https://forum.pfsense.org/index.php?topic=69295.msg405783#msg405783

https://forum.pfsense.org/index.php?topic=71931.msg414183#msg414183

Resuelto:
Bueno, les cuento que tengo exactamente el mismo problema, con la version 3.1.20 de Squid. Por bugs de versiones mas recientes que me afectan en otras areas, no puedo salir de esta (tema para otro topic)
Lo que hice fue setear en mi servidor DNS (Windows) los DNS de google como opcion primaria y los de mi ISP como secundaria. Automaticamente, salió andando Facebook y otras paginas con problemas.
No llego a entender del todo que estaba pasando, pero algo en esta version no funciona bien con IPlan.
DNS Google:
8.8.8.8
8.8.4.4

Espero ayudar a alguien con esta info.

saludos, no la menos con Pfsense asi como lo planteas,

como cuentanos como te fue porfavor

These devices are a nightmare. Many different versions.
This is the section in Spanish. Please, you should go to the general section in English. Thanks!
Spanish Moderator

Estos equipos son una pesadilla. Muchas versiones distintas.
Esta es la sección en castellano. Por favor, deberías ir a la sección general en inglés. ¡Gracias!
Moderador del foro en castellano

Me parece que te hace falta una segunda fase 2 que indique que el trafico de la red de la DMZ y que va para la red remota se va a ir encriptada por la VPN.

Pero cual fue la conclusion ?

Que reglas del traffice shaping son las que afectan el comportamiento ?

Claro! Se preguntó por una solución (acceso webgui por wan) y estamos brindando otra (acceso VPN) pero a groso modo, ambas situaciones son de acceso remoto ;)

Y para ambas, el tema de las direcciones ip y redireccionamiento de puertos, es la misma historia.

Buen dia, veamos si llegamos a alguna solucion, pruebas basicas, Funciona Squid sin Squidguard? Tira el mismo error? estan las shalalalist actualizadas?.
ahora con eso que ya revisamos, Desinstalaste el Squid y se borraron las configuraciones? Reinstalaste y reconfiguraste? Revisaste los logs de squidguard? los del Squid?  con la info que encontre no se me ocurre mas que realizar esas pruebas y cualquier cosa publica posible solucion si arranca, sino un poco mas de info de lo que configuraste no vendria nada mal :)

Error (1): Cannot get data. Server answered: HTTP/1.1 403 Forbidden ese error me aparece tambien cuando voy a la parte de proxy state, pero refrescas y vas a la pagina ligtsquid report, la pagina y los reportes estan todos y cada uno de ellos

pregunta de curioso, no tenes otro forward al mismo puerto?

Tienes razon "mejor que sobre "
La decicios de hacer esto es mas por el firewall, haproxy, y una conexion de alta velocidad en la LAN que por otras cosas.
Tambien por que el commtrend de telefonica s una caca  ;D
El pc no sale tan caro 294 Euros sin tarjeta de red que por si sola esta entre 100 -170 euros . Pero esto me da posibilidad de ampliacion en un futuro o reutilizar el sistema por otra cosa.
Para el trafico lo que ahora tengo : video en streaming en 2-3 pc, un servidor de cloud con seafile, un servidor web (hay que tener proteccion), en un futuro entre 10-50 sensores conectados a wifi en la red LAN.

Resuelto!

Cambie la configuración del servidor a TCP en vez de UDP, según leí algunos enrutadores no son capaces de enrutar bien el trafico de retorno para el protocolo UDP.

Cambie la configuración a TCP y funciona sin problemas.

Estimado sclavijo, la configuración del servidor es tal cual la que aparece en la documentación, ya he trasteado algo con esto ;)

Gracias!

https://doc.pfsense.org/index.php/Reset_States

https://doc.pfsense.org/index.php/Firewall_Rule_Troubleshooting

Gracias Chicos, funciono a la primera. Juro que ayer intente lo mismo pero no me funciono pensé que estaba perdido.

MIL GRACIAS!

Asi como veo tus reglas dicen esto:

Cualquier IP que toque tu LAN, ya sea interna o externa puedo accesar a los puertos 110/587 en tu LAN, entonces tienes un servidor de correo interno?

Si es al reves y quieres que tus usuarios en tu LAN puedan salir a internet y accesar a su correo en gmail, hotmail, etc, etc, ya que tu servidor de correo es externo.

source: de donde inicia la comunicacion y destination hacia donde quieres que llegue.

Es basico y en la doc viene explicado esto, saludos.

250 usuarios, 10GB CACHE, se me hace muy poco.
  Yo lo incrementaria si puedo mas, mientras mas espacio mejor, ese cache se movera mucho.
  SquidGuard se basa mucho en RAM por ello es rapido, por default acepta 5 conexiones simultaneas, tu requeriras mas, ya que desconozco si eso 250 usuarios podran estar saliendo a Internet al mismo tiempo?
  Por cada conexion este carga su BD y esta se va a RAM, si lo tienes en prueba checa los procesos de este y observa la cantidad de RAM que consume cada instancia corriendo y asi tendras una idea de si tu sistema
  requerira mas RAM.
  De una vez preparalo, ya que lo unico que pasara es que a unos deje navegar y otros los rechace cuando su cantidad de conexiones sea rebasada y a incrementarlo en la config.
  Ya que a squid le daras otro pedazo, este no es tan tragon como su amigo, pero no tienes mucho para donde moverte.
  Recuerda que tu dns resolver debe trabajar sin problemas es clave.
  Saludos.

Antes que nada…recordaste configurar el proxy EN EL SKYPE?

--

En un squid.conf en debian, lo hice del siguiente modo. Ajustar según las necesidades! No copiar y pegar si no se está seguro de lo que se hace.

Supongo que hay una o más ips que pueden usar skype. Lo englobo en el ejemplo dentro de "ip_permitida"

acl skype src "ip_permitida" acl numeric_ips dstdom_regex ^(([0-9]+.[0-9]+.[0-9]+.[0-9]+)|([([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?])):443 acl skype_ua browser ^skype acl validuseragent browser \S+ http_access deny numeric_ips !skype http_access deny skype_ua !skype http_access deny !validuseragent !skype

En caso de que quieras bloquearlo para todos

acl numeric_ips dstdom_regex ^(([0-9]+.[0-9]+.[0-9]+.[0-9]+)|([([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?])):443 acl skype_ua browser ^skype acl validuseragent browser \S+ http_access deny numeric_ips all http_access deny skype_ua all http_access deny !validuseragent all

Cuidado, puede llegar a bloquear todos las ips en puerto 443

Saludos!!

Saludos mi estimado las descargas de gestores de descargas son directas es decir en tal sentido seria un poco mas complicado poder limitar la forma en que conecta estos tipos de software directamente, en su caso especifico trabajar como limiters seria la solucion definitiva a su inconveniente.

Establace planes en cuanto a velocidad asignadas a su clientes por grupos o lo que mas se adapte a su necesidad y con esto tiene.

Estamos a su orden

vale gracias por la aclaracion acriollo