Modo transparente es un redireccionamiento incondicional del tráfico de navegación hacia el proxy.

@bellera:

Debes denegar el acceso a pfSense en las reglas del proxy.

Es normal que sea así, pues entregas el control de la navegación al proxy.

Las VLANs levantadas se comportan como una tarjeta más, por lo que podrás ajustar tus reglas según necesidades, por ejemplo, por subred de origen.

La mayoría de tarjetas soportan VLAN tag, https://www.freebsd.org/cgi/man.cgi?query=vlan

Saludos mi estimado revisar en habilitacion de puertos de squid si esta colocado este puerto en los metodos CONNECT

https://forum.pfsense.org/index.php?topic=62156.0

https://forums.freebsd.org/viewtopic.php?&t=42713

Pues tengo mi DNS local, manejo un equipo con active directory que ahi es donde consultan mis equipos. Al parecer ya se reestablecio todo.

Saludos mi estimado muy acertada la respuesta de nuestro maestro bellera, si busca hacer cache de youtube el cual es un contenido dinamico hoy en dia esta mas cuesta arriba ya que casi todos los contenidos dinamicos en estan saliendo en protocolo seguro evitando asi se pueda hacer cache de su contenido….

te recomendaría que en vez de FreeNas uses OpenMediaVault, facil de configurar y no pide tantos recursos como freenas. Suerte en tu proyecto

Creo que hay varias cosas aun por definir.

Lo que comenta PTT creo Yo tambien es lo mas viable para la interconexion de las cajas , tendrias una interface para la parte de la LAN en cada sitio, mas una interface por cada uno de los sitios remotos que quisieras conectar.

Por otro lado, habria que definir si cada uno de los PFsenses va a hacer NAT o solo el PFsense que va conectado a la nube es la que haria el control/salida/enmascaramiento, todo depende de tus necesidades especificas.

El esquema no es complicado, solo un poco laborioso, deberas de tener cuidado con el direccionamiento nada mas. Y agregar las rutas estaticas correspondientes en cada caja, me imagino que esto es un ISP , por lo que las reglas del firewall son cosas importantes tambien.

Suerte!!!

Muchas gracias!!!

Gracias por responder,  la forma de como yo lo tengo es:

con una raspberry pi mi servidor local y me gustaría desde ahí que se autenticaran con el portal cautivo.

si alguien sabe si esto es posible, aunque igual tengo en mente que a lo mejor se podría desde mi servidor local llamar al captive portal con un iframe

Saludos atte.

No.

Explicado en Documentación,

squid3-dev (paquete para filtrado https en modo transparente)
https://forum.pfsense.org/index.php?topic=73007.msg402349#msg402349

En Documentación tenemos, https://forum.pfsense.org/index.php?topic=73989.0 sobre las limitaciones de squidGuard.

Siguiendo al pie de la letra los tutoriales que tenemos en Documentación no deberías tener problema:

squidGuard con squid3
https://forum.pfsense.org/index.php?topic=73740.0

squid3-dev (paquete para filtrado https en modo transparente)
https://forum.pfsense.org/index.php?topic=73007.msg402349#msg402349

Al parecer creo que diste con el problema si has creado en nat de salida te ha faltado indicar en las pestañas de abajo por cual gateway especifico deseas salga el trafico con esto siempre deberia salir por el mismo enlace del isp correspondiente. Estamos a tu orden

Un comentario…

Todo esto es software libre:
pfSense
IPCop
ClearOS
Zentyal
y muchos más.

Lo importante es mencionar que el sofware libre cada vez se está haciendo más presente y mostrando que no tiene nada que envidiarle a los programas de pago.

Lo que se debe evaluar en este tema, es que usar para dar un mejor rendimiento en el equipo.  pfSense es muy liviano y si no vas a usar más de lo que ofrece, es mejor que lo uses.

Saludos mi estimado, si requieres hacer buen cache de contenidos estaticos y dinamicos te recomiendo squid fuera de pfsense para mayor rendimiento en relacion tambien de la cantidad de clientes a servir. Establecer bloqueos con squid es super sencillo solo debes pensar bien primeramente la estructura que tendra tus servicios para luego ir estableciendo las reglas del juego ya que las acls  o reglas en  squid se aplican de la misma manera que un firewall como pfsense en el orden establecidas. El bloqueo de https en squid tambien se puede hacer como dije antes es cosas de pensar bien que se necesita y evaluar todas las posiblidades para establecer acls efectivas. Lo del balanceo no tiene problema con el cache dependiendo de la estructura que coloques de la red de servicios. Estamos a tu orden

Buenas aun no puedo configurar mi salida de internet en las sucursales, las salidas de internet pasan por la vpn que es administrada por el pfsense..  lo que me doy cuenta es que falta algo en la configuracion en modo no transparente, ya que en modo transparente sin problema ingresa a internet.

Puedes forzar en tus reglas la salida por el proxy, sólo permitiendo ip más puerto. De esta manera tendrá que pasar si o si.

busca en el foro información de como hacerlo, hay creados muchos hilo respecto al tema. no viene mal leer un poco antes de.

con respecto al tema, que tienes actualmente??? pfsense x.x.x, usas squid + squidguard o dansguard???