Debes manejar subredes distintas en cada tramo para que el enrutado funcione.

A ver, intento RESUMIR…

Empezamos con que el escenario era:

Jugadores de LOL con lag debido al uso de navegación "pesada" (principalmente Youtube).

Ahora tenemos, como mínimo:

Jugadores de varios juegos (LOL, XBOX…) con lag debido al uso de navegación "pesada" (principalmente Youtube).

Consideraciones:

Muchos juegos emplean conexiones http (TCP 80) y https (TCP 443), a parte de otras.

La finalidad de operar por http y https es hacer que sea fácil jugar detrás de cortafuegos. Esto dificulta la diferenciación entre lo que son juegos y lo que es navegación web.

Si se emplea un proxy transparente, la conexiones hacia TCP 80 (hhtp) pasan todas por el proxy transparente. No depende de si el navegador y/o el juego tiene en su configuración indicado el uso del proxy.

Se supone que con squid 3.3.4 se puede llegar a tener el proxy en modo transparente para las conexiones TCP 443 (https). Pero no lo he probado y su puesta en marcha parece algo compleja, http://forum.pfsense.org/index.php/topic,62256.0.html

Posibles soluciones:

1. Poner el proxy en modo transparente y desactivar las reglas en LAN que hiciste. Esto hará que todas las conexiones TCP 80 (http) pasen por el proxy. Por supuesto, las TCP 443 (https) no. Podrás controlar con el proxy cosas como http://www.youtube.com pero no https://www.youtube.com Otro inconveniente es que todas las conexiones http de los juegos también pasarán por el proxy, cosa que les puede ocasionar algún lag.

2. Dejar el proxy como no transparente, desactivar las reglas en LAN que hiciste y tener puesto en los navegadores el proxy. Esto hará que los juegos vayan libres a internet, sin pasar por el proxy. Y los navegadores pasarán por el proxy para todos los protocolos (importante). La pega es que si algún usuario te quita el proxy del navegador, irá directo. Esto último seguramente se puede evitar con alguna opción de seguridad en los propios equipos. Hay que averiguar soluciones para sistema operativo y navegadores en cuestión.

Por supuesto, se entiende que en ambas soluciones se maneja el Traffic Management de squid para hacer que la navegación "pesada" sea menos prioritaria.

Para finalizar, antes de empezar conviene hacer una lista exhaustiva de qué tenemos y qué pretendemos. Hay que tener una visión global. De lo contrario, se produce un goteo de cuestiones con respuestas que fácilmente pueden llegar a ser contradictorias.

Según http://islolup.com/ parece que lo que toca a IberoAmérica es esto:

$ nslookup ll.leagueoflegends.com Server: 127.0.0.1 Address: 127.0.0.1#53 Non-authoritative answer: ll.leagueoflegends.com canonical name = ll.leagueoflegends.com.cdn.cloudflare.net. ll.leagueoflegends.com.cdn.cloudflare.net canonical name = cf-ssl18277-protected-ll.leagueoflegends.com.cdn.cloudflare.net. Name: cf-ssl18277-protected-ll.leagueoflegends.com.cdn.cloudflare.net Address: 190.93.244.13 Name: cf-ssl18277-protected-ll.leagueoflegends.com.cdn.cloudflare.net Address: 141.101.114.14 Name: cf-ssl18277-protected-ll.leagueoflegends.com.cdn.cloudflare.net Address: 190.93.245.13 Name: cf-ssl18277-protected-ll.leagueoflegends.com.cdn.cloudflare.net Address: 190.93.247.13 Name: cf-ssl18277-protected-ll.leagueoflegends.com.cdn.cloudflare.net Address: 190.93.246.13

LOL Launcher
190.93.244.13/32
141.101.114.14/32
190.93.245.13/32
190.93.247.13/32
190.93.246.13/32

$ nslookup lq.br.lol.riotgames.com Server: 127.0.0.1 Address: 127.0.0.1#53 Non-authoritative answer: Name: lq.br.lol.riotgames.com Address: 66.151.33.21

LOL Login
66.151.33.21/32

Yo añadiría esto a lo existente.

En uno de los equipos que no publica los servicios:

Si Windows, ipconfig /all

Si Linux, nm-tool

En pfSense:

Interfases (LAN, WAN…)

NAT Port Forward

WAN Rules

1. Los equipos deben protegerse de cortes de luz, mediante SAI.

2. Las configuraciones config.xml deben guardarse en lugar seguro.

3. Si tienes acceso a consola mira si arranca o no realmente y qué opciones tienes.

¡Suerte!

http://forum.pfsense.org/index.php?topic=63094.0

disculpen la demora de la respuesta, se resolvio el inconveniente realizando el paso anterior propuesto, el unico detalle que no se pudo colocar dicho comando a niver servidor ya que es win2003 y dicha version no tiene esa caracteristica, favor de colocar solucionado a dicho caso.

muchas gracias por su apoyo

Muchas Gracias Sr. Bellera,

esto ha de ser al tener servicios nateados y por esto aparecen, y ver si quieren comprar un certificado ssl que sea firmado por alguien autorizado.

Gracias como siempre por su ayuda.

saludos.

Muchas Gracias Sr. Bellera,

por el momento lo pude resolver abriendo una interfaz mas y a esta asignarle una ip del segmento de la 172.17.0.0/16.

Gracias.

@ptt:

Trafico desde WAN hacia LAN (Inbound) –> Port Forward + Regla de FW

NAT Port Forward para el TCP (?) 3306 más regla (automática) asociada en WAN.

A parte de esto tienes que considerar si tu WAN está con IP pública o con IP privada.

En el primer caso quiere decir que el equipo de conexión a internet actúa en modo puente, por lo que no tienes que hacer nada más.

En el segundo caso quiere decir que el equipo de conexión a internet está en modo enrutador, por lo que también tendrás que hacer NAT en él hacia la IP de la WAN de pfSense. En los foros de ADSL habituales encontrarás como "abrir puertos" en el modelo de enrutador que tengas.

Para más información, consultar Documentación (arriba, en este foro), entrada Publicar un servidor en Internet (NAT entrante, NAT Port forward)

Uf… Añado más cosas...

TCP/UDP 3306 es MySQL, http://www.speedguide.net/port.php?port=3306

El servidor MySQL tiene políticas que le indican desde donde pueden hacerse los accesos. Hay que verificar qué hay en esos privilegios que, además, pueden ser para cada una de las bases de datos que tenga MySQL.

jejeje, genial ptt.

¡Vaya! ese era mi problema  :-[

Muchas gracias de nuevo por su colaboración y oportunidad en las respuestas.

:D

Buenas tardes Bellera,

Acabo de comprobar el funcionamiento de FreeRADIUS y es correcto.

Desde la webconfigurator de pfSense en el menú Services/FreeRADIUS en las pestañas "Interfaces", "NAS/Clients", "Users" luego de agregar los cambios en la configuración procedí a guardar nuevamente los cambios en cada una de ellas. Allí se despliega un mensaje de confirmación para guardar los cambios e hice clic en el botón "Aceptar". (Este procedimiento no lo había realizado ya que cuando agregue los cambios a cada pestaña de configuración no presento ningún conflicto y la información era visible; por lo que supuse que los datos estaban guardados correctamente).

Finalmente comprobé la autenticación de usuarios a través de un host cliente conectado a la interfaz de red LAN. El usuario fue autenticado sin ningún conflicto (ver figuras 01 y 02).

Muchas gracias por su atención ;)


ya esta resuelto gracias, se quedaba en la de poner usuario y contraseña

En el foro ya hay varios hechos.

Normal, pues lightsquid construye sus estadísticas a partir del access.log de squid.

Debes poner un número de días en log rotate de la configuración general de squid.

Tengo el mismo problema alguna guia mas detallada para poder redireccionar hacia el portal cautivo sin demoras