Muchas gracias, he logrado que el trafico salga por la vpn, muchas gracias bellera, te agradesco el tiempo y el que me hayaas contestado todas mis preguntas, la opcion de redirect-gateway def1 me funciono, solo estaba poniendo comillas y push por eso no funcionaba. Saludos.

sabrias porque el portal cautivo deja entrar a cualquier usuario aunque no teclees nada o pongas lo que sea?

tienes que añadir en las reglas el protocolo de Auth.

Estas listas son de pago según dónde se usen: http://www.shallalist.de/licence.html También hay otras bastante completas, de pago. Por ejemplo: http://urlblacklist.com/?sec=download Yo empleo las de la Universidad de Toulouse, que son de libre distibución. Con modificaciones nuestras… http://cri.univ-tlse1.fr/blacklists/ Siempre hay que ir auditando qué pasa y obrar en consecuencia. Ok, tratare de seguir tus consejos para minimizar aquella desventaja por lo visto la tienen practicamente todos los firewalls porque incluso lo he comprobado con firewall basado en hardware no recuerdo la marca pero lo he visto en mas de una empresa. Habría que ver hasta donde llegan estos equipos… y su precio. A mi me pusieron un BlueCoat por Real Decreto. Lento, caro y dependiente de la Base de Datos remota de BlueCoat, a pagar cada año. El resultado es que está apagado y squid+squidGuard funcionan de maravilla.

Creo que si la BIOS te dice REBUILD es que indica que está correcto el RAID y que por eso no tienes opción de reconstruirlo. Otra cosa sería que dijera REBUILDING. Tendrías que mirar el manual… de esa BIOS... o del equipo... De hecho enchufando y desenchufando el disco poco tiempo tienes para ver qué pasa. Tendrías que quitar uno de de los discos, desparticionarlo del todo y volverlo a colocar. De esta manera verías si reconstruye y el tiempo que toma. Como FreeBSD (pfSense) te ha reconocido el dispositivo como ar quiere decir que sabe que es un array de discos… De todas maneras deberías verificar si los metadatos de tu controladora RAID en la BIOS pueden ser leídos y escritos por FreeBSD 7.2 (pfSense 1.2.3): http://www.freebsd.org/cgi/man.cgi?query=ataraid&apropos=0&sektion=0&manpath=FreeBSD+7.2-RELEASE&format=html

Como ya te dije, si las IPs son seguidas sí puedes manejarlas con una sola entrada, empleando o no máscaras. Por ejemplo, 192.168.0.1/25 serviría para indicar de 192.168.0.1 a 192.168.0.127 y 192.168.0.128/25 para indicar de 192.168.0.128 a 192.168.0.255, dentro de una única subred 192.168.0.1/24. Lo mejor es que pruebes…

perdon por reflotar el  tema. pero he buscado 1000 maneras para bloquear la reglas estan perfectas pero para liberar para algunas maquinas no me corre TCP servidores * facebook 443 (HTTPS) *   block facebook1 TCP servidores * facebook2 443 (HTTPS) *   block facebook2 servidores: es un alias con 2 ip de la red con cual hago las pruebas facebook  y facebook2 son 2 alias con 66.220.144.0/20 69.63.176.0/20

El upload lo limitas ya, haciendo que se puedan emplear sólo los servicions más elementales. Claro que esto no impide que si alguien sube un archivo grande tome demasiado caudal… Para afinar más tendrías que emplear Traffic Shaper: http://www.bellera.cat/josep/pfsense/cabal_cs.html

A ver, no deberias hacer esto, pero cada quien es dueño de su destino. Para hacer esto, ahi que entender como operan esas redes. 1ro –> Puerto tcp/udp donde tu cliente interno va a escuchar. 2do--> Puerto tcp/udp que la red p2p necesita que tu fw permita conectarse. Para el 1ro necesita un port forward de WAN IP+Puerto lo mande a tu IP Interna+Puerto. Para el 2do necesitas permitir que solo tu IP Interna pueda conectarse a el Puerto(s) que la red p2p utiliza. Suerte!!!

Es el tamaño máximo de los objetos en disco. Si lo tienes muy bajo cachearás muchos objetos pero pequeños… http://www.squid-cache.org/Doc/config/maximum_object_size/

Desgraciadamente la 1.2.3 no tiene previsto esto a menos que en el configurador web de squid de pfSense se pueda indicar un parent proxy (proxy padre).

Básicamente si, se trata de que con una única ip autorizada el resto de equipos de la red (o unos determinados) puedan acceder a la red del tunnel. Como prueba, he habilitado un windows 2000 con 2 tarjetas de red y en una de ellas he definido el 172.26.1.1, he configurado RRAS (routing and remote access) con nat y parece que funciona correctamente. Seria: 172.26.1.1 (LAN1) PUERTA DE ENLACE 172.26.1.254 (PFSENSE QUE MONTA EL TUNNEL)         172.26.1.2 (LAN2) PUERTA DE ENLACE 172.26.1.1 Los equipos a los que se modifica la puerta de enlace a la 172.26.1.2, pueden correctamente acceder a la red 192.168.1.1 aunque no se trate de la ip autorizada en la configuración ipsec 172.26.1.1. ¿Existe alguna manera de realizar toda esta configuración únicamente con PFSENSE (con alguna combinación de vips,nat,rules,etc)?

Hola Bellera , vi la luz  VI LA LUZ…lo conseguí, eres un crack !!!! un fuera de serie , TOTAL!!!!!  MI IDOLO!!! En Dhcp server dejar en blanco los dns i listos , me iluminaste maestro!!! Moltes gràcies. Salutacions

Edité el archivo squidguard_configurator.inc y cambié en la opción define('REDIRECTOR_PROCESS_COUNT', '3') por 15 y reinicié el servidor ¡Buen truco! Modificaste el valor por defecto que toma el código PHP… ¡Fantástico!

Uno tiene que hacer de server y el otro de client. En OpenVPN ya está previsto así.

Buen dia sr bellera ..yo tambien tengo el squid.,  Lightsquid y el squidguard banwich ..  ….pero en la mims pc server....donde sta el firewall.....lo tengo com portal cautivo dhcp....y hasta ahora todo normal..el detalle q muchos lo queremos asi  para no tener q tener 2 maquinas prendidas todo el dia.....y la idea de un buen firewall es q todo ste integrado en una sola.pc..seria formidable........no se si ese detallle de unificar todo lo pondran en la version 2  .seria lo ideal..y creo q en ese caso si superaria a todos los demas firewall..mikrotik.brazil....monowal..etc.. Muy agradecidos x sus sabias respuestas.Saludos.

ok muchas Gracias!!

De entrada, usa siempre rangos privados: http://es.wikipedia.org/wiki/Red_privada No cumplir normas acarrea problemas. Si estás yendo a una IP supuestamente pública el tráfico se va a Internet por la WAN. Después, para salir de dudas, pon una regla por defecto de prueba delante de todas que autorice todo. Cualquier protocolo, cualquier puerto, cualquier destino, gateway por defecto.

No hay forma de hacerlos navegar… lo tengo. Mode:    Automatic outbound NAT rule generation           (IPsec passthrough included)  y Rules *  OPT1 net  *  *  *  *  none    Default allow PPPOE to any rule también he probado de añadir GW pero nada no se genera trafico de ningun tipo por la el pppoe server he probado hasta de quitarle el statuc a la interface la tengo sin asignacion de ip alguna idea de por que no funciona? por lan si por pppoe server no hay forma.

@bellera: WPA permite varias opciones. Una de ellas es que los usuarios se validen en un Radius para tener acceso a la WLAN. Por lo que conozco, este método de acceso debe configurarse en los APs. http://es.wikipedia.org/wiki/Wi-Fi_Protected_Access Lo que tu quieres es WPA Enterprise (mediante Radius) y no WPA Personal (mediante clave). No me queda claro que con pfSense como AP y como CP (Portal Cautivo) esto quede resuelto. Hay gente en este foro con mucha experiencia montando wireless. A ver si alguien dice algo… Te sugiero pienses en tener el AP (o los APs) fuera de pfSense con una distribución específica como http://es.wikipedia.org/wiki/DD-WRT También puedes optar por algo "propietario" como equipos de http://www.mikrotik.com (económicos) o el switch D-Link DWS-3024L que permite alimentar/configurar/controlar hasta 24 APs de la propia marca. Este último es una estructura costosa pero permite cubrir grandes edificios de forma centralizada. Pues, creo que la solución no esta en portal cautivo con redes abiertas pues la autentificación va en plano y para alguien sería fácil capturar la mac y la contraseña de un usuario. Mmm aunque en pfsense se puede usar una página sobre https lo que al menos evitaría eso (aunque el resto del tráfico viajaría en claro que es lo que no deseo) Si pongo los aps fuera creo que tendré un problema pues mi esquema de red no es en estrella sino en cascada por cuestiones de geografía y economía.  :'(