@lsarmiento Pudiera ser un tema de rutas. Por que si en ipsec te conectas pero no llegas a nada. quiere decir que la config de autenticacion esta OK, pero si no llegas a nada, entonces ya es un tema de rutas/firewall.

@ffrcaraballo said in Permitir enviar a una sola ip: Gracias sos de mucha ayuda(?) De nada ! Cuando gustes.

No, no todas... Es lo más extraño.

Sí claro, sí está activo. Es de ahi de donde leo los logs, incluso por consola con tail -f /Var/squid/logs/accede.log y en ningún momento veo un tcp_hit, es decir Monse está obteniendo nada del caché. De hecho reconstruí la caché del proxy y sigue en las mismas, si solicitas la misma página todo el tiempo es realizándose la petición al recurso original.

Amigos he hecho las pruebas respectivas pero no logro que los clientes wifi puedan tener navegar, los PING y TRACERT si funcionan pero al usar el navegador de internet no logro conectar a ninguna página ni por resolución de nombres ni tampoco por resolución de IPs agradezco la ayuda al tema. Quiero aprender a controlar este fascinante mundo de pfSense que lo veo muy interesante. Gracias a todos por sus consejos. Saludos [image: 1593384048531-dhcp_dns.png] [image: 1593384048479-error-navegacion.png] [image: 1593384048453-error-navegacion2.png] [image: 1593384048427-ruleswifi.png] [image: 1593384048400-outbound.png] [image: 1593384048344-pruebas_ping_tracert_nslookup.png]

Cambiar el puerto de administracion No usar el usuario admin Permitir solo puertos que van a usar Evitar usar reglas any any any

Gracias, con mas o menos 40 personas el consumo de ram es de casi 2 GB, lo tengo por el momento solo con VPN, despues seria colocar ya en buena medida un Firewall.

@j-sejo1 gracias por tu respuesta y se entiende lo planteado.

@Thunder Adicional a lo que te han comentado. Siempre apóyate con los alias. De esta forma podrás simplificar algunas reglas. Saludos.

@j-sejo1 son unos 15 o 20 usuarios máximo

¿Le pusiste los DNS? Sin eso, no vas a navegar en tu red.

@CXSAS ¿Te ha funcionado?

@marcogarciav Hola. Prueba a hacer otra prueba distinta para medir el ancho de banda. Prueba a calcularlo tú mismo haciendo muchas descargas a la vez de ficheros grandes. Yo suelo usar descargas de fichros iso de versiones de Linux tales como Centos, Ubuntu, etc. De tal manera que dejas descargando muchos de ellos a la vez, y como con grandes tardarán un poco, y así puedes ver el consumo. Usa este "método" en lugar de speedtes.

@rubenmv Me ha pasado con algunos enlaces de ISP que vienen con vlan. Cuando pegas el windows directamente y le seteas una IP publica que te da el provedor. navega como si nada. Pones un Linux o pfsense como tal, y nada no navegas. dependes del tag de vlan Creo que tiene su explicación por que windows lo hace.... en fin. en otro tiempo lo investigare jejeje. Saludos.

@BrujoNic said in Categorias: Ok, habilitaste Squid y SquidGuard. ¿De dónde tomaste las reglas? De algún lado debiste tomarlas porque de lo contrario, NO habría categoría de nada. Las que normalmente se descargar sin pagar son de http://www.shallalist.de/ y si no ves alguna categoría en específico, debes crearla. Ya te lo respondí.

Tengo una duda. Supongo que si me pongo a "imaginar" tu esquema de red seria Router del ISP (WAN), pfSense (pS) y Red Lan (RL). Algo como esto: WAN--> Tarjeta WAN pS-->RL. Si es así, lo primero que yo haría para no dar una explicación LARGA, es configurar la WAN del pS con una IP fija fuera del rango que reparte el WAN, luego en el router, abrir TODOS los puertos a la IP WAN del pS y teniendo todo eso listo, simplemente abres el o los puertos que vayas a necesitar a las IPs de tu red interna. De nada vale que hagas reglas hacia el exterior, si no tenes abierto el exterior para nada.

@Andserfig Hola. Primero, respecto a tu pregunta "Existe algun problema en disponer de más de una ruta estática ?", comentarte que yo nunca he usado las rutas estáticas (SYSTEM - ROUTING - STATICS ROUTES) para encimar tráfico en un pfsense hacia una ruta que está "enrutada" a través de un túnel ipsec en ese equipo pfsense. No digo que no se pueda, pero yo nunca lo he hecho, ni en pfsense ni en otros dispositivos firewall con capacidades ipsec. El motivo de no hacerlo es que cuando llega un paquete tcpip al pfsense con destino a la ruta x y dicho pfsense tiene la ruta x en un túnel ipsec, entonces ya sabe por donde enviarlo. Así que no es necesario. Si con el término "ruta estática" te refieres a tener múltiples rutas de red en un túnel ipsec, te comento que es algo habitual. Yo lo tengo en varios túneles ipsec y es práctica habitual según mi experiencia. Espero haber respondido a tu pregunta. Viendo las últimas capturas de pantalla, yo lo veo correcto. Así es como yo lo haría, que es como decía en mi primer comentario, es decir, agregar VNET2 al túnel ipsec. Saludos.

Este procedimiento ya lo he hecho en el servidor de pruebas que tengo virtualizado y funciona bien, de hecho la segunda imagen es de ese servidor... Espero me puedan ayudar, reinstalar el servidor de producción no hes una opción una buena, pues este procedimiento me llevaría unas dos horas y tengo muchos clientes