@chpalmer no está detrás de un enrutador y el único firewall es el propio de la pc remota

@jperezme Conozco a Pedro, el famosisimo Pheriko! Con él aprendí mucho sobre pfsense.

Ahora el problema de MITM es que es una práctica no recomendable, depende del país, podría ser penada. Ya que es exactamente como si al enviar una carta, el cartero la leyera, por ende no es una práctica recomendable y adecuada.

Creeme, yo también pensé en eso y el problema de MITM aparte de lo que te acabo de escribir, está en ir navegador por navegador a instalar el certificado y darle aceptar...

Por el momento, yo no he tenido grandes problemas, así que seguiré trabajando asi.

Saludos

@Jerry663 mandame un mensaje privado, saludos.

@ptt Me guardo la documentación que nunca viene mal pegarle un vistazo! Gracias

gracias ptt por tu interés.
como he comentado antes, he conseguido que funcionase y tener conexion con el exterior. pero todos los dispositivos que tengo los tengo el la red 192.168.0.1, por lo que he decido cambiar la lan a esta red a sido cambiar la lan a esta red y dejar todo de funcionar.
adjunto una captura, eso es solo lo que he tocado.
lan1.png

@ptt Mi hermanoooo muchisimas gracias... "Debes tener en cuenta el orden de las reglas" me ilumino... jaja. coloque las reglas de los alias privado y ruta gandalf despues del balanceo.. y me salia el tracert por el isp 1. pero el speedtest por el isp2. entonces coloque privado tanto arriba como abajo de balanceo al igual que ruta gandalf... y me anda A1... tengo salide de speedtest por isp y tracert tambien... Que happy es la vida cuando despues de 3 dias das en el clavo.. Gracias hermano mioo..

PD: la WAN por DHCP es mi default gateway por que es la que tiene mejor ancho de banda para navegar.

Squid + SquidGuard.

hay buena doc en la pagina de pfsense que te han mandado.

igual que tutos en youtube.

Debes buscar los comandos para poner en modo trunk el switch y así poder pasar las VLAN's por el puerto hacia el SG-1100.

En cuanto a las VLAN's del SG-1100 una vez que las creas debes ir a Interfaces -> Switches -> VLAN's y agregar los tag's de todas las VLAN's que hayas creado, taggeando el puerto 0 y el 2 quedando de la siguiente manera.

vlan's.jpg

Debes tener una interfaz CARP en cada fw, cada uno conectado a 1 switch en una VLAN. Y que tenga comunicacion entre firewalls a traves de esa interfaz.

Creo que si intentas CARP entre tus firewalls con distintos proveedrores/segmentos en tu WAN, tendras problemas con las Virtual IP's

Ya que no podras administrar los segmentos de ips publicas de tu fw1 (cuando tenga una falla) en tu fw2.
Inclusive puede que te aparezcan errores en el Estatus de carp, no te puedo asegurar porque nunca he probado CARP con distintos proveedores en cada firewall.

El esquema de red lo tienes en la misma documentación.
https://docs.netgate.com/pfsense/en/latest/highavailability/configuring-high-availability.html

Con la "información provista" dfícil poder dar una respuesta concreta.

https://forum.netgate.com/topic/21817/recomendaciones-al-postear

Como haces eso?

@j-sejo1 gracias por tu pronta respuesta, por lo consultado, si es Windows en este caso 10, ya había probado el tema de ejecutarlo como administrador y por el check Allow communication between clients connected to this server también lo tengo activo, pero aun así persiste el problema, no se que puede ser, si lo que te puedo indicar que cuando cree los certificados el firewall contaba con otra IP WAN no con la que tengo actualmente, eso podría ser un problema o no tiene nada que ver, lo raro es que cuando lo implemente la primera vez funciono, después de un par de días quedo con este problema.

Hola.

Que es team speak ? Esta en la misma LAN?

Listo, lo estoy probando, muchas gracias. Te informo

@jba said in Visibilidad Wan desde lan:

Cisco Iphone 303

Te voy a responder tal y como se me presentó a mi hace años en una empresa, la cual conecté una sede de un punto, a la central.

La red de la central, tenía su rango de IPs X.X.X.X y dentro estaba la central telefónica SIP con Asterisk, donde los teléfonos IPs eran ciscos.

La sede u otra oficina remota, tenía su propia red interna X.X.X.X, teléfonos IPs Cisco sin central telefónica.

Se creó una VPN Site to Site y cuando se logra la conexión, los teléfonos IPs de la sede u oficina remota, perfectamente se registraban a la PBX y funcionaban.

¿Qué veo de diferente en tu caso, si es que comprendí bien? Que tenes los teléfonos CISCO, en otra red que le pones WAN. Tampoco escribes si los teléfonos IPs funcionan bien o se autentican a la PBX y tampoco qué tipo de PBX usas.

Si la VPN funciona y la PBX no, ahí es donde debes de revisar tu esquema de red, nateos, puerta de enlace, etc.

Hola, @Protelia el rango que indicas como "169.254.0.0/16" no es buena idea utilizarlo. Te recomiendo que utilicen otro (ver https://rootear.com/windows/ip-169-254) por otro lado, si has logrado conectarte mediante OpenVPN revisa en los logs, lo más normal es que tenga que crear algunas reglas para poder acceder a los servicios que necesitas.

saludos.