Ahhhh perfecto, ahora me doy cuenta. Muchisimas Gracias !!! Saludos.

http://forum.pfsense.org/index.php?topic=47023.0

Muchas gracias Josep! Eres muy bueno! Saludos. @bellera: A ver… Todo lo que sea TCP debe tener dos colas en la misma regla: la ACK y la que corresponde a la prioridad de tráfico asignada. Esto es así porque TCP implica acuse de recibo, http://es.wikipedia.org/wiki/ACK mientras que el resto de protocolos, no. La cola ACK es altamente prioritaria porque si falla no puede establecerse la comunicación TCP. De ahí las caídas que tienes. Adjunto imágenes: donde se ve el detalle de las dos colas en una regla TCP. donde se ven las reglas para http y https. Es decir, TCP 80 y 443. donde se ven las reglas para DNS. En TCP 53 y UDP 53. Espero haberme explicado. Saludos, Josep Pujadas

Gracias señor Bellera y a los que postearon en mi ayuda. . . probare  ;D

Ok, ¡felicidades! evitar que aparezca el cuadro de autentificación de Windows en el que debes introducir usuario y contraseña cada vez que inicies el explorador. No lo he hecho nunca pero tengo entendido que esto no sale si la máquina está validada en un Active Directory y el usuario pertenece a él. http://wiki.squid-cache.org/Features/Authentication#How_do_I_prevent_Login_Popups.3F Saludos, Josep Pujadas-Jubany

P.D: no te olvides de marcas esta opcion en el tplink: Deny the stations not specified by any enabled entries in the list to access.   En el Tplink, Wireless -> Distance Setting, pone 'Manual'. quiza por eso no vez tu red en el aire. Amigoo agradecido con tu comentario me ha servido de gran ayuda.. pero tengo la intriga de no saber donde esta esa opcion que me dices. Deny the stations not specified by any enabled entries in the list to access. Muchisimas graciasp por el interes.!

La interfase seleccionada es donde escucha el servidor las peticiones. Normalmente será WAN, si las peticiones vienen de fuera. Y el túnel es del equipo conectado hasta la LAN (de pfSense), como en toda VPN.

Muchas Gracias por su respuesta. cualquier resultado lo estare publicando. 16-abril-2015 - Moderador Vuelven a preguntar lo mismo… https://forum.pfsense.org/index.php?topic=92375

En Documentación (arriba de este foro) tienes estos temas explicados/resueltos… Lo que te sugiero es que vayas paso a paso y no quieras resolver todo a la vez. Me imagino que este enrrutamiento interno tambien se logra con reglas. Cada interfase debe tener una subred distinta (tal como tienes) y debes autorizar el tráfico que quieras de LAN a LAN2 (en LAN rules) y/o de LAN2 a LAN (en LAN2 rules). Natear un servidor Web hacia internet. Arriba, en Documentación: Publicar un servidor en Internet (NAT entrante, NAT Port forward) Ver (con el mismo nombre) servidores publicados en Internet Instalé apache en pfsense a modo de prueba. Yo quitaría esto y haría las pruebas con cualquier servidor web interno. Más que todo para evitar líos entre lo que es configurador web y lo que es el servidor web… Te puede valer hasta una impresora por TCP, que muchas llevan servidor web http://www.apachefriends.org/en/xampp.html como entorno de pruebas. Saludos, Josep Pujadas-Jubany

Si lo que quieres es administrar pfSense desde internet: http://doc.pfsense.org/index.php/Remote_firewall_Administration Emplear una VPN es mucho más seguro. Pero si no quieres, tienes que cambiar de puerto la administración y dar permisos en cada WAN para dicho puerto, sin hacer NAT. Eso es lo que dicen porque siempre empleo OpenVPN o a lo sumo un túnel SSH con un servidor en LAN. Saludos, Josep Pujadas-Jubany

Sigue siendo +- lo mismo… http://openvpn.se/ Revisa logs y ficheros de configuración en ambas partes. Este es mi fichero de configuración actual para acceder en modo road warrior (por certificados) a un pfSense 2.0.1, el cual migré de la 1.2.3, sin cambiar nada: client dev tun proto tcp remote AAA.BBB.CCC.DDD 1194 ping 10 resolv-retry infinite nobind persist-key persist-tun ca MI_VPN.crt cert USUARIO.crt key USUARIO.key pull verb 3 comp-lzo Saludos, Josep Pujadas-Jubany

Si no funciona squidGuard con muchos usuarios seguramente es un problema de que se sobrepasan los procesos asignados a squidGuard y en la configuración de squid está permitido el bypass… Services - Proxy server - General - Custom Options redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf;redirector_bypass on;redirect_children 3 Pon redirect_children 6 y redirector_bypass off No hay que pasarse con el número de procesos. Saludos, Josep Pujadas-Jubany

No tuve ningún problema usando las realtek, la party fue perfecta, a nadie le faltó sus 100MB de internet… Como se nota la falta me Megaupload. En vez de usar CARP (que por cierto, acabo de mirar lo que es, y si no me equivoco es una especia de "script" que en caso de que fallé un router, al otro se le cambié la ip y siga funcionando todo... o eso me ha parecido), tenía otro PC de buckup totalmente configurado igual, era cambiár 2 cables de uno a otro... es muy "cutre", pero es una lan part de 3 dias, en los cuales, los 3 días hay alguien de la organización para hacerlo, aún así, no fué necesario. Ya iremos poco a poco creciendo... comprando mejores switchs, tarjetas de red intel pro... Uso de ancho de banda: http://ubuntu.zimzum.es/zimzum/tlp/status_rrd_graph.php2.htm Otras capturas: http://ubuntu.zimzum.es/zimzum/tlp/

Una opción es usar el Captive portal. Para lograr lo que tu quieres tendrías que ajustar las siguientes opciones: 0. Iddle timeout: 5 min. 1. Hard timeout: en tu caso serian los 10 min. 2. Pass-through credits allowed per MAC address: 1 Con estas opciones se puede lograr lo que comentas. El único problema con esta configuración es que todos tus usuarios tendrán que iniciar sesión cada 10 min.

Mira la ocupación de memoria en el DashBoard y los gráficos RRD porque 256 MByte me parece poco para cortafuegos y proxy… Sobre el procesador también puedes ver cómo va en el DashBoard y en los gráficos RRD.

Google ipsec site to site site:pfsense.org http://forum.pfsense.org/index.php/topic,45849.0.html A ver si sirve… Saludos, Josep Pujadas-Jubany

El NAT no es obligatorio. Sirve para que: Desde una red de múltiples IPs se vea una sola. Como seguridad, para no revelar IPs y puertos reales. Por tanto, entiendo que si lo quieres quitar debe poderse hacer. De todas maneras yo me conecto desde casa al trabajo como road warrior. Y desde la red del trabajo puedo acceder a mi equipo, si quiero. Esto sólo depende de los permisos que tenga en cada LAN, la del trabajo y la virtual (de OpenVPN). O sea que te diría que revises tus reglas de pfSense en ambas LAN. Saludos, Josep Pujadas-Jubany

No entiendo muy bien la situación. Si son 3 interfases tienen que ser 3 subredes distintas. Parece que es así… pero no entiendo qué tiene que ver el DHCP de pfSense con la IP de la tercera interfase. Deberías fijarla a 192.168.2.1/24 y, en todo caso, levantar el DHCP en ella si es que está conectada a otro switch (o VLAN) que no sea el de la 192.168.1.1/24. Parece como si estuvieras mezclando cosas, con lo que puede pasar de todo... Saludos, Josep Pujadas-Jubany

Puedes poner una regla para tu tráfico TCP 3389, activar su log y con una herramienta de análisis de logs (mrtg, rrd) obtener la información que desees. No es obvio pero se puede hacer. rrd ya la tienes, además, en el propiop pfSense. Saludos, Josep Pujadas-Jubany

Tiene pinta de que tengas más de un DHCP en tu red o de que estés asignando IPs ocupadas por otros equipos y entren en conflicto. Saludos, Josep Pujadas-Jubany