debes crear un swich virtual al cual esta conectaro a la tarjeta fisica y tu switch fisico y configurar ese switch virtual con las vlan que van a pasar por el, yo uso vmware pero es el mismo principio

Quizas eliminaron o modificaron alguna regal en el nat portfordwarding... que no hace mas que capturar el trafico desde la lan hacia internet por puerto 443 y 80 hacia el puerto correspondiente en el localhost o ip donde esta escuchando squid, si no la tienen pues prueben crearla....

No se si esto te ayude, es para linux pero adecuandolo a pfsense o freebsd y tomando esa idea logica quizas te ayude, en lugar de reiniciar pues que haga un network restar o sequivalente

#!/bin/sh # Script checks with ping 5 ICMP pings 10 times to DEF GW and if so # triggers networking restart /etc/inid.d/networking restart # Then does another 5 x 10 PINGS and if ping command returns errors, # Reboots machine # This script is useful if you run home router with Linux and you have # electricity outages and machine doesn't go up if not rebooted in that case GATEWAY_HOST='192.168.0.1'; run_ping () { for i in $(seq 1 10); do ping -c 5 $GATEWAY_HOST done } reboot_f () { if [ $? -eq 0 ]; then echo "$(date "+%Y-%m-%d %H:%M:%S") Ping to $GATEWAY_HOST OK" >> /var/log/reboot.log else /etc/init.d/networking restart echo "$(date "+%Y-%m-%d %H:%M:%S") Restarted Network Interfaces:" >> /tmp/rebooted.txt for i in $(seq 1 10); do ping -c 5 $GATEWAY_HOST; done if [ $? -eq 0 ] && [ $(cat /tmp/rebooted.txt) -lt ‘5’ ]; then echo "$(date "+%Y-%m-%d %H:%M:%S") Ping to $GATEWAY_HOST FAILED !!! REBOOTING." >> /var/log/reboot.log /sbin/reboot # increment 5 times until stop [[ -f /tmp/rebooted.txt ]] || echo 0 > /tmp/rebooted.txt n=$(< /tmp/rebooted.txt) echo $(( n + 1 )) > /tmp/rebooted.txt fi # if 5 times rebooted sleep 30 mins and reset counter if [ $(cat /tmprebooted.txt) -eq ‘5’ ]; then sleep 1800 cat /dev/null > /tmp/rebooted.txt fi fi } run_ping; reboot_f;

http://www.pc-freak.net/blog/automatic-server-network-restart-script-reboot-script-based-ping-timeout-gateway/

Estas usando Man in the middle’ (MITM) ??? si es asi pues entonces esta frente al problema con el cert pinning o SSL pinning que usa google y algunos websites para evitar ataques de MITM lo que podrias hacer es evitar o saltar el acceso a google a travez de tu proxy prueba eso agregando el sitio en Bypass Proxy for These Destination IPs..
Alguien que me rectifique o aporte mas al tema estamos para aprender....
Algunos navegadores como Crome y Mozilla hacen uso de las llaves que luego de realizar la peticion como normalmente se hace pues adicionalmente usan llaves propias para este sitio en cuestion

Una forma de detectar y bloquear muchos tipos de ataques MITM es la "cert pinning", tambien llamada "SSL pinning". Un cliente que realiza el anclaje de certificados agrega un paso adicional al protocolo TLS normal o al protocolo SSL: después de obtener el certificado del servidor de manera estándar, el cliente verifica el certificado del servidor contra los datos de validacion confiables. Normalmente, los datos de validacion de confianza se incluyen en la aplicacion, en forma de una copia de confianza de ese certificado, o un hash o huella digital de confianza de ese certificado o la clave pública del certificado. Por ejemplo, Chromium y Google Chrome incluyen datos de validación para el certificado * .google.com que detectó certificados fraudulentos en 2011. En otros sistemas, el cliente espera que la primera vez que obtenga un certificado de servidor sea confiable y lo almacene; durante las sesiones posteriores con ese servidor, el cliente verifica el certificado del servidor contra el certificado almacenado para protegerse contra los ataques MITM posteriores. ***
algunos navegadores más nuevos (Chrome, por ejemplo) hacen una variación de la fijación de certificados utilizando el mecanismo HSTS. Precargan un conjunto específico de hashes de clave pública en esta configuración de HSTS, que limita los certificados válidos solo a aquellos que indican la clave pública especificada.

disculpa que responda con otra pregunta, pero que servicio daras, tus clientes en la lan los asignaras por dhcp, que servidor dns les asignara? Imaginemos que es asi, daras ip dinamicas a tus usuarios y que el servidor dns asignado a estos es el propio pfsense CP, en ese caso si deberas usarlo o quizas usar tambien DNS Fordwarder, ya que si le asignas un DNS que este fuera del alcance de los clientes antes de autenticarse podria darles errores pr ejemplo para resolver el nombre de la url del propio portal cautivo

@Bon-Jovi
que error da ve a los logs y danos alguna pista que muestre el error que da al intentar instalar squidguard... intenta instalar algun otro paquete sencillo por ejemplo cron jobs a ver si da error.. prueba realizar un nslookup al sitio pfsense de donde se descargan los paquetes pkg.pfsense.org a ver que sucede... verifica tu version de pfsense tambien..... pero algun error debe dar y eso podria ayudar a dar con la causa.

Voy a dar por alto que configurastes y descargastes algun black list por ejemplo https://my.balabit.com/downloads/urlfilter/bigblacklist.tar.gz en la pestaña Common crea una regla por defento para todos los usuarios ahi en mi caso solamente bloqueo ads,porno,virus... luego ve a la pestaña time y define tu horario por ejemplo yo seleccioné semanal y escogi los 5 dias laborable de 8 a 5 y lo nombre horario_de_trabajo, seguido ve a la pectaña Groups ACL y crea una regla en ella bloquie acceso a redes sociales seleccionando el horario creado previamente... si no te descargastes un blacklist crea tu propio Target Categories en la pestaña correspondiente y agrega las url manualmente de los sitios o redes sociales que desees descargar y luego usalo en el Groupacl

@GossM en ambas interfaces, LAN1, LAN2?

@Bon-Jovi no problema, en mi firma viene un canal de youtube, son puros videos de pfsense, a lo mejor te sirven en tu curva de aprendizaje, saludos.

Desde la red externa (wan) para ingresar a la Lan, debes hacer una regla de NAT

https://docs.netgate.com/pfsense/en/latest/nat/index.html

Un sistema de seguridad, debe tener usuario y contraseña. Si fuera tan sencillo de decir "Reset", entonces para qué se implementa la seguridad? Aún así, pfSense lo permite desde la consola y para hacerlo, debe ser directamente en el equipo.

Recovering Access when Locked Out of the WebGUI

Lo siguiente es "la pequeña pc no me bootea usb...", para eso, debes revisar o descargar el manual o buscar en internet si esa pequeña y desconocida PC, permite iniciar desde USB y si no es así, usar una unidad de CD/DVD.

Es recomendable siempre ponerse en el lugar de las personas que van a leer algún problema a ver si realmente está claro. Aquí se leen palabras y no vemos el equipo, por lo tanto, entre más claro, mejor.

Muchas gracias por compartir Master, como siempre información muy interesante! 👍

@gersonofstone Tienes link al tutorial o a la información pertinente. Me interesa aprender más al respecto. Gracias por compartir esa información previa.

@AlexZavala Adicional lo que te dice @luisenrique Valida las rutas.

Valida con un trace hasta donde llega el paquete que sale de pfsense A hacia pfsense B.

Por lo general este tipo de caso de vpn "site to site", sea con el software que sea, con el hardware que sea, todo gira en torno a las rutas.

Si tienes redes identicas en ambos lados, debes ajustarlas a una marcara /25 por citar un ejemplo. o ajustar una de las 2 redes.

Te recomendaria que muestres un diagrama de tu red y ademas que servicios estas trabajando en tus pfsense, saludos.

Hola, a ver si te sirven estos tutoriales.

Modo No Transparente

Modo Transparente

Saludos.

@luisenrique si es para un red interna obviamente se tiene q dejar https, pero si el portal cautivo se usa para una red pública que usa códigos desechables es mejor HTTP, sería un dolor de cabeza agregar certificados individualmente

@luisenrique Así estaría bien ? Captura3.JPG

@j-sejo1 gracias por tu ayuda de configuración