Google pfsense squid squidguard hardware requirements http://www.firewallhardware.it/en/pfsense_selection_and_sizing.html

tienes que deshabilitar desde la consola de xenserver los checksum de las tarjetas de red wan y lan de pfsense xe vm-vif-list (te muestra todas las interfaces virtuales, necesitas encontrar el id de la interface wan y lan) tienes que setear los siguientes parametros en cada interface (wan y lan), reincias el pfsense y listo xe vif-param-set uuid=VIFUUID other-config:ethtool-gso="off" xe vif-param-set uuid=VIFUUID other-config:ethtool-ufo="off" xe vif-param-set uuid=VIFUUID other-config:ethtool-tso="off" xe vif-param-set uuid=VIFUUID other-config:ethtool-sg="off" xe vif-param-set uuid=VIFUUID other-config:ethtool-tx="off" xe vif-param-set uuid=VIFUUID other-config:ethtool-rx="off"

Te felicito doc, gracias por compartir, solo te pediría que coloques un TAG de solucionado, al titulo para evitar confusiones.

Cuales fueron las ACls adicionales que colocaste?

Que bien que lo hayas podido resolver. No habia visto ese post. Como esta funcionando y cuales son las opciones que pusiste en custom options ?

Aqui tengo una solución, no sé si final o temporal y tampoco sé si afecte en algo la configuración de squid+squidguard En el apartado de configuración de squid, en la pestaña general nos vamos hasta la parte donde dice: "X-Forwarded Header Mode"  yo lo tenía activado en "off"  lo dejé en "transparent" le dí en guardar y probé la página en cuestión y entró sin ningún problema… Ojalá bellera y/o Periko nos puedan comentar si hay alguna diferencia o problema de usar esta opción... Saludos

Buenas, se usa modo transparente que interceta http ó se usa el puerto 3128 con proxy en los navegadores (Debe crear regla). Debe tener activo el check en transparent HTTP Proxy por eso con las reglas por defecto le hace el filtro a nivel de HTTP

Amigos si pude hacerlo! Gracias al amigo joselms02, fue tal cual me dijo, en realidad no había explorado mas opciones al momento de hacer restore, y no me había fijado de todas las opciones que da, inclusive con las reglas firewall, y no eh tenido hasta el momento ningún problema  ;D Mil gracias!

@acriollo: Muy interesante pero no comentas que hiciste para que funcionara :( haaa si Cierto, tuve que restablecer x defecto la bios y luego actualizarla a la ultima version… y listo, booteó de maravilla!!

Muchas gracias

Tiene que ser algo de hardware… Tengo 6 sedes de mi empresa y conectadas parecido a como tu dices y va a 300/300 sin problemas. Lo único que se me ocurre es que pruebes a enganchar un PC en vez de la ONT y con el ipref hagas un test de velocidad a ver que te da. De paso instala el iperf en el pfsense y compruebas que desde el pfssense y desde el la red lan la velocidad sea la misma. Te parecera una tonteria pero tuvimos un modelo de tarjeta de red de dlink (no recuerd cual) que cuando la ponía en un esxi me iba a ¡¡¡ 100/10 !!! En la vida lo he vuelto a ver.

No,creo que me explique mal . La idea seria conectar el adaptador FXO a un puerto del Harris o a un puerto de un switch conectado al Harris. Luego, antes de conectar el rocket a la WAN del PFSense , deberas de colocar un switch  que conecte al rocket , a la wan del PFsense y una tarjeta de red "boca en tu caso :)" del PBX y hacer la config correspondiente en el pbx. FXO Harris –-<                                                                          WAN PFsense                   Rocket  ---------------> Rocket ---->  Switch  <                                                                                           PBX

@linksanguinario: Buenas  :D tengo el siguiente problema, Solo poseo 3 interfaces de red. 1 la configure para la wan 2 la configure para la lan 3 la configure para la dmz La "wan" tengo 3 metroethernet con segmentos de red y gateways diferentes. Ejemplo. 200.1.1.1/29 gw 200.1.1.1 200.1.2.1/29 gw 200.1.2.1 200.1.3.1/29 gw 200.1.3.1 yo configure la primera como la ip de la interfaz 200.1.1.2 con su gateway 200.1.1.1 (como DEFAULT) configure 200.1.2.2 –-> como Virtual IP y gateway 200.1.2.1 configure 200.1.3.2 ---> como Virtual IP y gateway 200.1.3.1 una vez hecho esto prove con ping... desde cada ip a cada gateway y sin problema El PROBLEMA es que al momento de sacar servicios por las ip virtuales, todo el trafico se va por el gateway default. Probe creando reglas dentro de las interfaz con la opcion avanzada "gateway" y probe con reglas outbound. pero nada :'( :'( :'( Quiero es que cada wan vaya por su respectivo gateway y porder sacar otros host por la wan que yo desee :-\ Seria Bueno que adjuntaras imagenes de tu configuración en Interfaces y reglas, para poder ayudarte… yo tengo el Mismo Escenario, bueno un poco diferente... pero es lo mismo 4 Wans y LAN en el mismo puerto, y todo va de maravilla!! y x cierto es en un intel NUC [image: firewall_redconn_Interfaces_Interface_Assignm.png] Que estas usando para pasar tus tres Wans, quizás por ahi este el inconveniente!!!  yo estoy usando Mikrotik..

Eso si seria una verdadera tristeza, hay equiposcomo WatchGuard que se pueden reutilizar y no son arquitectura 64bit. Estariamos perdiendo la oportunidad de "envenenar" estos equipos con algo tan bueno como pfsense

@rocaembole: @diablomxnet: Si bueno, es historia ya contada muchas veces, pfsense es un excelente producto sabiendolo implementar, manejar y administrar, porque, seamos sinceros, necesita una buena administración y personal que sepa lo que hace. He visto varias implementaciones hechas con los pies en: por ejemplo StoneSoft (ahora Forcepoint) en Barracuda (no es mas que Linux+Sqiud+SquidGuard+ varios añadidos con una interfaz muy bonita que se llama "Phion" y licencias caras) y en otras mas. Pero un pfsense bién implementado es bastante chulo…Peroooooooooo si requiere de personal para administrar. Hay varios clientes que prefieren tener una caja todo en uno "UTM" o un NGFW que te bloquee capa 7 a un pfsense solo porque es "libre" y no confian. pero pfsense es "UTM" y bloquea capa 7 Mejor que eso, PFSENSE puede ser lo que tu quieres que sea!!!

Buen día No me parece buena idea tener un portal cautivo y un squid para la misma interfaz, bastaría tener uno de los 2 y en ambos casos podrías tener el log de la IP y usuario. Puedes probar http://pf2ad.mundounix.com.br/en/index.html que permite autenticar usuarios sin pedir clave ni contraseña, ya que integra pfsense a un dominio. Saludos