Perfecto en tu caso debes limitar la comunicacion de tus clientes con tu servidor proxy y no la de todos los equipos en lan incluyendo el proxy ya que tendrias un cuello de botella….

Te detallo ... si pfsense hace de proxy debes crear una regla que habilite el trafico a tus clientes con destino el socket (ip+puerto) donde funciona el proxy esto lo puedes hacer inclusive por grupos alias de planes ejempl.

SOURCE: EQUIPOS_1MB PORT:* DESTINATION: port-proxy y en esa regla aplicar los limiters para plan 1 mb... asi continuamente por los diferentes grupos...

En detalle esta regla habilita a tu cliente de 1 Mb a llegar al proxy por el puerto determinado y a la velocidad de  su plan 1Mb....

Cosa diferente fuera que lo dejes llegar libre si limiters por que alli usaria todo el ancho de banda disponible...

Adicionalmente y respondiendo al otro comentario recordar que no es recomendado el uso de portal cautivo con squid activo en pfsense

Quedo atento a su comentarios

@kmyl0:

Volvi a cargar el certificado en el cliente restaure el navegador, luego de que me lanza la advertencia de seguridad del certificado le digo ir al sitio y me sale el siguiente error:

Se encontró el siguiente error al intentar recuperar la dirección URL: https://http/*

Incapaz de determinar la dirección IP a partir del nombre de la máquina http

El servidor DNS devolvió:

Name Error: The domain name does not exist.
Esto significa que el caché no ha sido capaz de resolver el nombre de máquina presente en la URL. Compruebe que la dirección sea correcta.

:( …..

Hola

Pudiste resolver ese problema?, es que me esta pasando lo mismo

Saludos si esa fue la solución,

entonces el inconveniente como se ha mencionado es la salida por conexiones balanceadas….

Y solución como bien lo mencionó es definir lo que son paginas bancarias y sistemas de ese estilo para salir por un solo proveedor (ip wan) y no por el balanceo de conexiones.

Excelente que lo puedan leer otros usuarios para solución de sus inconvenientes en esta area que mucho sucede....

@esva:

Gracias por el aporte
La verdad también e intentando por WPAD.

https://www.javcasta.com/pfsense-2-3-wpad-con-nginx
https://nguvu.org/pfsense/pfSense-2.3-WPAD-PAC-proxy-configuration-guide

Configure los navegadores con la opción de “Autodetectar  o detectar la configuración automáticamente”, pero no logro que los navegadores tomen la configuración del proxy

Hola

Has tenido algún avance con esto?, es que tengo el mismo problema.

@bellera:

Tienes vacío:

# Custom options before auth

No seguiste TODO mi tutorial…

En mis pruebas puse:

# Custom options before auth always_direct allow all ssl_bump server-first all

A parte que no usé el antivirus porque creo recordar que con 32 bit (mis primeras pruebas) no funcionaba. Pero no creo que eso afecte a los certificados.

Buenos Dias Sr Bellera

Me podría dar el link de ese tutorial por favor?

Entonces guay, porque no tengo masters de Squid y no me hace falta, así que está mejor desactivado.

Gracias!!

@win_bar:

Mil gracias a todos, el tema quedo solucionado, para hacerlo me faltaba:

Colocar el certificado en el controlador del dominio quien es mi DNS
Para el tema de GMAIL decidí pasarlo por alto del proxy, la seguridad que usa hace que el certificado creado por PFsense no sea suficiente

Nota.

El filtrado por categorías para https funciona perfecto con esta versión.

Hola
Podrias explicar eso del colocar eo certificado en el controlador de dominio?
Tu DNS es un equipo diferente a donde esta instalado el pfsense?

https://doc.pfsense.org/index.php/VoIP_Configuration

https://doc.pfsense.org/index.php/PBX_VoIP_NAT_How-to

https://doc.pfsense.org/index.php/Static_Port

Hola

En este hilo, hablamos sobre el tema:

PfSense-Web-Proxy-Con-Multi-WAN
https://forum.pfsense.org/index.php?topic=121192.0

Salu2

Hola

Bienvenido.

De la doc de pfSense.

https://doc.pfsense.org/index.php/Aliases

Aliases

What are Aliases?

From the pfSense WebGUI: Aliases act as placeholders for real hosts, networks or ports. They can be used to minimize the number of changes that have to be made if a host, network or port changes. The name of an alias can be entered instead of the IP address, network or port in all fields that have a red background. The alias will be resolved according to the list [on the Aliases page of the WebGUI]. If an alias cannot be resolved (e.g. because it has been deleted), the corresponding element (e.g. filter/NAT/shaper rule) will be considered invalid and skipped.

Firewall Rule Basics
https://doc.pfsense.org/index.php/Firewall_Rule_Basics

Salu2

La cuestión es que toda la problemática vino sin llegar a instalar ningún paquete FreeBSD o algún port externo a pfSense. Instalé un paquete del pfSense para probar y lo desinstalé, y un día o dos después empezaron a desaparecerme paquetes… Es entonce cuando tuve que activar el repositorio FreeBSD porque en el del pfSense no me encontraba el paquete que faltaba (a pesar de venir preinstalado).

Un saludo.

Hola

@iplost:

Me funciona,  pero teniendo pfBlockerNG ya gestiono las listas block IPv4 por ese paquete,  pero siempre es bueno saber cómo se hacen "las cosas" ;D

El script solo hace lo que dice: baja los ficheros de iblocklist nombrándolos por su categoria  :)
Si se quisiera hacer todo el trabajo de bloqueo, luego habria que descomprimirlos y pasarlos a una tabla de ipfw o de pf … pero efectivamente, yo también me quedo con pfBlockerNG, hace ese trabajo de forma excelente.

Pero como bien dices, si eres mecánico es bueno saber como funcionan los mecanismos y saber hacerlo de formas alternativas :)

Salu2

Si utilizas distintas "Monitor IP" para cada GW debería funcionar….

https://forum.pfsense.org/index.php?topic=49841.msg266581#msg266581

Edit:
        prueba cambiando las IP's que tienes como "Monitor" por otras que no sean de "Telefónica" (Movistar) ;)

Un FW puro entre la capa 1 y 4,  si hay filtrado por contenido o IDS hasta la capa 7

Lo que quiero justamente es lo inverso saber como reemplazar el iptables por pfsense. seguire sus recomendaciones y les comentare como me fue. gracias

En mi caso me da esto:

type            16 bytes    64 bytes    256 bytes  1024 bytes  8192 bytes
aes-256 cbc      64240.08k    99831.09k    99515.05k    85890.05k  111449.43k
aes-256-cbc      7431.00k    28780.79k  102207.11k  224856.04k  426430.87k
aes-256-gcm      50292.86k    87560.38k    73132.22k    44567.55k    49332.22k
aes-256-gcm    271495.86k  884688.64k  772658.12k  1153119.91k  1267914.07k

Y mi portátil le gana en algunas cosas y eso que es un i5 cutre con Ubuntu  :o. Tengo que probarlo con el i7…

type            16 bytes    64 bytes    256 bytes  1024 bytes  8192 bytes
aes-256 cbc      75116.79k    81986.77k    82782.38k    83629.06k    83995.31k
aes-256-cbc    401843.81k  424142.14k  430057.64k  417017.17k  419960.15k
aes-256-gcm      55223.66k    62692.71k    64421.80k    65185.79k    65784.49k
aes-256-gcm    257649.39k  692589.14k  1544576.51k  2069490.01k  2348578.13k

Un saludo.

Hola

El problema parece ser que cuando pones al pfSense como servidor DNS. no resuelve …

Revisa la conf

Listen Port: 53 (por defecto)
Network Interfaces: (por donde responde las peticiones de resolución de dns, normalmente LAN y localhost, o pon All para asegurar)
Outgoing Network Interfaces: (por donde pfSense consulta los dominios que no conoce, normalmente WAN y localhost, o por all para asegurar
System Domain Local Zone Type: transparent
DNSSEC: (deshabilitado por defecto, pero yo lo tengo habilitado y va bien)
DNS Query Forwarding: Deshabilitado (prueba a ON/OFF esta opción ...)
...

Y en System > general setup, define DNS server 1,2 (con 2 ya bastaria), que funcionen, por ejemplo: 8.8.8.8 y 208.67.220.220

Haz pruebas desde tu pfsense de resolver algún dominio en:  Diagnostics > DNS Lookup

Salu2