luego de probar con las configuraciones y con el consejo de nonroot de revisar la configuracion de firewall, logre ver el portal cautivo

diseñado para la red, lo logre configurando el rango de ip de la interfaz inalámbrica unido (bridge) al rango de la LAN y luego habilitando

el portal cautivo para la LAN, controlando sin problema el tiempo maximo de conexion dentro de la red y la autentificacion por usuarios y

todo funciona perfectamente … ahora a mejorar esteticamente el portal probando "file manager".

saludos.

gracias nonroot voy a hacer lo que me decis y muy pronto te aviso los resultados.

Muchas gracias nuevamente.

http://forum.pfsense.org/index.php/topic,3470.0.html

MBUF Usage      357 /900
CPU usage    3%
Memory usage    35%
SWAP usage    0%
Disk usage         1%

¿Y el número de estados empleados?

Información Del Sistema:
Tipo                               % De Uso     Libre                  Usado          Tamaño
Memoria Física                  52%          87.50 MB              94.65 MB    182.15 MB

Kernel + applications     22%          39.51 MB Buffers                     30%               55.14 MB Cached                    0%               0.00 KB     
Memoria De Intercambio      0%                 512.00 MB           0.00 KB        512.00 MB

¿Esto de dónde sale? ¿Estás virtualizando pfSense?

Prueba a cambiar la 3COM. Hay gente que ha tenido problemas con ella:

http://www.google.com/search?hl=es&q=%223Com+3c905C-TX+Fast+Etherlink+XL%22+freebsd&lr=

Saludos,

Josep Pujadas

¡Hola!

Según http://forum.pfsense.org/index.php?topic=10337.new;topicseen#new era un fallo de FreeBSD 6.2, que afecta a VLAN, resuelto en las versiones de pfSense que dan en el enlace.

Saludos,

Josep Pujadas

dc0: TX underrun – increasing TX threshold
dc0: TX underrun -- using store and forward mode

Tengo una máquina para pruebas con FreeBSD (bastante vieja) en el que aparece el primer mensaje cuando tiro mucho de ella. Al parecer es sólo un aviso por parte del sistema operativo …

Yo cambiaría tarjetas. Los avisos no son un error grave pero hay que interpretarlos como que el hardware no es demasiado adecuado. Y en un cortafuegos el rendimiento de las tarjetas de red es importante ...

Saludos,

Josep Pujadas

Hola he seguido haciendo pruebas, pero primero os pongo el esquema de red que tengo

balanceador de carga - isa server(3 interfaces de red)

Las 3 interfaces de red del isa serían las siguientes:
interface USUARIOS: ip: 172.16.0.1 mascara: 255.255.0.0: Esta interface es donde van conectados los usuarios. Los usuarios de la red emplean esta ip como gateway pasando por el isa server.
interface INTERNA:ip:172.16.28.100 mascara: 255.255.255.0. Esta interface es donde van conectados los AP's
interface EXTERNA:ip:10.100.0.1, mascara:255.255.255.0, gateway:10.100.0.2(balanceador). Esta interface esta fisicamente conectada con el balanceador.

He montado el vmware con 3 interfaces, las que voy a emplear para la interface LAN y WAN del pfsense vinculadas a la interface EXTERNA.
Luego he cambiado en la interface EXTERNA del isa la puerta de enlace. Le he puesto la 10.100.0.3 que es el PFSENSE.

En la interface LAN del pfsense le he asignado la ip 10.100.0.3, y en la WAN 10.100.0.4 y de gateway 10.100.0.2(balacenador). De este modo las peticiones de los usuarios al isa pasan primero por este y luego al darle salida a internet pasan por el PFSENSE.

El problema que tengo es que necesitaria que se les mostrase el portal captivo a los usuarios, o bien que se emplease este para redireccionar la primera peticion de estos a un servidor web. Como os decia antes la red usuarios está en rango 172.16.X.X.
He creado en vmware otra interface y la he vinculado a la interface fisica del isa server USUARIOS, por lo tanto en pfsense tengo digamos una nueva LAN llamada "OPT1". La he configurado con la ip 172.16.0.3, desde la shell intengo hacer ping al ISA SERVER(172.16.0.1) y recibo respuesta, pero desde el isa server intento hacer ping al PFSENSE por la interface USUARIOS(172.16.0.3) y no recibo respuesta. Además al activar el portal captivo para la interface OPT1 no hace nada, los usuarios navegan sin problemas, pero no se muestra el portal. He desactivado el firewall del pfsense y esta vez puedo hacer ping tanto desde el pfsense como desde el isa empleando la interface de usuarios, pero el portal sigue sin mostrarse.
Se os ocurre alguna idea, otra forma de hacerlo mejor.
Un saludo, espero vuestra ayuda

Gracias Bellera, al fin pude acceder a los routers gracias a la solucion de endcoronel,

Ya que tambien utilizo el portal cautivo…

http://forum.pfsense.org/index.php/topic,5007.0.html

Un Saludo...

de nada

recuerda que es bueno que cierres el hilo, poniendolo como solucionado o simplemente cerrado

saludos

¡Hola!

Dale una ojeada al paquete http://bandwidthd.sourceforge.net/

Está en la lista de paquetes disponibles para pfSense.

Ojo que lo probé y resulta que (si no ha cambiado) la dirección de las estadísticas es consultable por cualquier usuario de la LAN, sin protección por usuario/contraseña. Igual con una regla se puede bloquear el acceso a los datos …

Saludos,

Josep Pujadas

¡Hola!

En realidad pfSense emplea dos cortafuegos simultáneos. Uno para las reglas, PF (Packet Filter) y otro para el portal cautivo, IPFW (IPFIREWALL).

El portal cautivo se comporta de tal manera que hasta que el usuario no pasa la validación su máquina no puede hacer conexiones. Esa es su finalidad …

Si quieres bloquear la navegación te bastará con:

1. Crear un alias_de_ips con las IPs de las máquinas que deseas que no naveguen.
2. Crear un alias_de_puertos con los puertos autorizados (los de correo, DNS, NTP, ...)
3. Crear una regla en LAN de bloqueo para origen el alias_de_ips con destino distino al alias_de_puertos.
4. No emplear el portal cautivo.

Por supuesto está la pega de que esto está basado en IPs, que los usuarios siempre pueden llegarte a cambiar a menos que bases tu instalación en DHCP estático (asignación de IP por MAC), cosa recomendable.

Saludos,

Josep Pujadas

¡Hola!

Sí, montar un servidor de autentificación FreeRadius. Si tienes pfSense en disco duro creo recordar que se puede instalar a partir de los paquetes.

Saludos,

Josep Pujadas

¡Hola!

Entiendo que es normal. Se suele bajar (entrada a la WAN) más información que subir (salida de la WAN).

Las propias ADSL tienen más velocidad de bajada que de subida. De ahí que la "A" por delante, de DSL asimétrica.

Saludos,

Josep Pujadas

Gracias a Bellera tenemos esto

http://www.bellera.cat/josep/pfsense/portal_cs.html

Saludos

Perdonad el retraso, estoy un poco liadillo este mes.
El problema era que los test adsl, la parte del upload no la realizaba.
Tampoco podia subir archivos a una pagina web que tengo.

Despues de bastantes pruebas parece que el fallo viene del apartado pass-through en el portal cautivo.
Si coloco mi mac en esa opcion para que no me salga la pagina de presentacion del portal, al rato ya no se pueden subir archivos.
En el momento que la quito todo funciona ok, pero cada 30 minutos tengo que volver a conectar (asi lo tengo configurado en el portal)
Creo entender que aunque meta mi mac en el pass-through si el portal corta la conexion cada 30 minutos, eso tambien me afecta a mi mac, aunque no salga la pagina del portal.
De momento he probado utilizando la opción de Allowed ip address con From / To a las ip que quiero que se salten el portal cautivo y parece que funciona.
Un saludo.
En cuanto tenga un minuto os pongo el esquema de lo que tengo montado.

Gracias.

¡Hola!

Por favor, otra vez abre un nuevo hilo. De esta forma, el foro está más ordenado y facilita la búsqueda de temas.

Para poder acceder a la administración de pfSense desde el lado WAN es necesario cambiar los puertos por defecto 80 (http), 443 (https)  y/o 22 (ssh). No se puede administrar pfSense desde la WAN empleando estos puertos.

No lo he probado nunca, pero esto es lo que he leí en su día …

No creo que sea necesario hacer NAT desde WAN hacia la IP del lado LAN de pfSense.

Nota: Si en tu red tienes un servidor SSH podrías hacer una conexión a él y hacer un túnel para administrar pfSense. Es otra opción. De esta manera la administración del cortafuegos no está directamente en Internet.

Saludos,

Josep Pujadas

yo tambien soy novato, apenas tengo menos de 1 semana, pero quisiera saber como hacer una regla para limitar el p2p, ares, limewire.

Solucionado, el problema es que el router no hacia nat de los puertos implicados sobre el pfsense.
Ya saben aunque no se pueda hacer ping desde el segmento de la wan ustedes redireccionen los puertos a la dirección ip de la wan pfsense que funciona a la perfección.

ANIMO CON EL FORO.