https://forum.pfsense.org/index.php?topic=44778

Muchas gracias Bellera, le echaré un vistazo a ver que encuentro. Gracias nuevamente.

Hola! He encontrado una solución, pero de todos modos, gracias por tu ayuda Bellera. Me miraré ese código para entender mejor cómo maneja el portal cautivo. La cosa es que descubrí que si a la función ENCRYPT le pasas la cadena a encriptar y como valor SALT le pasas el valor cifrado que hay actualmente en la base de datos ligado a ese username, si la función acaba devolviendo exactamente la misma cadena que el valor SALT que le has pasado quiere decir que la contraseña es correcta. Además, como siempre le especificas un SALT, por mucho que aplicases repetidamente esa función a una misma cadena  siempre devuelve el mismo valor cifrado, cosa que soluciona el problema que tenía al principio. Dejo la query mysql hecha con PHP y la clase PDO por si a alguien le sirve: $sql = $conn->prepare('UPDATE radcheck SET value = ENCRYPT(:newPassword) WHERE username = :user AND value = ENCRYPT(:password, value)'); $sql->bindParam(":newPassword", $newPassword, PDO::PARAM_STR); $sql->bindParam(":user", $user, PDO::PARAM_STR); $sql->bindParam(":password", $password, PDO::PARAM_STR); Gracias. Saludos!

Por lo poco que entiendo de la situación planteadas deseas configurar un failover de wan o proveedores de internet?? Para ello echar un ojo al enlace colocado por el compañero ptt y a este https://forum.pfsense.org/index.php?topic=28121.0 No es complicado de entender a pesar de ser en ingles Saludoss

De nada ! ;) @hellspawm1: me enredé con lo de poner las rule de banco, no sabia si poner las reglas en WAN1, WAN2 o en LAN, así que la puse en LAN, asumo que está bien, puesto que no ha vuelto a molestar el portal del banco. Si, las reglas de FW las "pones" en la interface en la que "ingresa" el tráfico, en este caso la LAN, ya que el tráfico se "origina" en un Host (PC) de la LAN y "va hacia" internet…. @hellspawm1: *a los usuarios solicitar informacion deberian de tener en cuenta (suponiendo que no hay info pero imagino que si) que al instalar dual wan molestaran si o si los bancos y sitios que tengan seguridad de ip publica fija.. Este tema se ha tratado en diversas oportunidades, y se menciona en el apartado "Documentación" (Balanceo) https://forum.pfsense.org/index.php?topic=23409.0

También lo puedes realizar de la manera en que lo sugieren en el Hilo que creaste en la seccion en Inglés del foro https://forum.pfsense.org/index.php?topic=92803.msg514724#msg514724

Saludos mi estimado el ultimo inconveniente que nombras es un problema en la resolucion dns segun lo que comentas. Para que tu sitio sea consultado de una manera mas rapida y efectivas debes hacer dicha resolucion al menos dentro de tu red de manera local bien sea empleando dnsforwarder de pfsense o un dns local para optimizar la resolucion dns interna. En resumidas cuentas tendrias o dos dns una para resolver en internet y otro para la red interna (resolucion del nombre como la ip privada)  o configurar un dns con vistas que hace ambos trabajos sin problemas, ya esto dependeria de usted y lo mas facil y factible dentro de sus habilidades. Estamos a su orden

DNS: 127.0.0.1 ¿Acaso esta máquina tiene un servicio DNS funcionando?  Los Linux Ubuntu lo tienen así porque usan dnsmasq Lo primero que tienes que probar en un equipo en LAN es que te da algo como: Resolver sin especificar el DNS a emplear. Es el que tenga configurado el equipo. nslookup www.google.com Resolver usando pfSense nslookup www.google.com 192.168.1.15 Resolver usando un DNS externo (comprobamos si salimos a internet) nslookup www.google.com 8.8.8.8 Si estás con 2.2.x mírate la primera parte de esto, https://forum.pfsense.org/index.php?topic=92461.0 DNS Server: (Lo he dejado en blanco ya que intente con un interno y un externo "8.8.8.8") Si los toma por DHCP en la WAN, ok. De lo contario tiene que haber DNS especificados. Lo habitual es que sean externos.

Una posible solución es hacer backup a un PC seguro, editar el config.xml y volver a cargarlo. Igual tienes la opción de backup de sólo esa parte y restore de la misma una vez editada. A verificar.

Ejemplo de delay_pools que tenemos puesto en Documentación, en lo alto de este foro: https://forum.pfsense.org/index.php?topic=74595.0 Para las ACLs creo que también las puedes meter tranquilamente en Services - Proxy Server - General - Custom Options o usar Services - Proxy Server - ACLs

Bueno gracias periko por la respuesta, les comento que las vm que tengo tienen conexión a el AD de la empresa por tal motivo el nat me trae problemas, con respecto a crear un pool esto no interfiere si yo tengo marcada la opción de solo permitir las direcciones señaladas del pfsense, o no interfiere y me va a permitir crear un pool de ip's

Gracias por la respuesta bellera

http://es.wikipedia.org/wiki/Simple_Object_Access_Protocol

Saludos, gracias por la pronta respuesta, voy a estar revisando todo ya que me confirman que uno de los router esta en el Switch de la LAN y por tanto tiene una IP de la LAN,  :-X :-X :-X esto lo estare cambiando y les dejare saber los resultados.-

Muchas gracias, perdón la respuesta tardía estuve por fuera un tiempo, voy hacer lo que me dices y comento como me fue.

10.0.0.0/8 –---> 10.0.0.0 - 10.255.255.255 10.1.0.0/16 ----> 10.1.0.0 - 10.1.255.255 Solape de rangos. Desastre seguro. Estás con un enrutador. Los rangos de cada interfase deben ser distintos, sin solapamiento. http://www.subnet-calculator.com/cidr.php

Compré uno hace cuatro años, https://forum.pfsense.org/index.php?topic=34805.msg180241#msg180241 http://routerboard.com/ El software propietario va incluido en los equipos. Por donde estoy se emplean mucho en https://guifi.net/es/node/37161

Repaso/actualizo el tema… 1. Las reglas de bloqueo con los alias va bien tenerlas si tienes detectados los juegos de IPs de cada servicio. Pero NO son imprescindibles. 2. Tus reglas están permitiendo salir directamente hacia internet sin pasar por proxy, a menos que tengas proxy transparente. Y si tienes proxy transparente debería ser squid 3.x con intercepción SSL a fin de poder filtrar los destinos TCP 443 (https). 3. Para los servicios de correo externos crea alias con los nombres de los servidores de correo empleados y autoriza sólo esos destinos. Dejar ir a todo el mundo hacia cualquier SMTP, POP3, IMAP es un importante agujero de seguridad. No recuerdo si UltraSurf explota eso, pero lo puede hacer cualquier virus que convierta un equipo en spammer. 4. Innecesario y no recomendable que tus clientes vayan fuera a resolver. UDP 53 no debería estar autorizado. pfSense hace de DNS. A partir de pfSense 2.2.x, con DNS Resolver (unbound) por defecto. Antes, con DNS Forwarder (dnsmasq). Si tu red es grande. monta un segundo DNS local. Más seguridad y más eficiencia resolviendo localmente, pues tendrás tu propia caché DNS. 5. Modos de trabajo del proxy squid 5.1. No transparente. Los navegadores "conocen" la presencia del proxy. El proxy "sabe" qué URLs se piden, tanto en modo http como en modo https (seguro). En LAN no debe haber reglas que permitan destinos TCP 80, 443 y http alternativos (8000-8100). 5.2. Transparente. Los navegadores "desconocen" la presencia del proxy. El proxy "no sabe" qué URLs se piden en modo https (seguro). La navegación http es enviada automáticamente al proxy. Las reglas en LAN para http carecen de sentido, pues el reenvío es incondicional. 5.3. Transparente con intercepción SSL (SSL Bump). Lo mismo que en modo Transparente (5.2.) pero también para https. Obliga a instalar certificados en los navegadores de los clientes. Necesita squid 3.x. 6. Reglas squidGuard (filtro avanzado para squid) 6.1. Denegar por nombre todos los dominios afectados: facebook.com facebook.net ultrasurf.us ultrasurf.es ultrasurf.com ultrasurf.org ultrasurf.net Veo que son muchos. Esto te lo puedes saltar y denegar por palabra (6.2.) 6.2. Denegar por palabra: facebook ultrasurf proxy 6.3. Activar !in_addr. Esto tiene algunos efectos colaterales. Por ejemplo, los adjuntos de hotmail.com. Desgraciadamente Microsoft no usa nombres DNS para eso, si no ha cambiado. Creo que no me he dejado nada. Eso es lo que tengo en una instalación donde UltraSurf no pasa. En ella tengo proxy NO transparente con squidGuard.

¡Fantástico! Ciertamente calomel.org es un sitio muy recomendable para BSD… Contains "how to's" covering open source programs for OpenBSD, FreeBSD, and Linux.

Gracias ptt lo voy a tener en cuenta.  Ahora estoy tratando de configurar un 3G USB. Apenas pase ese tema sigo con las reglas.