hola podras postear tu solucion por favor, yo estoy en algo parecido, tengo la regla funcionado de poder administrar el pfsense desde la wan, pero no puedo acceder ma adentro, me refiero a que en la salida lan tengo un switch y ahi estan las pc y un Access point, el rango de ip de mi wan es 192.168.0.0/24, el rango de ip de mi lan incluso usuarios inalambricos es 192.168.1.0/24 lo unico diferente es la direccion de mi AP que es 192.168.100.200  y la unica forma de acceder al AP es por el puerto 80 que lo tengo libre.

en Port Forward lo tengo asi:

WAN  TCP  80 (HTTP)    192.168.100.200          80 (HTTP) WAN -> AP 
                                                          (ext.: 192.168.0.2)
y en wan lo tengo asi:

TCP  *  *  192.168.100.200  80 (HTTP)  *      NAT WAN -> AP

en el portal cautivo en Allowed IP adresses lo tengo asi:

192.168.100.200  any  AP -> WAN

no se que mas me falta, pq desde la lan si puedo acceder al AP poniendo un rango igual al ap, el ma configuracion del AP solo tiene su ip 192.168.100.200, gateway 0.0.0.0 y las dns sera el gateway que tengo que ponerle algo?
:(

Buenos Días a todos muchissimas gracias por su ayuda, luego de muchas pruebas nos dimos cuenta que el problema se estaba presentando con uno de los proveedores de internet ya que en horas pico comenzaba a perder paquetes contra su puerta de enlace, perdía alrededor de 16% el balanceo no lo tomaba como caída pero si afectaba, ahora bien tengo otra pregunta debido a que el encargado de hacer el DHCP es mi servidor PPPoE que está detrás del PFsense que es más recomendable asignar los DNS de los proveedores de Internet (uno de cada uno) o asignar como DNS la puerta de enlace (en este caso el PFsense) adicional me gustaría saber que parámetros debería dejar o desactivar en la opción DNS Forwarder

Muchas Gracias a todos,

Saludos desde Venezuela

Julian de Achurra

Hola!

con el reloj digamos que te marca las horas,es decir, si un usuario entra a las 9:01 y sale a las 9:05 te marca la franja de las 9 pero no te "cronometra" el tiempo. Ya lo he visto pero para el informe que me piden no me vale

saludos

Queme corrijan los compañeros que esten mas puestos es colas pero creo que en pfsense 1.2.3 las colas solo se pueden tener en cuenta en ambitos WAN-LAN, sin multinetting. podrás controlar una cola de principio a fin solo desde una de las LANs, luego podrás emplear las colas del WAN para ajustar el ancho de banda pero si usas VoIP yo creo que esa es la que deberías emplear como la pata lan para priorizar el VoIP de principio a fin, lo demas en la mayoria de escenarios lo puedes estrangular en el WAN.

El procesador es importante cuando los paquetes se procesan entre medias (proxies, IDS…) pero con las colas se intenta evitar que un tipo de trafico monopolice el enlace, acotando su capacidad por tramos. P.E. que los burros y P2P no colapsen un enlace o trafico no critico en tiempo como la navegacion, el FTP... pueda dejar sin ancho de banda a una centralita VoIP o lo demore innecesariamente.

En cuanto a la configuracion de colas creo que el wandef la dejaste un poco pequeña con el 1%

Puede que sea un problema de MTU…

http://forum.pfsense.org/index.php/topic,23221.msg119780.html#msg119780

Gracias por la respuesta

Por cierto creo que ya nos estamos saliendo un poco del tema principal del post seria bueno sigas tus comentarios en otro post.

Buenas tardes.

Muchas gracias por sus respuestas nos fueron como siempre de mucha ayuda.
Resolvimos nuestro roblema, simplemente agregando la tilde en ftp-proxyhelper… No habiamos notado que una interfaz lo tenia y la otra no.

el squid no asigna ip ni mac

en wifi para poder asignar una ip fija  la unica foma es hacer autenticacion con wpa o wap2 (seguridad) por un radius pagado  (nose si los free los trae)

Muchas gracias por tu respuesta, ya solucionamos nuestro inconveniente. Seguiremos las consultas por cualquier duda.

Si quieres ahorrar tarjetas piensa en virtualización. En descargas de pfSense hay ya una imagen para funcionar con VMWare.

Mira VMWare ESXi, que se instala en una máquina sin nada y encima van los s.o. virtualizados. Y no es de pago en su versión sencilla…

Hay gente que lo está empleando con pfSense.

yo ocupo dyndns y no he tenido problemas para manejar mi firewall tanto dentro como fuera de la Lan

Bien, creo que el problema estaba en la pagina de Fon, por que ahora esta igual, pero si que me aparecen online, no se que seria.
Pero ya esta solucionado.
Evidentemente los AP de fon envian informacion de estado casi constante, en cuanto pueda interpretar las capturas de paquetes que he hecho veré si me aclaro por que puertos lo hace y que envia.

Gracias a los se interesaron por el post.

bueno muchas gracias… amigos...

no tiene nada  que ver con versiones del pfsense...

mi portal cautivo quedo calidad.
solo configure un poco la fuente del htm y listo. con tiempo coloco el post con detalle.
gracias por su ayuda.

2. Yo deshabilitaria el dhcp del router wifi, y conectaria el pfsense en una de las entradas de lan del router, con esto, estas convirtiendo el router en un ap y absolutamente todo lo estarias gestionando con el pfsense, conectarlo en el puerto wan me parece ilogico pq estarias haciendo doble nat innecesario, aparte que estarias bloqueando todo con el firewall dl pfsense y luego tendrias el del router.

Te recomiendo que el dhcp del pfsense lo configures desde 192.168.1.20 y al router wifi le asignes una ip 192.168.1.2 (cosa d q si luego necesitas conectarte a este dispositivo para cambiar la clave o conf de seguridad wifi sin mayor problema)

3. El dhcp del pfsense te permite asignar ip fija a cada macadress

4. A la hora d abrir puertos, debes hacerlo en el pfsense (si conectas como te estoy diciendo).

5. Nada, si lo pegas a una interface ethernet local, no tienes q hacer nada en el router, todos los usuarios q se conecten wifi van a hacer solicitud de ip y parametros de red directamente contra el dhcp del pfsense.

6. Mas d lo mismo.. Olvidate del firewall del router, preocupate mejor por documentarte en configurar y administrar pfsense eficientemente y postea tus inquietudes, avances y recomendaciones ;) (y por supuesto… ayuda al prójimo en lo que puedas... jejejeje).

Saludos.-

Si en lugar de pfSense conectais un PC cualquiera en 192.168.2.0/24 ¿se puede pasar al otro lado del Cisco (192.168.3.0/24)?

De esta manera saldríamos de dudas si es el Cisco o no…

Sí se puede hacer lo que quereis. Debería ir, sólo con LAN y una ruta estática.

Tendrías que explicar tu instalación… ¿Tienes un servidor de correo? ¿O simplemente son clientes de correo (tipo Outlook) que reciben spam)?

Detectar spam no es evidente. Puedes ver en [Diagnostics] [States] las máquinas que están yendo a destinos con puerto 25 (SMTP) pero pueden ser conexiones lícitas. Por eso decía de mirarlo en un momento en que se suponga que los usuarios no están enviando correo por ellos mismos.

[OT] Para evitar spam hay que emplear varios métodos, a nivel del servidor de correo:

Forzar autentificación de usuario en el servidor SMTP. Dotar al servidor SMTP de herramientas de análisis de correo (spam y antivirus). Emplear listas negras, http://es.wikipedia.org/wiki/Lista_negra_(Internet) Emplear listas grises, http://es.wikipedia.org/wiki/Greylisting

Lo mejor es combinarlos todos y es complicado de ajustar bien.

hermano, no se si me maten por esto, pero recuerda que pfsense es un firewall muy completo, han salido otras aplicaciones o addon es gracias a la comunidad, yo pensaria en usar otro sistema para tal fin, puede ser un debian + lampserver y listo eso te carga todo lo necesario para hacer lo que necesitas, de todas formas es un foro abierto y todo el mundo aporta

Gracias a los dos por las respuestas tan rapidas, problema resuelto:
Como trabajo con 4 vlans lo que hice una vez averiguado el puerto, desconecte el enlace troncal y me conecté directamente y pude acceder sin problemas.
Luego habilite el puerto en las reglas de cada vlan y voila.

Gracias denuevo  ;D ;D