si lo probé pero ese metodo es autenticando con el macaddress osea usuario y contraseña=mac pero ya se como lo haré. en Hard timeout pondré el valor equivalente a 25 dias para que cada 25 dias les salga el hotspot eso es lo que se me ocurrio y asi solo se loguean una vez y la sesion estara activa todo ese tiempo hasta que expire y le diga que el usuario ya expiro. gracias

Generalmente no tienes/usas Reglas en "Floating" (salvo algunas excepciones/casos especiales) Si utilizas "Traffic Shaper" si las vas a utilizar (si utilizas el wizzard éste las genera automáticamente) Aquí la "definición" de "Floating Rules" : https://doc.pfsense.org/index.php/What_are_Floating_Rules%3F

ok, voy colocando lo que me sale segun tus sugerencias. 1 , configuras tu WAN y le indicas la puerta que te dió el proveedor. Nada más. R: listo solo ip y gateway 2, Después define los alias de IP para tu WAN con la máscara de tu WAN. Esto último es especialmente importante, pues todas las IPs tienen que estar en el rango que te dió tu ISP, a fin de que se vean entre sí, tengan la misma puerta (la de tu ISP)… listo estoy colocando una sola vip por ahora y esta en el mismo rango de la publica y con la misma mascara. 3, Hecho esto con Diagnostics: Execute command tendrías que ver algo como: este es mi resultado: $ ifconfig rl0 rl0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500 options=3808 <vlan_mtu,wol_ucast,wol_mcast,wol_magic>ether 00:e0:4c:77:1a:39 inet 200.XX.XX.203 netmask 0xfffffff8 broadcast 200.XX.XX.207 inet6 fe80::2e0:4cff:fe77:1a39%rl0 prefixlen 64 scopeid 0x1 inet 200.XX.XX.205 netmask 0xfffffff8 broadcast 200.XX.XX.207 nd6 options=3 <performnud,accept_rtadv>media: Ethernet autoselect (100baseTX <full-duplex>) status: active</full-duplex></performnud,accept_rtadv></vlan_mtu,wol_ucast,wol_mcast,wol_magic></up,broadcast,running,simplex,multicast> 4. La interfase WAN tiene la puerta definida, que se puede ver en System: Routing: Gateways si la tiene y es la asiganda pro el ISP 200.XX.XX.201 5.-Con Diagnostics: Ping se llega a las IPs, tanto desde cualquier Source Address y los alias de IP también aparecen como Source Address. Ping output: PING 200.x.x.205 (200.x.x.205): 56 data bytes 64 bytes from 200.x.x.205: icmp_seq=0 ttl=64 time=0.163 ms 64 bytes from 200.x.x.205: icmp_seq=1 ttl=64 time=0.046 ms 64 bytes from 200.x.x.205: icmp_seq=2 ttl=64 time=0.042 ms –- 200.x.x.205 ping statistics --- 3 packets transmitted, 3 packets received, 0.0% packet loss round-trip min/avg/max/stddev = 0.042/0.084/0.163/0.056 ms al parecer si la ve 6.- Pon una regla en WAN que permita la entrada de ICMP para el destino WAN Subnet (no sólo la IP de la WAN). Esto debería permitirte hacer ping y/o tracert a cualquiera de tus IPs públicas desde otro enlace que no sea el de tu ISP. creada tal cual. IPv4 ICMP * * WAN net * * none 7.-Dices tener los servidores en un switch del lado WAN. Entiendo que con las IPs públicas. Estás duplicando IPs. No puedes hacer pruebas fiables en esa situación. Tendrás que buscar una franja horaria de poco uso y/o bien avisar a tus usuarios. R: tengo un solo servidor con una ip que no estoy usando para la VIP que es la 206. segun todo esto el problema parece ser que no se ven desde afuera, ya que desde diagnostics todo da respuesta.. voy a ver si puedo quitar el otro servidor por un momento y colocar el pfsense directamente al cablemodem.

Comprendo, muchas gracias por la ayuda. La solución que encontré fue instalar y configurar el paquete sarg el cual creo que trabaja muy bien. Saludos y de nuevo las gracias.

Muchas gracias Bellera, he logrado instalar una solución profesional gracias a tu rápida ayuda. El tema de la longitud de los vouchers no es tan fácil, pero hasta el momento vamos bien, los clientes no se complican con el largo de la clave. Creo que Pfsense podría implementar una opción que diga "voucher corto (no recomendado)", algo así. No sé como cerrar el post, pero para mi ya estamos Ok. ;D ;D ;D

Yo mismo me contesto  ;D jejej. encontre este link, https://forum.pfsense.org/index.php?topic=74176.msg405863#msg405863 gracias bellera .. Saludos

Gracias a todos por sus comentarios, me sirvieron de mucho para tomar la mejor decisión

@ega: Ok ahora dime algo acerca de las instancias que tienes operativas, son que versión de PfSense?, en caso de ser 2.1.3, fueron instalación limpia o actualizadas? Porque si me dices que tienes corriendo OpenVPN en PfSense 2.1.3, no veo otra opción, no creo que sea un error de configuración, monté el pfsense solo para probar esto, siguiendo los pasos del tutorial de la documentación, pero con toda la lata que me esta dando, creo que el error puede ser un bug del PfSense, ya que he leído que en otras versiones de pfsense se resuelven irregularidades solo haciendo click en salvar en la interfaz de OpenVPN que se genera al crear el servidor, en esta versión  (2.1.3) no está esa pestaña, o sea he visto detalles que comentan que no estan en esta versión y se me ocurre que haya alguna diferencia de una instalación limpia a una actualización. Realmente es raro. Tienes la conexión pero no tienes tráfico. Mis instalaciones son siempre limpias, aunque (normalmente) partiendo de config.xml de versión anterior.

Si, lo he realizado en varias oportunidades… incluso restaurando la configuración en diferente HW (editando el XML, y modificando la asignación de las interfaces). Lo ideal, en mi opinión personal, es hacer 2 Backups: Completo, pero sin los paquetes Sólo la config. de los paquetes instalados Cuando reinstales: Instalas pfSense, restauras la configuración sin los paquetes, instalas los paquetes que tenías y luego restauras el Backup de la configuración de los paquetes. Puedes realizar pruebas fácilmente sobre un pfSense en VirtualBox por ejemplo....

gracias por tu respuesta hermano limito la velocidad de los clientes por el portal cautivo a 1mb por cliente y siempre me sobra ancho de banda. pero tomare en cuenta tu sugerencia, eso no lo havia pensado muchas gracias

pues que no se que estara mal la vpn con Openvpn no tiene mucha historia las arme con al ayudante el puerto lo puse en 1195 volvi a probar agregando eso que muestran el el link tun-mtu 1500; mssfix 1400; y todo sigue exactamente igual probando recién desde aca contra mi casa ping desde el trabajo a mi casa con ipsec 64 bytes from 192.168.x.xxx: icmp_req=2 ttl=63 time=30.8 ms 64 bytes from 192.168.x.xxx: icmp_req=3 ttl=63 time=14.9 ms ping desde el trabajo a mi casa con OpenVpn 64 bytes from 192.168.x.xxx: icmp_req=1 ttl=63 time=139 ms 64 bytes from 192.168.x.xxx: icmp_req=2 ttl=63 time=155 ms de terror ajaja me rindo

@bernat1981: segun que nombre de usuarios intento introducir depende del nombre me deja o no ¿Y si pones ejemplos?

Mírate OpenVPN: Client Specific Override a ver si sirve para tus clientes. Entiendo que ahí, con el nombre de usuario puedes imponer la red del túnel, con lo que tendrás "IP fija" para cada usuario. Ya dirás si te funcionó.

@arael25: disculpa la ignorancia pero en donde se puede ver dicho reporte Por ejemplo… Status: RRD Graphs: System: States

@lorenariana: Estoy intentado transmitir trafico multicast desde una red en pfsense1 a pfsense2. Hace unos años hice pruebas para emplear http://clonezilla.org/ en modo multicast. Al final tuve que desistir (porque en la red que estaba) el multicast era incapaz de ir más allá de un único switch. No tengo más experiencia sobre el tema, pero te sugiero mires bien las características de http://es.wikipedia.org/wiki/Multidifusi%C3%B3n pues como dicen (y me parece recordar) esto emplea un rango de IPs especial. Google multicast site:forum.pfsense.org ¡Suerte!

A parte de publicar los servicios en internet, mediante NAT Port Forward, creo que el resto de cosas pueden gestionarse a nivel de servidor web. Hay varios métodos para hacer cosas de estas. Ejemplo para Apache: http://httpd.apache.org/docs/current/rewrite/avoid.html Por si no quedó claro, me refiero al propio servidor web que tengais, no a pfSense.

@samuelcruz: no puedo configurarlo ya que mi proxy no es transparente No es obligatorio que el proxy de pfSense actúe como transparente. Simplemente el proxy estará en la misma IP que la puerta de enlace de los clientes y normalmente en el puerto 3128. También se puede configurar la red para que que el proxy sea descubierto automáticamente, aunque no funciona para todos los sistemas operativos y navegadores. Esto no es una limitación de pfSense ni de squid. Es de la combinación s.o. + navegador.

@xub: Hola amigos, en el foro vi un tutorial de como enviar todo el trafico de por ejemplo gdrive a la cola qOthersLow  de Traffic shaper… ¿Basado en IPs? Igual sale más a cuenta basarlo en delay_pools de squid: https://forum.pfsense.org/index.php?topic=74595.0

@erdosain9: Voy a hacer subredes y tengo un par de dudas de cómo implementarlas. Quiero 8 subredes, y en cada una de ellas 30host… Para tener seguridad las subredes deben estar aisladas físicamente (cableado separado) o lógicamente (empleo de switches con VLANs). Para que la subredes se vean bastan reglas de paso de lo que interese de una red a otra. pfSense es un enrutador y gestiona eso.