Gracias por su respuesta.

Entonces la recomendación es realizar respaldo de la configuración del firewall y volver a reinstalar ?? y aprovecho para preguntarles si es recomendable tener el Pfsense virtualizado para proporcionar el servicio a 600 Usuarios.

Saludos

Buenos días

Ya te comentaron lo del Leases, ahora bien, deberías de pensar más bien de segmentar tus redes si está en tus posibilidades, dado que mientras más amplíes la máscara, tu dominio de Broadcast crece, y para efectos administrativos, es mejor tener tus redes segmentadas y también si quieres agregar algo de seguridad.

Saludos.

Tutorial en video para failover + load balancing.

https://www.youtube.com/watch?v=omuklZrzopM

Además en system –> Advanced --> miscellaneous podés ver un checkbox en loadbalancing para "Allow default gateway switching"

éxitos.

Gracias por la ayuda. Ya funciona ;D ;D ;D

Me fié de una captura que vi en un Howto (que estaba mal) y me estaba obcecando.

Confirmo que poniendo en el orden correcto las reglas y con el 443 en destino funciona correctamente.

Gracias otra vez.

Saludos

Saludos…. Si lo que quieres es Adminitir o No admitir una mac en tu red... lo haces en DHCP server en la img1. si lo que quieres que esa mac se conecta a tu red pero que no tenga acceso a internet lo puedes hacer con el Captive Portal... en la img2... Suerte

img1.png
img1.png_thumb
img2.png
img2.png_thumb

gracias, si es para un nat interno. y con el alias se resuelve, muchas gracias.

:oNunca he visto que aparezca algún modelo de tlf..

Gracias.
Edita el título y coloca "solucionado"

Saludos mi estimado si no tiene un dns publicado en internet puede usar uno gratuito como cdmon. En todo caso la solucion mas segura y profesional es montar un dns interno con dos vista para resolver el dominio en internet y en la intranet. Estamos a su orden

Saludos este ya es otro tema de programacion web… de todos modos te envio un tips... puedes trabajar con javascript algo como esto

Saludos mi estimado apoyo la opinion del maestro bellera habria que anilizar un poco mas la situacion del compañero y su entorno para saber si es viable estar tocando los equipos de conexion a internet como "modems" aparte de que a veces como tambien menciono el maestro no se tiene acceso a dichos equipos sino hay que usarlos como vienen. En todo caso es bien que el amigo pueda analizar si realmente lo que necesita es una vpn como indica el compañero juancho….

Corta googlevideo.com o tunéalo.

En Documentación de este foro:

squid - Uso de delay_pools para limitar a Youtube
https://forum.pfsense.org/index.php?topic=74595.0 (en inglés)

Lo que comenta dementekuatiko es imprescindible si se quiere poder actuar con filtros squid (o squidGuard) en las búsquedas a Google.

Simplemente se trata que cuando los usuarios pongan www.google.com vayan a http://www.google.com y no a https://www.google.com

Es decir, que no se emplee encriptación SSL.

A partir de ahí sí se gestionarán las reglas squid o squidGuard que se pogan para la URL.

Remarcar que el split DNS debe hacerse para todos los Google que se empleen: www.google.com, www.google.es, www.google.cat …

Si alguien tiene DNS en la red que no sean pfSense ahí va la documentación:

http://linuxcentre.net/wiki/index.php/Web_Content_Filtering#The_Google_SSL_Search_problem_and_Google_Apps_for_Education

En Documentación tenemos un comentario sobre esto:

nosslsearch.google.com + squid + MultiWAN + proxy transparente proveedor internet
https://forum.pfsense.org/index.php?topic=74447.0 (en inglés)

@rocaembole:

Bueno, gracias por la respuesta!!

Supongamos que tengo que instalar un pfsense en un entorno con AD, donde el usuario Administrador está deshabilitado. …..

Si te topas con alguien como yo en seguridad :D seguro que no tienes el usuario Administrador funcional, aunque está activo, tiene una contraseña compleja, autogenerada, muy larga y compartida, almacenada en sobre lacrado, y dentro de una bolsa con precinto y un acta :D  esa contraseña solo usa en caso de un DRP. para las tareas administrativas, cada Admin tiene permisos administrativos para sus labores, pero que dejan trazas de auditoría para cualquier análisis forense futuro :D

Por otro lado, sí, desde windows 2003 creo que el tema de los CN se complicaron con "nombre apellido" en lugar del UID, qué te puedo decir… así es Windows "facilitando" las cosas.

Saludos.

Por otro lado, creo que estás usando mal la DMZ, por ejemplo, tienes permiso de la LAN a la DMZ global, por lo que podrías recibir un ataque interno, yo colocaría por ejemplo:

LAN Net –-> DMZ_Server_DB    Port 5432 
LAN Net ---> DMZ_Server_http    Port 80 y 443 (Puedes definir un Alias con ServiceWeb y colocar los dos puertos.
LAN Net ---> DMZ_Server_mail  Port 25/110 o por TLS  587/993  igualmente puedes hacer un Alias.
ADMINS ---> DMZ_Net                  Port  ssh      ADM_Net puede ser un Alias de las IPs/VLAN de los Administradores.
BackUp  ---> DMZ_Net                  Port  XXX  El puerto por donde funcione tu sistema de Backup de Cinta (si es que tienes)

Lo mismo aplica desde la DMZ a la LAN,

DMZ_Server_DB  ---> LAN Net  Port 5432    ....
*
*
*

Saludos

Bug, al parecer resuelto, en el cliente OpenVPN para Windows 8:

https://community.openvpn.net/openvpn/ticket/316

@shadow25:

Hola. Te dejo unos links interesantes que te pueden aportar algun acercamiento a la solucion del problema.

http://www.wedebugyou.com/2012/11/how-to-prevent-and-mitigate-ddos-part1/

http://es.scribd.com/doc/245892003/Instalacion-configuracion-y-funcionamiento-del-IDS-SNORT-pdf
http://postgrado.info.unlp.edu.ar/Carreras/Magisters/Redes_de_Datos/Tesis/Britos_Jose_Daniel.pdf

Saludos

¡Buen aporte! Referenciado en Documentación.

Muchas Gracias Sr. Bellera,

Voy a revisar sus comentarios y aplicar lo que se menciona,

Aprovecho para mencionarle que probé actualizando a la version 2.2 y todo quedo bien, ya no se apaga ninguno de los dos equipos, el único detalle es que se elevaba mi procesamiento por los layer7 y trafic shapper ya que estos los aplico en unas reglas de mi lan. Las reglas dejaron de funcionar, pero quitando de las reglas el layer7 y trafic shapper todo jalo de nuevo bien.

Se que es una beta y corro riesgos de inestabilidad, pero tal vez esto sea algún bug como me mencionaba, ya que todas mis configuraciones están bien e igual pero en la versión 2.2 y corre sin problemas.

Saludos.

Muy bien..  pudiste solucionar!!! Pero nunca esta de mas irse por las opciones mas seguras..  saludos

Si ya configuraste las redes remotas y locales de los dos lados, debes de tener problemas con tus reglas o los equipos no tienen configurada la puerta de enlace correcta.

Por favor postea tus reglas y las configuraciones de los servidores.