet.



  • @Robsonsb:

    No servidor, pus na placa de rede da rede interna o gateway ip do pfsense e dns e nao conectou a internet.

    Desconfigure a outra placa de rede, deixe somente uma com o gateway apontando para o pfsense.



  • @marcelloc:

    @Robsonsb:

    No servidor, pus na placa de rede da rede interna o gateway ip do pfsense e dns e nao conectou a internet.

    Desconfigure a outra placa de rede, deixe somente uma com o gateway apontando para o pfsense.

    Sim, desativei a outra placa que fazia o nat, e tirei as configs dela, reiniciei o server e mesmo assim não consigo conectar.



  • @Robsonsb:

    Sim, desativei a outra placa que fazia o nat, e tirei as configs dela, reiniciei o server e mesmo assim não consigo conectar.

    veja via prompt de comando no windows com o comando ipconfig /all  ou um tracert -d 8.8.8.8 se ainda existe alguma coisa da configuração antiga aplicada.

    Você tem o isa, forefront, tmg ou qualquer outra destas "coisas" instaladas no seu ad?



  • @marcelloc:

    @Robsonsb:

    Sim, desativei a outra placa que fazia o nat, e tirei as configs dela, reiniciei o server e mesmo assim não consigo conectar.

    veja via prompt de comando no windows com o comando ipconfig /all  ou um tracert -d 8.8.8.8 se ainda existe alguma coisa da configuração antiga aplicada.

    Você tem o isa, forefront, tmg ou qualquer outra destas "coisas" instaladas no seu ad?

    A principio farei novamente as alterações sábado Pra nao parar o operacional da empresa. Farei os comandos que mencionou para ver as rotas.

    Quanto a isa, forefront, e tmg acredito que não estão instaladas.



  • @Robsonsb:

    @LFCavalcanti:

    Olá,

    Vou ser mais incisivo do que o Johnnybe.

    Essa topologia não é interessante a menos que você possua algum sistema que te obrigue a fazer com que o servidor Windows seja o Gateway da rede, e essa situação é bem rara, pelo menos pela minha experiência.

    Não há ganho de segurança nem alguma obrigação de funcionalidade para tal, pelo contrário, você corre o risco de, caso um problema ocorra nesse Servidor Windows, ficar sem o dominio e também sem internet.

    VocÊ pode configurar o PFSense direto na rede, colocando-o como gateway nos computadores, DNS primário seria seu controlador de dominio, DHCP poderia ser um Roteador, seu PFSense e até mesmo o Windows Server, eu recomendo no PFSense.

    Essa mudança de topologia não é o bicho de sete cabeças que parece, também resolveria seu problema com os Logs do Squid. Diminuiria sua latencia na conexão de internet, usaria menos recursos do servidor, enfim, há uma série de vantagens.

    Se você possui alguma aplicação que está instalada no Windows Server e precisa ser acessada remotamente, também é fácil resolver, basta redirecionar as pastas necessárias usando o NAT Port Forwarding.

    Se precisar de ajuda com a mudança, estamos aqui  ;D

    Lfcavalcanti,

    Tentei efetuar a mudança que comentou, deixando o pfsense diretamente na rede, deixando nas maquinas cliente o gateway e o dns primário o ip do pfsense, até aí tudo bem porém o servidor não esta conectando na internet.

    Configurações LAN pfsense:
    Ip 192.168.200.4

    Configurações servidor
    Ip 192.178.200.2
    Gateway 192.169.200.4
    Dns primário 192.168.200.4
    Sem conexão com a internet

    Configurações Pcs da rede: ip fixo
    Ip 192.168.200.5 - em diante
    Gateway 192.168.200.4
    Dns primário 192.168.200.4
    Dns secundário 192.168.200.2

    Pcs com conexão a net normalmente

    Obs. O servidor estava roteando internet, esqueci de algum detalhe? Como deixar o servidor como cliente da internet?

    Boa tarde,

    Estou com um problema ao mudar a tipologia.

    Hoje o servidor pfsense está entrando no servidor e roteando a internet para a rede interna até ai tudo bem.

    o servidor também faz o roteamento de outra rede 172.20.24.0/24 que é de onde vem um sistema externo para a minha rede acessar.

    pus outro pfsense no ip 192.168.200.13, e pus na rede interna esse ip como gateway, porém, o sistema que comentei acima não acessa.

    teria alguma regra/nat que eu possa utilizar aqui para que as maquinas consigam chegar no ip 172.20.24.0/24 que está chegando no servidor!?



  • @Robsonsb:

    teria alguma regra/nat que eu possa utilizar aqui para que as maquinas consigam chegar no ip 172.20.24.0/24 que está chegando no servidor!?

    Quando você usa o pfsense para filtrar redes locais, é praticamente mandatório desabilitar o nat automático e criar as regras de tradução de ip na mão. O nat automático faz nat de cada link que tem gateway, como ficou a configuração da suas interfaces?

    Normalmente nat só na interface de saída.



  • @marcelloc:

    @Robsonsb:

    teria alguma regra/nat que eu possa utilizar aqui para que as maquinas consigam chegar no ip 172.20.24.0/24 que está chegando no servidor!?

    Quando você usa o pfsense para filtrar redes locais, é praticamente mandatório desabilitar o nat automático e criar as regras de tradução de ip na mão. O nat automático faz nat de cada link que tem gateway, como ficou a configuração da suas interfaces?

    Normalmente nat só na interface de saída.

    O meu realmente está no automático. você diz as interfaces do servidor? ou do pfsense?



  • Brother….
    tenho a mesma topologia em um cliente...
    mas uma pergunta? pra que vc usa dhcp se vc sempre afirma que os ips são fixo...?
    outra coisa, deixa seu firewall ser o seu dhcp, dns e gw...
    minha rede no cliente com AD, fileshare e um NAS de 12 teras é assim:

    wan ----> x.x.x.x
    lan-----> 192.168.0.1
    GW, DNS, DHCP, squidligth com relatorio.
    entregando tudo para os 120 host na rede, meu AD duas placas de rede, ip fixo pra rede: 192.168.0.10, DNS meu fw, GW meu firewall, e  ip fixo na outra rede saindo para o NAS de 12 TERAS.
    meu squid com ligthsquid resolvendo por nome com relarotio.
    entra e saio da rede por wan, mas foi dificil configurar entrando por rdp pela wan no meu AD....!

    Não sei como é sua rede na verdade, mas os ips que vc colocou estão certos ou foi erro na hora de vc escrever o poste, por que pelo que percebi, por convenção e por padrão, não que tenha que ser assim, seu ip no seu servidor windows está diferente, meu professor sempre fala: "não sabe, pergunte ao gateway" seu windows server não está acessando a internet deve ser por que ele estava fazendo NAT e as confi devem ser refeitas.

    só minha opinião.



  • @johnnybe:

    @Robsonsb:

    Deixei para manter o active diretory, e os ips fixos das maquinas na rede interna.

    Isso não me convence. Por favor, não veja como crítica mas como recomendação. Deixe seu AD fornecendo DNS e DHCP, e reconfigure o pfSense pra servir a rede interna e também a internet.
    Em todos meus clientes com AD, a rede funciona muito bem dessa forma:
    1- Win server com AD, servindo DNS e DHCP
    2- Gateway IP do pfSense

    johnnybe,

    Não consegui deixar dessa forma.



  • Não conseguiu por que motivo? Seja mais claro, por favor.  :)



  • @johnnybe:

    Não conseguiu por que motivo? Seja mais claro, por favor.  :)

    Quando pus o GW o ip do pfsense na placa da rede interna do servidor o servidor ficou sem internet.

    Acredito que é pq ele é o gw de rede não sei como desabilitar essa opção.



  • Pessoal,

    Consegui fazer a internet funcionar no servidor, colocando o pfsense como gw no servidor.

    Ponho nas maquinas da rede interna o gw funciona também, porém, tem o sistema que chega na outra placa de rede Rede Mercovia(conf. imagens anteriores) o qual quando mudo o gw ele não acessa o sistema.

    Como faço esse apontamento/redirecionamento para acessar essa rede.



  • @Robsonsb:

    Como faço esse apontamento/redirecionamento para acessar essa rede.

    Com rotas estáticas nas estações ou no gateway.

    Se não souber o que são ou como criá-las, clique aqui.



  • Coloca mais uma placa de rede no teu pfSense (se não tiver mais slots usa uma intel dual port) e configura ela na rede que tem o teu sistema, libera o acesso da tua rede interna para a rede do sistema, coloca nas máquinas e servidor o pfSense como gateway e pronto, é só partir para o abraço!