Gracias por tu respuesta @j-sejo1
Al final mi problema era el NAT Reflection, viendo la documentación encontré esto y me solucionó el problema.
https://docs.netgate.com/pfsense/en/latest/recipes/port-forwards-from-local-networks.html
Segun tengo entendido otros routers lo hacen automáticamente, acá hay que tildar esas opciones.
Saludos!

Lograste solucionarlo?

Lo que creo que debes hacer:

Si tu enlace es etiquetado con vlan deben crear la misma vlan asociada la interface física que usas actualmente para WAN.

Ejemplo, asumiendo que:
WAN es igb0
LAN es igb1
VLAN de tu proveedor 100

1 - Debes crear la VLAN 100 asociada a igb0 para crear igb0.100
2 - Asigna WAN a igb0.100
3 - Agrega los alias a la nueva interface WAN

Si tu hardware actual no soporta las ultimas versiones de pfsense estas en urgencia de cambiarlo.

Si el TP-Link esta haciendo NAT no hay forma de que las IP de su lado WAN tengan acceso al lado LAN sin port forward o rutas estaticas.

A menos que tengas una necesidad especifica, apaga el DCHP en el tp-link y usalo como un simple AP.

Es raro, si pfsense sabe como llegar a ambas redes, si permito el trafico en ambos sentidos desde LAN a WLAN deberian poder verse, creo que esta faltando alguna ruta estatica desde la WLAN para poder alcanzar la LAN, porque si hago un traceroute desde WLAN no sabe ni como hacer el primer salto.

@Daniel506 El log lo puedes ver en el menu Status > System Log > OpenVPN

Pero en la Gui solo tendras siempre los 50 ultimos.

Por Defecto, los Firewall, (incluso fortinet, cisco, juniper, etc) No estan diseñador para almacenar Log para historico, ya que esto les restaría performance y recursos para su mantenimiento.

Te recomiendo montar aparte un servidor de Log o "recolector" como algunos le llaman, y alli podes guardar con historico mas amplio los log. Desde algo sencillo con Rsyslog-ng o hasta algo mas avanzado. como un OSSIM (SIEM).

Incluso con Zabbix o Nagios puedes emitir alertas via telegram que te notifique cuando alguien se conecte.

Saludos.

Bueno, si no usas VPN y sólo abres puertos, creo que sabes que aparte de crear reglas de entrada/salida en el pfSense, igual debes hacerlo en el ROUTER que te da el ISP.

De lo poco que conozco y he hecho, cuando pongo un pfSense, desactivo el DHCP del router, dejo fija una IP en la WAN del pfSense, luego en el router entro para crear una regla CON TODOS PUERTOS ABIERTOS A LA IP DE LA WAN DEL PFSENSE y ya en dentro del pfSense que realmente controlo lo que entra/sale.

Si lo tenes así, entonces debería funcionar.

@BrujoNic Hola mira tengo problemas con el controlador de dominio, uso una lan, hay forma de comunicarme contigo por fb, o email, para poder explicarte mejor.

@CLLinas Mira pfSense Documentation. En el buscador coloca Squid y revisas, Squidguard y revisar o descarga la documentación en pdf. Esa es la documentación oficial.

También podrías buscar en internet en guías no oficiales que son útiles. En squidguard te recomiendo que descargues la lista gratuita de shallalist para que tengas una base y entre las opciones de Squidguard, hay una donde podes bloquear equipos o IPs internas.

Ahora no tengo un pfSense instalado, por lo que no te puedo decir exactamente donde.

Es una pagina si ingreso con usuario y contraseña ingresa pero si ingreso con el certificado digital que responde a esa pagina me sale ese error.

@robertopolo

Tienes 2 Opciones.

VLans y Pfsense como enrutador, Es decir pfsense controlaria cada una de las "patas" de cada red. Es lo ideal para darle un toque de seguridad cuando en el core (capa3) no tienes modulo de seguridad activo.

Vlans, pero el suiche core (capa3) es el enrutador. La ventaja, si el pfsense se cae, las red interna sigue funcionado. es decir todo servicio que no tenga que pasarp or pfsense seguida viendoce, ej correo, impresion, dns, dhcpo, etc. dominio... Punto en contra. no puedes darle seguridad o discriminar conmunicacion entre redes. Tendrias que hacerlo en el core (si esta habilitado el modulo de seguridad).

@mandrade Técnicamente se puede hacer.

Que pfsense lo haga de forma nativa? no creo, quizás dependas de configuraciones que debas hacer por debajo.

Tuve la oportunidad de manejar un Relay con Postfix el cual autenticaba usuarios LDAP de un Linux y usuarios LDAP de un Directorio Activo de Microsoft. En el proceso de autenticacion (sasl), de diseño un query para buscar en los 2 LDAP la paticion de autenticacion.

@Andres45 De poder se puede. Todo esta en la programación y las api de facebook. Por que a la final lo que necesitas es esto:

<form method="post" action="$PORTAL_ACTION$">
<input name="auth_user" type="text">
<input name="auth_pass" type="password">
<input name="auth_voucher" type="text">
<input name="redirurl" type="hidden" value="$PORTAL_REDIRURL$">
<input name="zone" type="hidden" value="$PORTAL_ZONE$">
<input name="accept" type="submit" value="Continue">
</form>

El programador al ver este código, algo se ingeniará, hay de mostrarle las ideas.

Saludos.

Sí, fue eso, borré la caché DNS y funciona.

@emazco

¿En qué apartado de Squid y con qué formato lo has puesto?

EL /30 la configuras como WAN en Pfsense. Al colocarla, deben tener por lo menos ping hacia la red wan ej a 8.8.8.8 es decir ya tienen internet. (esta interfaz va sobre VLAN que ellos te dan)

Luego crean una WAN (sin vlan) sobre la misma intertaz WAN

Alli van a cargar la prima IP Publica del segmento /29. (esa interfaz no lleva gateway si mal no recuerdo, tengo dudas, lo que pasa que el equipo que tenia bajo ese esquema ya no tengo acceso y no tengo respaldo a la mano =(

Luego deben crear una ruta estatica wan, que diga que el segmento /29 va a salir por el gateway del segmento /30.

Por ultimo cargan el resto de las ip del pool /29 como virtual IP para efectos de la publicación de los servicios NAT.

Lean esto: https://forum.netgate.com/topic/120225/solucionado-ayuda-configuraci%C3%B3n-de-metro-ethernet-cantv/7

Saludos.

https://forum.netgate.com/topic/21817/recomendaciones-al-postear

https://docs.netgate.com/pfsense/en/latest/nat/port-forwards.html

https://docs.netgate.com/pfsense/en/latest/troubleshooting/nat.html#port-forward-troubleshooting