Roteador Wifi + Pfsense
-
Bom dia, Amigos,
Estou com uma dúvida com relação ao proxy, tenho um squid3 funcionando na rede com squidguard, em modo transparente.
Meu pfsense faz o DHCP da rede e deixo a opção "Deny unknown clients" ativa OK.
Na rede tenho alguns roteadores wifi, onde cadastro o MAC da Wan no pfsense, ótimo a conexão wan no roteador funciona, pc's na rede do roteador acessam skype e acessam sites HTTPS, porém o demais mas não navegam ficam tantando conexão e da erro;
pus o IP Wan do roteador na ACL "Unrestricted IPs" do proxy, não resolveu.
Só navegou quando eu pus o IP WAN do roteador "Bypass proxy for these source IPs" ou seja, por fora do proxy.
Gostaria de saber o que pode ser.
-
OBS: os roteadores Wifi fazem um DHCP para os clientes que conectam neles'
Outro detalhe que tenho Limiter configurado para os IPS Wan dos roteadores.
-
Se eu entendi bem a solução é simples.
seu pfsense distribui DHCP correto?
Então desabilite o DHCP do roteador.
deixe seu roteador com um ip fixo dentro da faixa de rede do PFsense. (para que vc consiga acesso para manutenção)
não ligue o cabo de rede na wan do roteador e sim na conexão LAN.pronto.
-
Se eu entendi bem a solução é simples.
seu pfsense distribui DHCP correto?
Então desabilite o DHCP do roteador.
deixe seu roteador com um ip fixo dentro da faixa de rede do PFsense. (para que vc consiga acesso para manutenção)
não ligue o cabo de rede na wan do roteador e sim na conexão LAN.pronto.
tenho roteadores wifi assim dentro da minha rede, ou seja, ele serve apenas de ponto de acesso, dai eu cadastro o MAC dos pc's que irão acessar a internet e os mesmos entram na mesma faixa de rede que utilizo na empresa.
Esses roteadores que tenho são para clientes ou seja, não quero que eles acessem minha rede, apenas a internet, por isso cadastrei apenas o MAC da Wan do roteador wifi.
-
não quero que eles acessem minha rede, apenas a internet, por isso cadastrei apenas o MAC da Wan do roteador wifi.
Se não isolou em um segmento específico, esta só "dificultando o acesso".
-
não quero que eles acessem minha rede, apenas a internet, por isso cadastrei apenas o MAC da Wan do roteador wifi.
Se não isolou em um segmento específico, esta só "dificultando o acesso".
Concordo plenamente.
Se você quer isolar os clientes o mais recomendado é ter 2 placas de rede, uma para uso da rede local e outra apenas para dar acesso aos clientes sem ter acesso a rede local.
outra coisa..
não rede exclusiva para clientes, ative o captive portal e forneça vouchers com limitação de tempo de uso.
-
Outro ponto é mascarar os acessos clientes atrás de um mac e um ip de roteador wifi. Isso prejudica as regras e os logs.