@neriojcm:

quiero dar Internet a todas las maquinas pero sin que de ip a ellas osea que no este habitado el DHCP

Deshabilita el DHCP Server de pfSense y ya está.


De nada  ;)

Fíjate si puedes editar el Título del primer post y agregarle:  [Resuelto]

correcto estimados

amnarl y ptt

La url exacta es: https://www.telecreditobcp.com

Y sí, realice las pruebas que indico periko desactivando el squidguard y el problema aun persiste.

Ahora en la oficina tenemos 2 servicios de internet el principal lo tiene el pfsense, probando y buscando una salida agregue como dns adicional la puerta de enlace asignada a mi otro servicio de internet con eso se "soluciono" el problema.

Se que no es una solución real pero por el momento esta funcionando, esto mientras se termina otros temas que se están haciendo en la oficina y que no me dan tiempo para dar la real solución a este tema

Gracias por el apoyo con sus comentarios y consejos igual esto aun queda pendiente de solución.

Les comento como va.

Saludos

Lo que usualmente se hace es configurar el ESSI que tienes operando con una clave de autenticacion WPA o WPA2 , de otra manera si el ap no tiene autenticacion siempre asignara una IP.

La otra opcion es que habilites solo el DHCP para las ips que tu definas como fijas en el servidor de DHCP.

Saludos

https://forum.pfsense.org/index.php?topic=8988.0

Lo solucione apuntando a la ip real sin el nateo, debido a que no me funciono.
Muchas gracias por su tiempo

Saludos

https://forum.pfsense.org/index.php?topic=92632.0

@esva:

Squid no funciona con agrupamiento de puertas, pero revisando el tráfico de mis WAN encuentro que existe tráfico de entrada y de salida por ambas

Normal. Por squid sólo pasa la navegación web. Y según como lo tengas implementado puede que tampoco pase toda (si es transparente o no, si gestiona https o no…)

El tráfico que NO pasa por squid saldrá según las puertas que tengas puestas en las reglas que tengas en LAN.

Diagnostics - States filtrando por ESTABLISHED:ESTABLISHED te permitirá ver por donde van las conexiones (activas).

Ver imágenes

1. Define una Target Category y pon en ella el dominio a autorizar.

2. Pon la Target Category como Whitelist (lista blanca).

3. Aplica cambios.

1_target_categories.png
1_target_categories.png_thumb
2_common_acl_whitelist.png
2_common_acl_whitelist.png_thumb
3_apply_changes.png
3_apply_changes.png_thumb

En el caso de CANTV, al usar DHCP, la máscara de red bien podría ser cualquiera, ya que no hay más un túnel encapsulador. Y, efectivamente, CANTV, lejos de usar una máscara /32 o similar, usa una máscara /19 cuando entrega la IP, con lo que define una red de 8192 hosts.

…

La solución fue “hackear” la información de DHCP que entrega CANTV, y cambiar la máscara de red /19 por defecto a una /32. Al usar una máscara /32, achicamos la subnet a 1 solo host, y de esta forma, jamás un ADSL intentará salir por el otro, ya que sus redes nunca podrán solaparse, pues son demasiado chicas ahora, al punto de que en ellas cabe un solo host.

Me temía que había algo así. Por eso le pedí ifconfig y netstat -r

Siempre se ha dicho que pfSense es un enrutador (a menos que se use como puente) y que, por tanto, cada interfase debe pertenecer a una subred distinta.

Mi recomendación es dejar siempre los equipos de conexión del proveedor en modo enrutador y no en modo puente. De esta forma se separa claramente la parte del ISP de la propia. No es evidente que eso suponga menor rendimiento ni tampoco que el doble NAT sea un problema. Para mi es una seguridad más y queda todo mucho más claro.

@Arpia:

Cordial saludo,

Soy un novato en pfsense y serìa de gran ayuda cualquier opinion sobre lo que me sucede.

comencé a implementar un router/firewall para mi hogar, y opte por pfsense porque me parece el mejor segùn mis necesidades.
El equipo cuenta con una Board ASus M4A785TD EVO que posee tres puertos PCI, en los cuales he instalado 3 tarjetas de red, todas funcionales. El equipo tiene un procesador Phenom II 945 3.0 ghz y actualmente cuenta con 10gb de ram.
Para sacarle el mayor provecho determine  virtualizar Pfsense al igual que otros servicios.
las nics son 4 en total contando la integrada. 3 de ellas son Realtek y otra es VIA. todas ellas funcionan bien con vmware, vitualbox, xenserver.
Realice la configuración en el pfsense de la siguiente manera:

eth0–-----em0------WAN--------PPPoE
eht1-------em1------LAN---------DHCP 10.0.0.1/24
eth2-------em2------VLAN-------OPT1  10.0.1.1/24

La WAN funciona excelente
La LAN funciona excelente

Pero cuando realizo la configuración de la vlan, aparentemente todo sale bien y su estado es UP VERDE, pero cuando conecto un equipo a esa interface, no tiene salida a internet,  no funciona el servicio DHCP, no funciona la interface.
Hice otra prueba donde le agregue un interface virtual, donde se suponía debía funcionar, si o si la vlan, para las maquinas virtuales, pero me lleve una sorpresa cuando  vi que tampoco funcionaba.

Las reglas del firewall están adecuadas para permitir todo en la LAN y en la VLAN, (según varios manuales que encontré en el foro)
El servicio DHCP esta habilitado en la LAN y en la VLAN

Muchas gracias y quedo atento frente a cualquier comentario.

Buenas Arpia, te cuento que tengo una granja de VMs manejadas por VMware en el cual "pfsense" se encarga de todo trafico en la red. actualmente tengo mi pfsense con 10 NICs pero solo tengo agregada las NICs que utilizo que son 5, estaba teniendo el mismo problema que tu hasta que verificando bien era problema con unas reglas en el firewall.

Lo primero que tienes que hacer ( en tu caso la trama OPT1 ) es crear reglas que te nieguen el acceso a otras tramas de red, y luego una permitiendo todo, de esta forma le di salida a internet a la red que necesitaba pero al mismo tiempo bloqueaba el acceso a otras tramas de red.

Nota: Tengo equipos físicos en un switch donde se comunican con las VMs ya que el pfsense es el que se encarga de todo el manejo del internet.-

https://forum.pfsense.org/index.php?topic=44778

Muchas gracias Bellera, le echaré un vistazo a ver que encuentro.

Gracias nuevamente.

Hola!

He encontrado una solución, pero de todos modos, gracias por tu ayuda Bellera. Me miraré ese código para entender mejor cómo maneja el portal cautivo.

La cosa es que descubrí que si a la función ENCRYPT le pasas la cadena a encriptar y como valor SALT le pasas el valor cifrado que hay actualmente en la base de datos ligado a ese username, si la función acaba devolviendo exactamente la misma cadena que el valor SALT que le has pasado quiere decir que la contraseña es correcta.
Además, como siempre le especificas un SALT, por mucho que aplicases repetidamente esa función a una misma cadena  siempre devuelve el mismo valor cifrado, cosa que soluciona el problema que tenía al principio.

Dejo la query mysql hecha con PHP y la clase PDO por si a alguien le sirve:

$sql = $conn->prepare('UPDATE radcheck SET value = ENCRYPT(:newPassword) WHERE username = :user AND value = ENCRYPT(:password, value)');

$sql->bindParam(":newPassword", $newPassword, PDO::PARAM_STR);
$sql->bindParam(":user", $user, PDO::PARAM_STR);
$sql->bindParam(":password", $password, PDO::PARAM_STR);

Gracias.
Saludos!

Por lo poco que entiendo de la situación planteadas deseas configurar un failover de wan o proveedores de internet??

Para ello echar un ojo al enlace colocado por el compañero ptt y a este https://forum.pfsense.org/index.php?topic=28121.0

No es complicado de entender a pesar de ser en ingles

Saludoss

De nada ! ;)

@hellspawm1:

me enredé con lo de poner las rule de banco, no sabia si poner las reglas en WAN1, WAN2 o en LAN, así que la puse en LAN, asumo que está bien, puesto que no ha vuelto a molestar el portal del banco.

Si, las reglas de FW las "pones" en la interface en la que "ingresa" el tráfico, en este caso la LAN, ya que el tráfico se "origina" en un Host (PC) de la LAN y "va hacia" internet….

@hellspawm1:

*a los usuarios solicitar informacion deberian de tener en cuenta (suponiendo que no hay info pero imagino que si) que al instalar dual wan molestaran si o si los bancos y sitios que tengan seguridad de ip publica fija..

Este tema se ha tratado en diversas oportunidades, y se menciona en el apartado "Documentación" (Balanceo)

https://forum.pfsense.org/index.php?topic=23409.0

También lo puedes realizar de la manera en que lo sugieren en el Hilo que creaste en la seccion en Inglés del foro https://forum.pfsense.org/index.php?topic=92803.msg514724#msg514724

Saludos mi estimado el ultimo inconveniente que nombras es un problema en la resolucion dns segun lo que comentas. Para que tu sitio sea consultado de una manera mas rapida y efectivas debes hacer dicha resolucion al menos dentro de tu red de manera local bien sea empleando dnsforwarder de pfsense o un dns local para optimizar la resolucion dns interna.

En resumidas cuentas tendrias o dos dns una para resolver en internet y otro para la red interna (resolucion del nombre como la ip privada)  o configurar un dns con vistas que hace ambos trabajos sin problemas, ya esto dependeria de usted y lo mas facil y factible dentro de sus habilidades.

Estamos a su orden

DNS: 127.0.0.1

¿Acaso esta máquina tiene un servicio DNS funcionando?  Los Linux Ubuntu lo tienen así porque usan dnsmasq

Lo primero que tienes que probar en un equipo en LAN es que te da algo como:

Resolver sin especificar el DNS a emplear. Es el que tenga configurado el equipo.

nslookup www.google.com

Resolver usando pfSense

nslookup www.google.com 192.168.1.15

Resolver usando un DNS externo (comprobamos si salimos a internet)

nslookup www.google.com 8.8.8.8

Si estás con 2.2.x mírate la primera parte de esto, https://forum.pfsense.org/index.php?topic=92461.0

DNS Server: (Lo he dejado en blanco ya que intente con un interno y un externo "8.8.8.8")

Si los toma por DHCP en la WAN, ok. De lo contario tiene que haber DNS especificados. Lo habitual es que sean externos.