Y respecto a tu pregunta,  tu caso es de pfsense a fortinet.

A mi me toco de cisco-ASA a pfsense y nadie, pero nadie me dio una sola regla. como solvente? logica de firewall. Ver quienes son las redes, las pasarelas, los enlaces del isp, la dmz, la lan, la vpn e ir vaciando poco a a poco la info, hasta que: cisco-asa apagado.

En conclusión, si lo vas hacer tu u otra persona, si saben de Firewall en si,  con tener lo datos basicos a la mano y los pies en la tierra, en cuestion de horas tendran su firewall activo.

mira las imagenes del proxy.


De nada  :)

Me alegro de que al final hayas localizado el problema. Este tipo de problemas son sumamente complejos de diagnósticar y de detectar porque no hay herramientas simples para arrojar luz a esa parte del sistema.

Efectivamente los chipset de realtek tienen mala fama entre los usuaios de pfSense. Afortunadamente yo nunca he tenido problemas con ellas pero, probablemente, es porque la mayoría de los pfSense que tengo instalados están virtualizados. A pesar de ello siempre intento adquirir hardware con tarjetas Intel por si las moscas.

Por otra parte usar adaptadores de red USB también tiene su fama por el foro pero si te funciona bien no hay nada de qué quejarse, sólo disfrutar el éxito por haber solucionado el problema.

Un saludo.

Si va a cambiar de dispositivo, no tiene que mirar "caudal de salida" tiene que mirar q servicios va a cubrir y que nesecidades nesecita solvertar, un administrador de red conoce su red y sus nesecidades, no se basa en algo como eso

Primero crear acl, segundo las vistas, tercero creas las zonas descuerdo a las nesecidad, es bind es su estado puro

¿Cómo configuraste el servidor VPN? Porque si entras, deberías poder dar ping a cualquier equipo de la LAN y si es así, el procedimiento para ingresar a la DMZ, debería ser el mismo.  Si no es así, en la configuración del servidor VPN, hay una parte donde se indica que los clientes VPN, usen el gateway de la red interna.

Revisa eso ya que tengo algo de tiempo que no configuro VPN con pfSense y debo hacerme un laboratorio.

Hola, has revisado el firewall en las sedes en donde tienes los recursos compartidos ?

Los servidores de archivos tienen un firewall que permite el acceso desde otras ubicaciones/redes ?

La idea es montar la opcion mas economica posible que soporte pfsense 2.5 y su AES-NI.

He visto estos dias un poco de todo, y creo que una buena opcion, partiendo que busco algo de bajo consumo, son los Xeon v3. Hay un 1220L v3 (LGA1150) que es una pena que no tenga gpu integrada, pero lo puedo pillar por unos 50-60 eur con un consumo de 45w. Hay otros v3 que lleva gpu integrada pero se van de precio.
Lo ideal es que sea un 4 core con un maximo de 2Ghz por (menos sirve tambien).

Lo de la gpu integrada tampoco es un problema porque tengo alguna grafica vieja, o incluso hay placas de servidor m-itx a las que creo que puedo acceder por IPIMI (aunque no lo he probado nunca).

Precisamente quiero preguntar al foro 2 cosas:
-que otras opciones tendria para el Xeon y
-que placa m-itx me recomendais.

La verdad que he leido un monton y cuanto mas leo mas cosas nuevas veo. Ayuda para agilizar la busqueda me vendría de lujo.

Placa he visto por ejemplo esta (MSI MS-S0891) por unos 50 eur.

Ram tengo ddr3 non ecc guardada, asi que si pudiese reutilizarla mejor.

Busco tambien que tenga un minimo de 2 NIC Intel (no usados para el IPIMI) o 4.

Alguien tiene algo asi que haya montado y que me pueda orientar?

Que tal otra vez, gracias por atender nuestra consulta.

Pues mira, esa parte ya la habia hecho, y si funciona, pero los KVM virtuales que sirven RDP pueden navegar por internet y justamente es lo que no queremos, estos Windows Server virtuales que estan en el servidor proxmox, sirven algunas aplicaciones especificas que solo corren en ambientes windows, la idea es que los clientes que se conectan a los terminales remotos, solo usen las aplicaciones contables para su trabajo y no asi puedan navegar desde los escritorios virtuales, pero si habilitamos el MAC de esta maquina virtual, ellos si que pueden acceder remotamente, pero deja de funcionar el portal cautivo como mencione antes. Espero haberme explicado.

Seguiré investigando, ya que tal vez la unica solucion viable que veo a este problema seria asignar otro segmento de red en otro de los puertos Ethernet para los servidores y servicios virtuales, y que solo la LAN de la empresa pase por el portal cautivo, pero pienso que deberia poder hacerse con la topologia de red que tenemos actualmente.

P.S.D:
Y lo del comentario de que habia leido y escuchado por ahi que pfSense no es un router, pues si es cierto, justamente sigo el podcast de un experto en redes llamado Eduardo Collado, este español en uno de sus podcast dijo textualmente que pfSense no deberia usarse como router sino solo como firewall, viniendo de un experto en redes me parecio algo curioso por eso lo mencione, el se inclina mas por el uso de los Mikrotik routerOS, aqui el enlace del audio http://www.ivoox.com/20533239

Bueno espero alguien mas pueda dar con la tecla de como realizar ese proceso de portal cautivo utilizando una sola LAN, saludos

trasparente, checando los logs de squidguard me doy cuenta que uno de los equipos que se salta el proxy manda Request(wifi-cdc61/blk_BL_hobby_games-misc/-) - POST REDIRECT  y los que si estan bloqueados Request(wifi-cdc61/blk_BL_hobby_games-online/-) - CONNECT REDIRECT que podra ser

https://forum.pfsense.org/index.php?topic=145990.msg794213#msg794213

https://forum.pfsense.org/index.php?topic=146266.0

Buenas estimado, dale una mirada a este video donde se explica de como hacerlo con squid+squidguard. Bastante me ayudo luego de visitar varios post e incluso buscar la doc. espero te sirva: https://www.youtube.com/watch?v=X1t_KPy9znk

Yo lo hice de modo no transparente con squid + squidguard y como para reportes y no andar mirando el log instale lightsquid.

Te informo que luego de terminar la configuración debes eliminar las reglas de paso a través de LAN para todo y añadir una que envíe el trafico al firewall.

Saludos.

No entiendo qué se pretende conseguir. Para unir dos pfSense es suficiente que pertenezcan a la misma red en alguno de sus interfaces (LAN, OPT1, el que sea). No es necesario configurar rutas específicas.

Como entiendo que lo que acabo de contar es evidente me queda claro que no comprendo lo que se pretende conseguir con la descripción dada. Si pudieras aclararlo quizá podría dar alguna idea.

Un saludo.

Buenas.

Hay firewall en el equipo cliente?

El punto 1 no se refiere a la red de los roadwarriors. La red que hay que añadir a la configuración de openVPN en el servidor B es la que quieres alcanzar desde los roadwarrios, es decir, la red A.

En un roadwarrior, cuando esté conectado a la VPN, el comando route print debiera mostrar la red A en la lista de redes disponibles apuntando a la VPN. Si no sale eso no está bien configurado el servidor openVPN en B.

Podrías pegar el resultado de route print ejecutado en uno de los roadwarriors?

He revisado el documento y la falla era obvia: no había creado las reglas en el firewall de LAN para WAN  para los protocolos HTTP/HTTPS

Muchas gracias a ambos.

Me pongo ahora con el portal cautivo…a ver si encuentro un buen tutorial y no vuelvo a daros la lata.

Saludos cordiales

100 usuariios, squid, squidguard, cp, cuando se te presente el problema revisa quien ese el ID que arroja, pero de entrada debes incrementar tus valores, tienes apps que causan estos detalles cuando tienes alto numero de usuarios.

Por ultimo, version 2.5… deberias programar update, saludos.

Hola.

La pregunta que te haria es, que servicios son los que tu estas usando?

Asi sabremos si algunos estan de mas, saludos.