Tendría que probarlo, pero esto ¿no lo puedes hacer con varias Phase 2?

https://doc.pfsense.org/index.php/IPsec_with_Multiple_Subnets

https://doc.pfsense.org/index.php/Mobile_IPsec_on_2.0

Tengo 4 WAN's en 2 Interfaces cada una con 2 VLAN's…. Funcionando sin problemas

Pon como gateway por default en ambos pfSense el que asignado por DHCP sobre la WAN. Me da la sensacion que así como está el tráfico queda "rebotando" en la subred que une los dos pfSense.

También hay que considerar que vas a tener que monitorear el gateway de la WAN2 desde la LAN1 y viceversa. Para que eso funcione también tendrias que agregar reglas de Outbound NAT desde la subred 10.10.0.0 sobre la interfaz WAN de cada pfSense

@juan22arg:

Ahora me surgió otro problema cuando arranque squid, dejo de ver la red wins!! algún consejo :) ?

No tiene sentido que squid interfiera el servicio WINS, a menos que estés usando el navegador para llegar a las máquinas.

Si se trata de clientes Windows lo lógico sería Ejecuta… \nombre_equipo\recurso con el propio explorador de carpetas de Windows.

vramoslara,

No crossposting, por favor, http://es.wikipedia.org/wiki/Env%C3%ADo_cruzado

http://forum.pfsense.org/index.php/topic,69778.0.html

¡Gracias!

@cdiaz:

Gracias por tu tiempo pero Pensé en lo mismo pero el problema es el siguiente, algo encontré.

2013-11-29 17:05:38 [54527] squidGuard 1.4 started (1385755538.696)
2013-11-29 17:05:38 [54527] squidGuard ready for requests (1385755538.697)
2013-11-29 17:05:56 [53727] Warning: Possible bypass attempt. Found multiple slashes where only one is expected: http://images.lun.com/luncontents/Archivos%20video%20audio%20del%20accesorio/2013/nov/29//
2013-11-29 17:05:56 [53727] Warning: Possible bypass attempt. Found multiple slashes where only one is expected: http://images.lun.com/luncontents/Archivos%20video%20audio%20del%20accesorio/2013/nov/29//AVISO_HOME_PARIS_PARADE_CLEMP.flv
2013-11-29 17:09:45 [53727] squidGuard stopped (1385755785.089)
2013-11-29 17:09:45 [53778] squidGuard stopped (1385755785.089)
2013-11-29 17:09:45 [54056] squidGuard stopped (1385755785.090)
2013-11-29 17:09:45 [54310] squidGuard stopped (1385755785.090)
2013-11-29 17:09:45 [54527] squidGuard stopped (1385755785.090)

para empezar el squidGuard  no está iniciado cada vez que lo reinicio o inicio me topa con el mismo error que muestro más arriba, creo que la solución es borra la cache pero no se donde.

Se puede apreciar que (en prinicipio) el paro no es por reglas o problemas en squidGuard. Seguramente es squid. Si se para squid, se para squidGuard. Revisa log de squid. Prueba borrando la caché de squid, como te dijeron.

No. Entre subredes de pfSense no hay que hacer NAT (en principio). Sólo asegurarse que hay permiso para ir a los equipos que quieras.

Por tanto, como te han dicho, en LAN2 tienes que dar permiso para ir a los equipos de LAN1 que desees.

En cuanto al squid de pfSense tendrás que activarlo para LAN1 y LAN2.

Gracias Bellera, ese en particular no me sirvio, pero gracias a ese encontre estos 2 que si me sirvieron.

https://doc.pfsense.org/index.php/OpenVPN_Site-to-Site_PKI_(SSL)
https://sites.google.com/a/terminuspro.com/internet/manuales/openvpn

Me faltaban las iroutes  :D

@eduardcaballero:

Bellera, no me queda claro lo de usar control con usuario/contraseñas. Podrias por favor explicarlo un poco mas.

Pues en Captive Portal tienes Authentication, que permite bien usar una base de datos de usuarios en pfSense, bien emplear autentificación radius (que puede estar en pfSense -como paquete instalado- o puede ser externo.

Usar uno u otro depende del volumen de usuarios y/o seguridad que se quiera dar.

http://es.wikipedia.org/wiki/RADIUS

Gracias Bellera, una disculpa por dejar el tema abierto, tuve unas complicaciones, ya tengo el servidor en mi oficina donde puedo realizar pruebas, mañana aplicare la solución que me planteas y te comento

No exactamente, la vlan por defecto la deje en tagged en los puertos del pfsense y de conexión con el resto de Switches, al igual que las vlans creadas en el pfsense. El resto de puertos según las conexiones físicas de la máquinas, es decir, cada máquina untagged con su vlan. La vlan por defecto no la podía suprimir, ya que es la que se encarga de la administración.
Un saludo.

no sé porque no hice nada especial

en los dos sitios la shared secret es pruebas, el freeradius 2 ni me arranca por eso uso este.

Hola, la voy a probar …. :P

saludos, en Documentación arriba descrito, existe todo lo que requieres. suerte

Bellera

Gracias por tu colaboración

Se cambio cable  FTP  por ahora esta estable. cual quier incidente lo estaré notificando

Saludos.

Mauricio Niño Avella

@chicago_cs:

¿Alguien me podria explicar si incluyendo en Opciones Avanzadas, pesta Servidor,
route 172.168.1.0/24 255.255.255.0;push "route 192.168.2.0 255.255.0.0";route 192.168.1.0/24 255.255.0.0
ayudaría en algo a mi problema?

172.168.1.0= red túnel
192.168.2.0= red detrás pfSense en el igual sitio fisico
192.168.1.0= red pcs detrás del túnel en ubicación remota.

Si los ping y los tracert van y vienen desde ambos lados, no es un problema de enrutamiento.

Además, las rutas que dices ya las establece la propia conexión OpenVPN. En Diagnostics - Routes puedes ver las rutas que tiene pfSense. Mediante el comando route puedes ver en los Windows sus rutas.

Sólo se me ocurre que tengas un problema de permisos (reglas) en pfSense o en el cortafuegos de los equipos Windows.

O que interfiera tener activado IPv6 en las interfases. Algunos usuarios han manifestado (en algunos casos) problemas con IPv6. Si no es necesario, probar qué pasa desactivándolo.

Pues para salir de la duda sólo tienes que probarlo…