si quiero ingresar por el nombre del equipo no me deja.. http://forum.pfsense.org/index.php/topic,23409.0.html NAT Reflection Split DNS (recomendado) Saludos, Josep Pujadas-Jubany

@bellera: dementekuatiko, Tienes razón. DNS es normalmente UDP 53 y hay servidores DNS que también operan por TCP. Seguramente los equipos de yerba deben estar en DHCP con lo que entonces se toma como DNS local al propio pfSense, que a su vez recurre a los externos que tenga configurados. Es por eso que le debe funcionar sin haber indicado TCP/UDP. No me percaté de ello… Saludos, Josep Pujadas Jubany si es verdad lo tengo como DHCP, primero no puse la regla del DNS y no navegaba, pero luego le agregue UDP 53 y con eso funciono. No use TCP/UDP.

Como bien dices nada pierdo asi que hice lo que me recomendaste…por ahi te platico despues como me fue. Saludos

Gracias amigo… saludos  :)

BUENO AMIGO LA SOLUCION ERA COLOCARLE UN CABLE DE EXCELENTE CALIDAD… UN CABLE UTP CAT6 DE 350MHZ, fue el causante de que el CPE funcionara excelentemente bien! Agradecido por los que comentaron!! muchisimas gracias#

Muchas Gracias Periko por tu respuesta. El squid y squid guard los tengo ya funcionando en modo transparente y filtrando por IP. Cuando desactivo el modo transparente y configuro el proxy en el explorardor de mi equipo, me aparece el siguiente mensaje al intentar acceder a cualquier página web: Potential DNS Rebind attack detected, see http://en.wikipedia.org/wiki/DNS_rebinding Try accessing the router by IP address instead of by hostname. ¿A que puede debido? Gracias y un saludo

@dementekuatiko: Lo de NO-IP es sencillo 1-Entras a la pagina y te creas una cuenta (http://www.no-ip.com/) 2- creas un dominio en la misma pagina de no ip. 3- En el pfsense vas a services–->dynamic DNS y colocas el dominio que creaste y tu password 4- Ya dentro de Dynamic dns en la opcion Service type escojes tu proveedor del servicio. en mi caso fue no ip. 5- configuras el usuario y password que escojiste para ese dominio y listo @ZAC: Esta fuera de tema, pero, ¿podrías hacer un post de como hacer eso de no ip?, es que pronto voy a tener que salir de aquí y me gustaría checar mi red desde afuera, pero tengo ip dinámica ¿Osea que no-ip va a ser mi nuevo proveedor de DNS?, o solo va a ser para que pueda acceder desde afuera al pfSense?, disculpa mi ignorancia.

Efectivamente, a partir de la version 2, el "Outbound Load Balance" paso a estar en "System –> Routing" --> "System: Gateway Group" Gateways/Multi-WAN Gateways, including dynamic gateways, are specified under System > Routing Gateways can have custom monitor IPs Gateways can have a custom weight, allowing load balancing to have ratios between WANs of different speeds Gateways can have custom latency, loss, and downtime trigger levels. Gateway monitoring via icmp is now configurable. You can have multiple gateways per interface Multi-WAN is now handled via gateway groups Gateway groups can include multiple tiers with any number of gateways on each, for complex failover and load balancing scenarios. Por eso te pasé el link a la documentacion referida a la version 2.0 ;) Ahora puedes editar el titulo de tu tema y agregarle [ Resuelto ] Saludos

Cuando algun servicio no funciona como uno espera, siempre hay opcion de subir el nivel de logs: options verb 4 o 5 , etc. Vas a ver mucha info pero trata de entenderla o bien la pegas aqui a lo mejor entre todos podriamos entenderlo, saludos!!!

Muchas Gracias Periko, Tal y como decía el usuario funcionaba. Ya ahí conexión entre el AD y pfsense. Ahora desactivo proxy transparente, ya que antes filtraba por ip. Y en lugar de poner las ip a bloquaer dentro del squid guard, introduzco los nombre de los usuarios, pero no hace nada. Hay algo que pueda estar pasando por alto? Le faltaría algo al squid guard para que utilice las autentificaciones del AD para permitir/denegar permisos? Un saludo

Debo decir que no estoy utilizando el captive portal, solo el freeradius, deje el campo de Number of simultaneous connections en "1" "0" y "2" y puedo seguir usando las 2 cuentas al mismo tiempo, cosa que no quiero que suceda, alguna otra idea?? Gracias

No deja pasar a ningun equipo por la WAN por lo cual tengo que reiniciar el servidor. Tendrás que ir descartando cosas… Hazte con algunas IPs de internet que estés seguro contesten a ping y cuando tengas el bloqueo pinguea, a ver qué. Adjunto imagen. Si tienes conexión puede que sean tus DNS los que fallen e impidan la navegación. Prueba nslookup o dig indicando por nombre y por IP (resolución inversa). Mira en Status - RRD Graphs - System el histórico de estados, de uso de la CPU y de la memoria RAM. Podría ser que estuvieses superando el número máximo de estados posibles. Esto puede pasar por usuarios que abusen de las conexiones u otras causas más complejas. Saludos, Josep Pujadas Jubany [image: diagnostics_ping.jpg] [image: diagnostics_ping.jpg_thumb]

Encontre este video en un foro sobre limiter en pfsense 2 y lo comparto xq a mi me sirvio y por ahi le puede servir a alguien mas. https://www.youtube.com/watch?v=WhlBhMSG2t8 saludos…

Veo que seguiste en http://forum.pfsense.org/index.php/topic,45548.msg250860.html#msg250860

@frontsidebus: un consejillo, si vas a meter tantos usuarios, no te seria mas comodo usar freeradius y mysql en un servidor externo y hacerte una web para introducir los usuarios? mas que nada, por comodidad y no estar tocando tanto el router y porque en local no usas base de datos ni nada, es a pelo. piensa que si luego debes exportar listas de usuarios etc o reinstalar el router, es un coñazo. nosotros lo tenemos asi y va de lujo, asi un operador puede dar de alta un usuario sin tener que toketear el pfsense. saludos. Es que tengo el pfSense en un local aislado y no es plan de "desperdiciar" otra máquina para montar el servidor freeradius externo. De todas formas gracias por el consejo  ;)

Gracias, el problema ya está solucionado. Tenía que reiniciar el pfsense. Respecto al modo no trasnparente, en relación a vuestra experiencia, ¿como configurarías el pfsense por perfiles? ¿Por ip o por usuario?

Si te entendi bien, lo que necesitas es colocar en Bridge la interfase LAN y la WAN, de esta forma solo necesitas colocar a la red la interfase WAN, ojo debes tener instalada la otra tarjeta fisicamente, pero ahi ya no conectas nada. Interfaces -> assing -> Bridges

Bueno, pues deciros , que despues probar esto de manera provisional en  un ordenador viejo, lo he pasado  a un pc nuevo atom, con caja mini itx , creo suficiente para mi casa y ya lo tengo funcionando correctamente. os dejo las fotos Saludos y gracias a todos [image: p1040981e.jpg] Uploaded with ImageShack.us [image: p1040979x.jpg] Uploaded with ImageShack.us [image: p1040986t.jpg] Uploaded with ImageShack.us

Muchas gracias por tus respuestas, si, eso les dejo muy claro desde la primera ocasión que les doy el usuario, yo más bien pienso que se pusieron a ver lo que ven mis clientes, les mandaron tal vez la página del portal solicitando el usuario y la contraseña y estos cayeron, creo que hubo ataque de hombre en medio, lo creo porque me han comentado que de repente sus navegares al entrar a sus correos le dice que el certificado de seguridad no concuerda, o errores de ese tipo, pero de todo lo demás ya lo hago así como lo has descrito. No se que más pueda hacer con RADIUS, aunque con lo que tengo ahora mismo me basta, lo que me preocupa es la seguridad =(, pero bueno, creo que no hay manera. Saludos y gracias =).

Eso para el tiempo máximo de conexión O bien, la otra es «Idle timeout», para el tiempo de inactividad, si quieres que el usuarios después de una cierto tiempo de inactividad tenga que volver a pasar por el portal cautivo, es en minutos.