Roteador Wifi + Pfsense



  • Bom dia, Amigos,

    Estou com uma dúvida com relação ao proxy, tenho um squid3 funcionando na rede com squidguard, em modo transparente.

    Meu pfsense faz o DHCP da rede e deixo a opção "Deny unknown clients" ativa OK.

    Na rede tenho alguns roteadores wifi, onde cadastro o MAC da Wan no pfsense, ótimo a conexão wan no roteador funciona, pc's na rede do roteador acessam skype e acessam sites HTTPS, porém o demais mas não navegam ficam tantando conexão e da erro;

    pus o IP Wan do roteador na ACL "Unrestricted IPs" do proxy, não resolveu.

    Só navegou quando eu pus o IP WAN do roteador "Bypass proxy for these source IPs" ou seja, por fora do proxy.

    Gostaria de saber o que pode ser.



  • OBS: os roteadores Wifi fazem um DHCP para os clientes que conectam neles'

    Outro detalhe que tenho Limiter configurado para os IPS Wan dos roteadores.



  • Se eu entendi bem a solução é simples.

    seu pfsense distribui DHCP correto?
    Então desabilite o DHCP do roteador.
    deixe seu roteador com um ip fixo dentro da faixa de rede do PFsense. (para que vc consiga acesso para manutenção)
    não ligue o cabo de rede na wan do roteador e sim na conexão LAN.

    pronto.



  • @guitarcleiton:

    Se eu entendi bem a solução é simples.

    seu pfsense distribui DHCP correto?
    Então desabilite o DHCP do roteador.
    deixe seu roteador com um ip fixo dentro da faixa de rede do PFsense. (para que vc consiga acesso para manutenção)
    não ligue o cabo de rede na wan do roteador e sim na conexão LAN.

    pronto.

    tenho roteadores wifi assim dentro da minha rede, ou seja, ele serve apenas de ponto de acesso, dai eu cadastro o MAC dos pc's que irão acessar a internet e os mesmos entram na mesma faixa de rede que utilizo na empresa.

    Esses roteadores que tenho são para clientes ou seja, não quero que eles acessem minha rede, apenas a internet, por isso cadastrei apenas o MAC da Wan do roteador wifi.



  • @Robsonsb:

    não quero que eles acessem minha rede, apenas a internet, por isso cadastrei apenas o MAC da Wan do roteador wifi.

    Se não isolou em um segmento específico, esta só "dificultando o acesso".



  • @marcelloc:

    @Robsonsb:

    não quero que eles acessem minha rede, apenas a internet, por isso cadastrei apenas o MAC da Wan do roteador wifi.

    Se não isolou em um segmento específico, esta só "dificultando o acesso".

    Concordo plenamente.

    Se você quer isolar os clientes o mais recomendado é ter 2 placas de rede, uma para uso da rede local e outra apenas para dar acesso aos clientes sem ter acesso a rede local.

    outra coisa..

    não rede exclusiva para clientes, ative o captive portal e forneça vouchers com limitação de tempo de uso.



  • Outro ponto é mascarar os acessos clientes atrás de um mac e um ip de roteador wifi. Isso prejudica as regras e os logs.