La seguridad la tienes hasta que a alguien se le ocurra configurar una ip que permite ver todo el rango de equipos…

El cortafuegos no puede hacer nada, salvo DHCP, pues la comunicación entre equipos depende del switch.

OOOOOOOOOHHHHHHHHHHH SE HIZO LA LUZ!!!!!!!!!!!!!!!!!!!!!!

muchas gracias georgeman!!!!!! era asi, y cuando cambie y probe, andaban los sitios, pero para navegar por ej a google.com no andaba, entonces dado lo que me hiciste cambiar, pense "no sera que la regla del DNS debe estar tambien en interface address" y bueno, la cambie a la regla del DNS y anda todo perfecto ahora!!!

MUCHAS GRACIAS, estoy muy agradecido.

IGUALMENTE A TODOS LOS QUE ME AYUDARON A SOLUCIONARLO…...MUCHAS GRACIAS POR SU TIEMPO!

saludos!

Estoy entre desesperado y muy desesperado, no se hacer, por que lo harán tan difícil, con lo fácil que es en otros router / firewall.

No se por que no está la opción de asignarles más host dentro de la VPN.

Seguiré investigando.

No termino de entender para que necesitas 2 pfSense para hacer balanceo de carga sobre el lado de la LAN. Es mucha la cantidad de usuarios o el ancho de banda?? (deberia ser ENORME para siquiera empezar a pensar en algo asi me parece). Esa configuracion se puede manejar perfectamente con un solo pfSense, o a lo sumo 2 configurados con CARP como mencionas, pero sin balanceo de carga.

Ademas, mencionas que tenes 1 LAN con 4 VLANs. O sea, que en definitiva, tenes un solo cable fisico que viene de la LAN. En donde lo pensas conectar a ese cable? En un dispositivo aparte o en uno de los 2 pfSense? Necesitarias un 3er pfSense que haga el balanceo de carga entre los otros dos o algo asi.

Considera tambien que en general cada dispositivo debe tener configurada solamente una sola puerta de enlace predeterminada. No hay una manera facil de hacer balanceo de gateways de manera "universal" sin recurrir a un tercer dispositivo en tu caso…

Otra cosa... Que toma cada pfSense sobre su interfaz WAN? Una IP publica diferente del mismo proveedor de internet?

Postea exactamente que queres lograr porque me parece que hay maneras mucho mas eficientes de hacerlo.

Saludos!

Con ese equipo podes montar un proveedor de internet!!

Yo tengo requerimientos muy similares en cuanto a usuarios y servicios, ademas tengo activado el Traffic Shaper que come bastantes recursos, y tengo todo corriendo sobre una simple Alix 2D3, sin el menor inconveniente, desde hace meses.

Ojo igual que lo mas importante no es la cantidad de usuarios sino el ancho de banda que tiene que pasar de una interfaz a otra, y mas aun del ancho de banda por VPN. Yo tengo 2 WANs de 2 Mbps cada una y estoy sobrado con la Alix (maneja cerca de 60 Mbps "normales" y 12 Mbps por VPN).

Saludos!

Si no te agregaba automaticamente las rutas al sistema, seguramente estas usando Windows Vista/7/8 y el UAC no te lo permitia. Debes ejecutar el cliente OpenVPN como Administrador (boton derecho, "Ejecutar como administrador") y listo

cuando tratamos de acceder a el via navegador solo responden WIFI.UPTBAL.CO.VE y SUGAU.UPTBAL.VE

No estoy seguro de haber comprendido bien el problema. Quizás esto ayude:

Arriba, en Documentación, entrada Ver (con el mismo nombre) servidores publicados en Internet.

Tal como te dijeron, el acceso público funciona correctamente. También lo probé.

En la mayoría de casos no es posible acceder a la propia IP pública desde dentro, por razones de enrutamiento.

Tienes que pensar que el equipo de conexión a internet tiene una puerta pública, del proveedor de internet y, por tanto, el retorno del tráfico hacia dentro normalmente no es posible.

Digo "normalmente" porque hay enrutadores donde se puede hacer "policy routing" y responder a las peticiones que vienen del lado privado hacia dentro.

Caso de querer acceder "indistintamente" desde dentro y desde afuera, úsese acceso por nombre…

Arriba, en Documentación, entrada Ver (con el mismo nombre) servidores publicados en Internet.

Para informarte que el problema que tengo con el pftop y el RRD Graphs se debe a que tengo marcado el check de

System - Advance - Firewall/NAT
                                                       Disable all packet filtering

¿Entonces tu pfSense no filtra? ¿Eres consciente de ello?

Note: This converts pfSense into a routing only platform! Note: This will also turn off NAT! If you only want to disable NAT, and not firewall rules, visit the Outbound NAT page.

Gracias, tenía razón, ha de ser codificación UTF-8. Cambiar el xml donde se configuraban las direcciones estáticas a UTF-8, copiar y pegar en la configuración y funcionar (antes tuve que cambiar el rango de DHCP para que no se solapara, que me había despistado ahí.).

Bueno, creo que el único inconveniente es el de compilar el código :)

En la imagen no se vé, pero se trata de eso…
En mi esquima tengo lo siguiente.. Router -> Servers (PFSense entre ellos) - > Estaciones de trabajo.
La idea es transferir información desde los servers hacia las estaciones de trabajo.

Pregunta y quiza este fuera de lugar. ¿Existe alguna configuración para poder ver las estaciones de trabajo desde fuera? Es decir, ¿podría pinear y demas a una estacion de trabajo desde un server?

En cuando a la solución que me brindas, voy a probarla y retroalimento luego. ;)

PD: Y Sí, todavía existe el archivito mal intencionado.

Atte.

Pues en ese caso te sugiero dejes los APs en el mismo rango (192.168.176.0/21), que sería lo más normal.

Para que los clientes no los puedan ver puedes probar a indicarles una máscara en [DHCP Server] [Additional BOOTP/DHCP Options]

No lo he probado nunca pero, al parecer, se puede:

http://www.iana.org/assignments/bootp-dhcp-parameters/bootp-dhcp-parameters.xml

efectivamente asi esta….pero sucede que alguna maquina tiene un virus en la red wifi y es la que emitia el ataque tanto en el puerto 25 como al 80.....ya mitigue esos ataques en los equipos bases de la red wifi, dandoles controles en el firewall....y se detecto desde donde estan saliendo.....gracias por la ayuda...el ntop ayudo bastante.

Hola

al final lo he resuelto con scripts que se lanzan desde un crontab.

El problema de la caida del tunel puede venir porque el otro extremo del tunel se caiga y en ese caso el pfsense ni se entera. En ese caso cuando el otra extremo se cae el trafico del otro extremo me llega por el backup pero la vuelta como la envia la ip virtual a sigue asumiendo el master y este no puede gestionar el envio porque el tunel esta caido.

como digo lo he solventado con script´s.

Gracias no obstante.

Google dnsmasq failed to send packet: No buffer space available

@jimp:

"No buffer space" generally means what it says, the NIC buffer was full (too many packets trying to go out) but it can also happen if the NIC is down or for any reason unable to send out packets.

Demasiada ocupación para tu tarjeta de red. Según el post eso puede ser debido a captive portal o limiters (una de las formas de traffic shaper).

En cuanto a apinger, pienso que más de lo mismo. Te está marcando que hay delay, por lo que el ping a la ip de monitorización tiene problemas. Esto puede ser debido también al modelado de tráfico (traffic shaper), o a excesiva ocupación del enlace. También hay equipos que se autoprotegen ante excesivos ping. Prueba a pinguear otra ip, a ver qué.

pfsense 2.0.1

http://www.pumawifi.org/index.php?q=node/118

añadido a http://forum.pfsense.org/index.php/topic,23409.0.html (Documentación, arriba)

También esta excelente página del buen amigo PERIKO

http://pheriko.blogspot.mx/2013/01/pfsense-2-captive-portalfreeradius2.html

Está, de hace tiempo, en http://forum.pfsense.org/index.php/topic,23409.0.html (Documentación, arriba)

@ptt:

http://forum.pfsense.org/index.php/topic,59501.msg320138.html#msg320138

http://forum.pfsense.org/index.php/topic,59501.msg320248.html#msg320248

http://forum.pfsense.org/index.php/topic,59501.msg320281.html#msg320281

muchas gracias PTT
no lei bien. enterado

saludos, solo tienes que seleccionar la INTERFACE  LAN 3 en el SERVICES PORTAL CAUTIVO y con eso activas el PORTAL en la LAN 3 , y con r politicas de seguridad en el firewall para que no se vean afectadas, como guia esta el apartado de DOCUMENTACION, en donde puedes obtener una valiosa ayuda.

Más…

Google "[CARP]:Sorry but we could not find a matching real interface subnet for the virtual IP address"