Estas usando Man in the middle’ (MITM) ??? si es asi pues entonces esta frente al problema con el cert pinning o SSL pinning que usa google y algunos websites para evitar ataques de MITM lo que podrias hacer es evitar o saltar el acceso a google a travez de tu proxy prueba eso agregando el sitio en Bypass Proxy for These Destination IPs.. Alguien que me rectifique o aporte mas al tema estamos para aprender.... Algunos navegadores como Crome y Mozilla hacen uso de las llaves que luego de realizar la peticion como normalmente se hace pues adicionalmente usan llaves propias para este sitio en cuestion Una forma de detectar y bloquear muchos tipos de ataques MITM es la "cert pinning", tambien llamada "SSL pinning". Un cliente que realiza el anclaje de certificados agrega un paso adicional al protocolo TLS normal o al protocolo SSL: después de obtener el certificado del servidor de manera estándar, el cliente verifica el certificado del servidor contra los datos de validacion confiables. Normalmente, los datos de validacion de confianza se incluyen en la aplicacion, en forma de una copia de confianza de ese certificado, o un hash o huella digital de confianza de ese certificado o la clave pública del certificado. Por ejemplo, Chromium y Google Chrome incluyen datos de validación para el certificado * .google.com que detectó certificados fraudulentos en 2011. En otros sistemas, el cliente espera que la primera vez que obtenga un certificado de servidor sea confiable y lo almacene; durante las sesiones posteriores con ese servidor, el cliente verifica el certificado del servidor contra el certificado almacenado para protegerse contra los ataques MITM posteriores. *** algunos navegadores más nuevos (Chrome, por ejemplo) hacen una variación de la fijación de certificados utilizando el mecanismo HSTS. Precargan un conjunto específico de hashes de clave pública en esta configuración de HSTS, que limita los certificados válidos solo a aquellos que indican la clave pública especificada.

disculpa que responda con otra pregunta, pero que servicio daras, tus clientes en la lan los asignaras por dhcp, que servidor dns les asignara? Imaginemos que es asi, daras ip dinamicas a tus usuarios y que el servidor dns asignado a estos es el propio pfsense CP, en ese caso si deberas usarlo o quizas usar tambien DNS Fordwarder, ya que si le asignas un DNS que este fuera del alcance de los clientes antes de autenticarse podria darles errores pr ejemplo para resolver el nombre de la url del propio portal cautivo

@Bon-Jovi que error da ve a los logs y danos alguna pista que muestre el error que da al intentar instalar squidguard... intenta instalar algun otro paquete sencillo por ejemplo cron jobs a ver si da error.. prueba realizar un nslookup al sitio pfsense de donde se descargan los paquetes pkg.pfsense.org a ver que sucede... verifica tu version de pfsense tambien..... pero algun error debe dar y eso podria ayudar a dar con la causa.

Voy a dar por alto que configurastes y descargastes algun black list por ejemplo https://my.balabit.com/downloads/urlfilter/bigblacklist.tar.gz en la pestaña Common crea una regla por defento para todos los usuarios ahi en mi caso solamente bloqueo ads,porno,virus... luego ve a la pestaña time y define tu horario por ejemplo yo seleccioné semanal y escogi los 5 dias laborable de 8 a 5 y lo nombre horario_de_trabajo, seguido ve a la pectaña Groups ACL y crea una regla en ella bloquie acceso a redes sociales seleccionando el horario creado previamente... si no te descargastes un blacklist crea tu propio Target Categories en la pestaña correspondiente y agrega las url manualmente de los sitios o redes sociales que desees descargar y luego usalo en el Groupacl

@GossM en ambas interfaces, LAN1, LAN2?

@Bon-Jovi no problema, en mi firma viene un canal de youtube, son puros videos de pfsense, a lo mejor te sirven en tu curva de aprendizaje, saludos.

Desde la red externa (wan) para ingresar a la Lan, debes hacer una regla de NAT https://docs.netgate.com/pfsense/en/latest/nat/index.html

Un sistema de seguridad, debe tener usuario y contraseña. Si fuera tan sencillo de decir "Reset", entonces para qué se implementa la seguridad? Aún así, pfSense lo permite desde la consola y para hacerlo, debe ser directamente en el equipo. Recovering Access when Locked Out of the WebGUI Lo siguiente es "la pequeña pc no me bootea usb...", para eso, debes revisar o descargar el manual o buscar en internet si esa pequeña y desconocida PC, permite iniciar desde USB y si no es así, usar una unidad de CD/DVD. Es recomendable siempre ponerse en el lugar de las personas que van a leer algún problema a ver si realmente está claro. Aquí se leen palabras y no vemos el equipo, por lo tanto, entre más claro, mejor.

Muchas gracias por compartir Master, como siempre información muy interesante!

@gersonofstone Tienes link al tutorial o a la información pertinente. Me interesa aprender más al respecto. Gracias por compartir esa información previa.

@AlexZavala Adicional lo que te dice @luisenrique Valida las rutas. Valida con un trace hasta donde llega el paquete que sale de pfsense A hacia pfsense B. Por lo general este tipo de caso de vpn "site to site", sea con el software que sea, con el hardware que sea, todo gira en torno a las rutas. Si tienes redes identicas en ambos lados, debes ajustarlas a una marcara /25 por citar un ejemplo. o ajustar una de las 2 redes.

Te recomendaria que muestres un diagrama de tu red y ademas que servicios estas trabajando en tus pfsense, saludos.

Hola, a ver si te sirven estos tutoriales. Modo No Transparente Modo Transparente Saludos.

@luisenrique si es para un red interna obviamente se tiene q dejar https, pero si el portal cautivo se usa para una red pública que usa códigos desechables es mejor HTTP, sería un dolor de cabeza agregar certificados individualmente

@luisenrique Así estaría bien ? [image: 1556557285221-captura3.jpg]

@j-sejo1 gracias por tu ayuda de configuración

@mansi a ver... tu servidor dhcp esta sobre el pfsense y quieres que este mande a actualizar al servidor dns/ad que esta sobre windows las entradas de las ip/nombre que asigno en el dhcp.... hum la verdad asi nunca lo he hecho... dns server de windows en modo seguro (que es como debe ser) y dhcp que no es sobre windows la verdad no lo he integrado jamas, pero si es posible hacerlo...

Tambien realizas SSL Man In the Middle Filtering?? que modo SSL/MITM usas?? yo uso Splice ALL y mejoro bastante deje de ver esos errores, ahora el tag_none segun entendi es que squid no tiene un codigo o descripcion para ese error o evento...

@cabernicola00711 listo, no necesitas la regla del dns en tu fw. Tus clientes cuando requieran consultar al dns lo haran. El trafico a nivel de tu switch no cruzara por pfsense por ello esa regla no tiene sentido. Aparte Source deberia ser= LAN Net nada mas, cuando pones ANY le das acceso a todo el universo Saludos.