En Documentación (arriba de este foro) tienes estos temas explicados/resueltos…

Lo que te sugiero es que vayas paso a paso y no quieras resolver todo a la vez.

Me imagino que este enrrutamiento interno tambien se logra con reglas.

Cada interfase debe tener una subred distinta (tal como tienes) y debes autorizar el tráfico que quieras de LAN a LAN2 (en LAN rules) y/o de LAN2 a LAN (en LAN2 rules).

Natear un servidor Web hacia internet.

Arriba, en Documentación:

Publicar un servidor en Internet (NAT entrante, NAT Port forward) Ver (con el mismo nombre) servidores publicados en Internet

Instalé apache en pfsense a modo de prueba.

Yo quitaría esto y haría las pruebas con cualquier servidor web interno. Más que todo para evitar líos entre lo que es configurador web y lo que es el servidor web…

Te puede valer hasta una impresora por TCP, que muchas llevan servidor web http://www.apachefriends.org/en/xampp.html como entorno de pruebas.

Saludos,

Josep Pujadas-Jubany

Si lo que quieres es administrar pfSense desde internet:

http://doc.pfsense.org/index.php/Remote_firewall_Administration

Emplear una VPN es mucho más seguro.

Pero si no quieres, tienes que cambiar de puerto la administración y dar permisos en cada WAN para dicho puerto, sin hacer NAT.

Eso es lo que dicen porque siempre empleo OpenVPN o a lo sumo un túnel SSH con un servidor en LAN.

Saludos,

Josep Pujadas-Jubany

Sigue siendo +- lo mismo…

http://openvpn.se/

Revisa logs y ficheros de configuración en ambas partes.

Este es mi fichero de configuración actual para acceder en modo road warrior (por certificados) a un pfSense 2.0.1, el cual migré de la 1.2.3, sin cambiar nada:

client dev tun proto tcp remote AAA.BBB.CCC.DDD 1194 ping 10 resolv-retry infinite nobind persist-key persist-tun ca MI_VPN.crt cert USUARIO.crt key USUARIO.key pull verb 3 comp-lzo

Saludos,

Josep Pujadas-Jubany

Si no funciona squidGuard con muchos usuarios seguramente es un problema de que se sobrepasan los procesos asignados a squidGuard y en la configuración de squid está permitido el bypass…

Services - Proxy server - General - Custom Options

redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf;redirector_bypass on;redirect_children 3

Pon redirect_children 6 y redirector_bypass off

No hay que pasarse con el número de procesos.

Saludos,

Josep Pujadas-Jubany

No tuve ningún problema usando las realtek, la party fue perfecta, a nadie le faltó sus 100MB de internet… Como se nota la falta me Megaupload.
En vez de usar CARP (que por cierto, acabo de mirar lo que es, y si no me equivoco es una especia de "script" que en caso de que fallé un router, al otro se le cambié la ip y siga funcionando todo... o eso me ha parecido), tenía otro PC de buckup totalmente configurado igual, era cambiár 2 cables de uno a otro... es muy "cutre", pero es una lan part de 3 dias, en los cuales, los 3 días hay alguien de la organización para hacerlo, aún así, no fué necesario. Ya iremos poco a poco creciendo... comprando mejores switchs, tarjetas de red intel pro...

Uso de ancho de banda:
http://ubuntu.zimzum.es/zimzum/tlp/status_rrd_graph.php2.htm

Otras capturas:
http://ubuntu.zimzum.es/zimzum/tlp/

Una opción es usar el Captive portal. Para lograr lo que tu quieres tendrías que ajustar las siguientes opciones:

0. Iddle timeout: 5 min.
1. Hard timeout: en tu caso serian los 10 min.
2. Pass-through credits allowed per MAC address: 1

Con estas opciones se puede lograr lo que comentas. El único problema con esta configuración es que todos tus usuarios tendrán que iniciar sesión cada 10 min.

Mira la ocupación de memoria en el DashBoard y los gráficos RRD porque 256 MByte me parece poco para cortafuegos y proxy…

Sobre el procesador también puedes ver cómo va en el DashBoard y en los gráficos RRD.

Google ipsec site to site site:pfsense.org

http://forum.pfsense.org/index.php/topic,45849.0.html

A ver si sirve…

Saludos,

Josep Pujadas-Jubany

El NAT no es obligatorio. Sirve para que:

Desde una red de múltiples IPs se vea una sola. Como seguridad, para no revelar IPs y puertos reales.

Por tanto, entiendo que si lo quieres quitar debe poderse hacer.

De todas maneras yo me conecto desde casa al trabajo como road warrior. Y desde la red del trabajo puedo acceder a mi equipo, si quiero. Esto sólo depende de los permisos que tenga en cada LAN, la del trabajo y la virtual (de OpenVPN).

O sea que te diría que revises tus reglas de pfSense en ambas LAN.

Saludos,

Josep Pujadas-Jubany

No entiendo muy bien la situación.

Si son 3 interfases tienen que ser 3 subredes distintas. Parece que es así… pero no entiendo qué tiene que ver el DHCP de pfSense con la IP de la tercera interfase.

Deberías fijarla a 192.168.2.1/24 y, en todo caso, levantar el DHCP en ella si es que está conectada a otro switch (o VLAN) que no sea el de la 192.168.1.1/24.

Parece como si estuvieras mezclando cosas, con lo que puede pasar de todo...

Saludos,

Josep Pujadas-Jubany

Puedes poner una regla para tu tráfico TCP 3389, activar su log y con una herramienta de análisis de logs (mrtg, rrd) obtener la información que desees.

No es obvio pero se puede hacer. rrd ya la tienes, además, en el propiop pfSense.

Saludos,

Josep Pujadas-Jubany

Tiene pinta de que tengas más de un DHCP en tu red o de que estés asignando IPs ocupadas por otros equipos y entren en conflicto.

Saludos,

Josep Pujadas-Jubany

si quiero ingresar por el nombre del equipo no me deja..

http://forum.pfsense.org/index.php/topic,23409.0.html

NAT Reflection
Split DNS (recomendado)

Saludos,

Josep Pujadas-Jubany

@bellera:

dementekuatiko,

Tienes razón. DNS es normalmente UDP 53 y hay servidores DNS que también operan por TCP.

Seguramente los equipos de yerba deben estar en DHCP con lo que entonces se toma como DNS local al propio pfSense, que a su vez recurre a los externos que tenga configurados.

Es por eso que le debe funcionar sin haber indicado TCP/UDP.

No me percaté de ello…

Saludos,

Josep Pujadas Jubany

si es verdad lo tengo como DHCP, primero no puse la regla del DNS y no navegaba, pero luego le agregue UDP 53 y con eso funciono. No use TCP/UDP.

Como bien dices nada pierdo asi que hice lo que me recomendaste…por ahi te platico despues como me fue.

Saludos

Gracias amigo… saludos  :)

BUENO AMIGO LA SOLUCION ERA COLOCARLE UN CABLE DE EXCELENTE CALIDAD…

UN CABLE UTP CAT6 DE 350MHZ, fue el causante de que el CPE funcionara excelentemente bien!
Agradecido por los que comentaron!!

muchisimas gracias#

Muchas Gracias Periko por tu respuesta.

El squid y squid guard los tengo ya funcionando en modo transparente y filtrando por IP.

Cuando desactivo el modo transparente y configuro el proxy en el explorardor de mi equipo, me aparece el siguiente mensaje al intentar acceder a cualquier página web:

Potential DNS Rebind attack detected, see http://en.wikipedia.org/wiki/DNS_rebinding
Try accessing the router by IP address instead of by hostname.

¿A que puede debido?

Gracias y un saludo

@dementekuatiko:

Lo de NO-IP es sencillo
1-Entras a la pagina y te creas una cuenta (http://www.no-ip.com/)
2- creas un dominio en la misma pagina de no ip.
3- En el pfsense vas a services–->dynamic DNS y colocas el dominio que creaste y tu password
4- Ya dentro de Dynamic dns en la opcion Service type escojes tu proveedor del servicio. en mi caso fue no ip.
5- configuras el usuario y password que escojiste para ese dominio y listo

@ZAC:

Esta fuera de tema, pero, ¿podrías hacer un post de como hacer eso de no ip?, es que pronto voy a tener que salir de aquí y me gustaría checar mi red desde afuera, pero tengo ip dinámica

¿Osea que no-ip va a ser mi nuevo proveedor de DNS?, o solo va a ser para que pueda acceder desde afuera al pfSense?, disculpa mi ignorancia.

Efectivamente, a partir de la version 2, el "Outbound Load Balance" paso a estar en "System –> Routing" --> "System: Gateway Group"

Gateways/Multi-WAN
Gateways, including dynamic gateways, are specified under System > Routing
Gateways can have custom monitor IPs
Gateways can have a custom weight, allowing load balancing to have ratios between WANs of different speeds
Gateways can have custom latency, loss, and downtime trigger levels.
Gateway monitoring via icmp is now configurable.
You can have multiple gateways per interface
Multi-WAN is now handled via gateway groups
Gateway groups can include multiple tiers with any number of gateways on each, for complex failover and load balancing scenarios.

Por eso te pasé el link a la documentacion referida a la version 2.0 ;)

Ahora puedes editar el titulo de tu tema y agregarle [ Resuelto ]

Saludos