Saludos mis estimados!! como dice el compañero ptt, la mayoria de server pfsense que he instalado son antendido remotamente y hasta ahora no he tenido la obligacion de colocarle teclado, monitor, mouse para estar en completo funcionamiento. Creo es tema de bios.

Mi estimado como indica el gran amigo ptt, crear un GW seria para una tarea diferente a la que intentas hacer o entiendo requieres hacer. Por ejemplo el GW se usa cuando deseamos balancear dos lineas de conexiones a internet que poseas para inyectar mas velocidad en la navegacion. Ahora bien me llama la atencion que indicas alli en tu configuracion "(Proxy Pfsense)" si mal no entiendo estas usando un pfsense como proxy y el otro como router-firewall el cual recibe la conexion a internet??? si asi fuera el gateway de tu proxy pfsense seria el pfsense (router-firewall) y a su vez el de los clientes si usas el mismo para asignarles las ip.

Saludos mi estimado , usas actualmente pfsense en ese entorno de red que nos planteas? de ser asi yo te plantearia como solucion rapida dos subredes claro esto genera gastos para agregar ( una nueva tarjeta de red al pfsense y colocar dos swicthes), manejar por una de la red por ejemplo l"lan" los 15 pcs con su acceso a internet y demas y en la otra los 8 xbox 360. Estos regulados  con traffic shaper o squid en lo personal me inclino por este ultimo y en general crear las reglas en cada subred que te generaran estabilidad en la conexion. A mi parecer si tu conexion real es 10 megas haciendo esto iria super bien tu servicios. Ahora una mejor y excelente solucion seria squid en otro pc haciendo cache de contenidos como youtube que hoy en dia es lo que mas usan los clientes y nuevamente creando reglas efectivas de acceso a los servicios pero esta vez en squid que no se si lo manejas. Estamos a la orden

Saludos mi estimado, te cuento trabaje un tiempo con traffic shaper una red en produccion manejando 35 clientes cuando mucho y tuve demasiados problemas con estos luego implemente la delimitacion de la velocidad a traves del portal cautivo y esta fue un poco mejor que con traffic shaper pero aun sin lograr los objetivos claros. Al final he usado squid tanto en pfsense como fuera de el y he encontrado paz en esto. Es mas actualmente tengo una de mis redes de servicio funcionando con tres grupos de usuarios con planes de velocidad diferentes y funciona a la perfeccion a pesar de que la mayoria de estos son usuarios de una red inalambrica y siempre tiende a tener perdida de efectividad en algunos casos por mala señal de los equipos clientes. Si desea probar y sabe hacer uso de virtualizacion vale hacer la prueba montar pfsense virtualizado con squid funcionando y reglas optimas en el mismo a ver como va y luego de alli estudiar bastante si no conoce mucho sobre squid para echarlo a andar como usted necesita .

Saludos!! que bueno saber que has podido hacerlo. Te recomiendo para un mejor rendimiento y quizas nuevos servicios que agregaran valor a tu red servicios el uso de squid en equipo aparte que ademas si no es muy grande tu red podria usar en el mismo un buen servidor web con tu web local personalizada y sirviendo la informacion detallada a tus clientes sobre los acceso denegados, especifiaciones de tus servicios, publicidad, entre otro sin fin de herramientas que te brindaria esto.

Saludos a todos mis estimados!! Este es un problema grave que se da en casi todas las redes inalambricas con Hostspot, claro esta como han aclarado cada uno de los compañeros aca que seria efectivo el salto del portal si poseemos reglas muy basicas y no se realiza el correspondiente monitoreo de funcionamiento de la red. Es un tema de seguridad muy importante que actualmente se esta proliferando en la red y ya hasta un usuario comun a veces hasta menores de edad estan aprendiendo a realizar estas practica. En mi experiencia y sobre lo que me he actualizado el secreto esta en como ha dicho nuestro maestro bellera, bloquear lo que no usamos y proteger lo que si usamos explico. Si no estas necesitando usar algunos puertos crea reglas para bloquear el acceso a los mismo antes se pensaba que alguien no podia saber que puertos tienes abierto y tirar ataques por alli hoy en dia es super facil hacer esto con herramientas como "Nmap" tanto en windows y linux en solo unos minutos puedes tener esta informacion con unos cuantos clic y como dicen luego de "googlear". El tema como digo no es ya solo un tema de evitar que te roben el acceso a internet si no quizas tambien brindar un servicio de calidad y seguro ya que en tu red de servicios hay clientes confiados en la buena administracion del mismo y estos pueden ser atacados por alguna falla de seguridad como saltarse el portal cautivo. Actualmente he encontrado una forma de proteger tanto a mis clientes como mis servidores de este tipo de incidente, en lo personal he creado una dmz bastante restringida a los usuarios en lan y inalambricos, en la subred de servicios a cliente esta bloqueado absolutamente todo por defecto uso squid no transparente y mediante el doy acceso a los puertos y servicios necesarios a los clientes. Obviamente poseo mi host spot para captar posibles clientes interesados en los servicios los cuales solo son redirigidos a mi portal web trabajado en un server aparte en debian (Apache2) aparte he configurado un rango ip para clientes activos en mi red de servicios y otro rango para los posibles clientes que solo veran el portal web y no acederan a mi server dns local ni ningun otro servicio su dns por defecto es pfsense. El uso de squid para esos posibles clientes esta bloqueado por si algun cliente le pasa el dato jajajaja. Tanto la respuesta del ping y otras cosas mas desde pfsense estan bloqueados. Es decir se puede hacer esto bien si se le pone algo de cariño. Fijense que ese jueguito que clonan la mac y se saltan el portal y navegan en este escenario no se podria porque clonarian la mac de un posible cliente y no de un cliente activo y esto es el pan diario de cada dia en redes bajo "Mikrotik" muchos hoy en dia aca en venezuela lo usan pero he detectado un monton de redes inalambricas en las cuales solo clonas la mac de algun usuario conectado y listo navegas haces y deshaces como deseas. Espero  le sirva de por lo menos un abre boca mi experiencia a aquellos interesados en prestar servicios de calidad usando pfsense … SALUDOS

Saludos mi estimado!! Yo use traffic Shaping en mis inicio cuando no usaba squid y a la verdad no me gustaron los resultados de la conexion regulada por el mismo. Quizas era que el equipo donde trabajaba pfsense no tenia mayores recurso. Ahora bien veo que tienes una excelente herramienta en tus manos (Squid) con la cual puedes hacer el trabajo que hace Traffic Shaping y doy fe que el squid es excelente para regular y optimizar el trafico de una red. Seria interesante que deseas obtener con Traffic Shaping y cual es tu escenario . Saludos

Gracias Periko!!!!!!!!!!!!!!! Lo logre haciendo el paso 2 que por cierto esta en Services->Proxy Server->Access Control; en los ultimos dos box agregue los puertos seguros necesarios.

Saludos!!

Pues, haz como el compañero del otro hilo…....

Adjunta capturas de pantalla de tus configuraciones:

Dashboard

System General Setup

System Routing Gateways

System Routing Gateway Groups

Reglas de FW de LAN

Mira si el paquete Postfix Forwarder hace lo que quieres.

https://forum.pfsense.org/index.php/topic,40622.0.html

Muchas gracias bellera, ya tengo habilitado TRIM y para lo que comentas, abriré otro hilo explicándolo detalladamente. Ya que en el RRD los picos (percentil 95%) son bastante inferiores a lo que muestra el trafico saliente en el dashboard (hablando de picos siempre)

Esta tarde dejaré otro mensaje por aquí, a ver si me podéis ayudar, por cierto, gracias de nuevo.

Para que nos enteremos todos –-> http://www.windowsazure.com/es-es/overview/what-is-windows-azure/

Puede que tengas un problema de MTU. Lo tienes explicado arriba, en Hardware.

Puedes agregar la IP virtual con la direccion IP de la red que quieras usar gomo gateway.

Posterior a eso, necesitas ir a Firewall NAT y
Manual Outbound NAT rule generation
          (AON - Advanced Outbound NAT)

y agregar las redes que quieren enmascarar. En este caso la red de tu lan y la de la ip virtual.

Deberas de agregar tambien una regla en el firewall para darle acceso a internet a tu nueva red. Todo el trafico de la nueva subred para cualquier protocolo a cualquier destino, PASS)

con esto deberas de poder navegar.

muchisismas gracias por la ayuda amigos…se les agradece

Si es posible, postea las IP's pero enmascara lo 2 primeros octetos, así podemos decirte algo mas ya que con puras xxx.xxx es difícil ;)

digo si tu ip publica es digamos: 208.67.222.222/24 y el GW es 208.67.222.1 –>  pones xxx.xxx.222.222/24 GW xxx.xxx.222.1

A ver desconozco zcalar, ese es otro proxy? o que hace? ese manda los parametros automatico o como obtienen los clientes sus parametros..?
Una vez conectado los clientes  a el Zcalar estos no deben cruzar por el proxy o si?
Como debe ser la configuracion?

gracias por la respuesta Bellera…...muy interesante...gracias

Eso debe instalarse en el servidor donde tienes el servicio, que es donde intenta loguearse el usuario. Por tanto, es donde se pueden contabilizar los intentos de logueo.

Puede que, además, tengas que acotar la regla para 192.168.1.241 al puerto 25, si se trata de un servidor de correo SMTP.