Podrias probar la conectividad y el loadbalance, pero desactivando squid? o el proxy que estes utilizando, sino que sea solo la red sin nada en el m edio, puede ser que el problema venga desde el proxy.

@j.sejo1:

ya va,

Omitan el mensaje anterior.

Si las redes se ven mediante el IPSEC (es decir la vpn  site-to-site)

En la cliente servidor deberían tener:

En: ####IPv4 Tunnel Network#####    es la Red de la VPN cliente, deberia ser por ej:  10.20.2.0/24  por ej.

Aqui, a lo le pones 10.20.2.0/24 a ST  (pfsense ST)  y en el Pfsense SP  10.20.3.0/24

Pero en AMBOS:

En: #### IPv4 Local network(s)######  Van las Redes LAN de SP y ST, separadas por (coma) ,

De esta forma, te conectes bien sea por SP o por ST, vas a ver ambas redes.

Gracias por haberte molestado en querer brindarme ayuda. Te comento que no llego a entender a lo que me informas, ahi te muestro el IPsec de lado y lado. Supongo que tu me dices sobre la configuracion del servidor OpenVPN ?
Aqui te muestro como tengo cada site.

es la mejor opcion, reinstalar todo

Gracias

@ptt:

Tu mismo puedes editar el primer post y agregar [Resuelto]  o [Solucionado]  al Título, y si lo deseas, también puedes "cerrar" el Hilo (Lock Topic).

gracias por el dato, hice lo que comentas

@Hermosillo:

@Danixu86:

Hola,

Yo tengo una configuración con tres WAN un tanto especialita y me funciona correctamente. Digo especialita porque tengo un servidor de correo que sale forzosamente por un grupo de puertas de enlace de dos WAN de IP fija (1 y 2), y después tengo el resto de conexiones al exterior por dos WAN y utilizando la tercera como último recurso (2 y 3, y la 1 como último recurso).

Uso la configuración que quieres hacer: 3 WAN con balanceo, squid+squid guard en modo transparente, Firewall y DHCP.

Tengo configurado el squid para que acepte el balanceo y he podido comprobar poniendo el mismo Tier a las tres WAN que iba intercalando entre ellas, por lo que si quieres puedo intentar echarte una mano a configurar el tuyo.

Yo tuve problemas similares porque a pesar de ser fácil, hasta que no aprendes se te hace difícil, y hasta hace poco no he conseguido afinarlo del todo.

Te hago un resumen por si te ayuda:

Tienes que crear un grupo de Gateways con las tres WAN Crear una regla de firewall para que todo el tráfico restante se redirija a ese grupo de WANS (tiene que estar abajo del todo para que no sustituya a otras reglas).

Con esto, el balanceo normal debería funcionar sin problemas. Para añadir el squid sólo tienes que instalarlo y configurarlo con normalidad, y en la casilla " Custom ACLS (Before Auth) " añades esta línea:

tcp_outgoing_address 127.0.0.1

Esto hace que el tráfico del squid vaya a localhost, el cual se encarga de redirigir el tráfico siguiendo las reglas por defecto (balanceo de carga). Si no lo pones el squid sale por la puerta de enlace por defecto.

Un saludo.

Hola,

Solo quisiera saber su probaste este setup desconectando una o dos redes de la caja pfsense y ver si pudiste seguir navegando? o si falta alguna configuración extra como reglas flotantes en el firewall etc.

Al crear el grupo de WAN y poner la regla de FW dirigiendo el tráfico a ese grupo lo que haces es que el PfSense sea el que gestione la salida por las WAN y por lo tanto se encarga de detectar si están online y de dirigir el tráfico.

Yo he estado reiniciando routers cuando había algún tipo de problema y la gente no se ha enterado de ello, por lo que puedo decir que funciona.
No puedo dar más datos, ya que hace casi un año que ya no trabajo en esa empresa, por lo que tampoco puedo revisar configuraciones.

Un saludo.

Una observacion de  tu regla, no tiene nada de trafico…parece que ese trafico se va por otro lado...?

ya se conecta, mis disculpas
era que tenia el ip del acces point en otra subred.
ahora no me levanta el portal cautivo

Adicional, y notas para futuros casos de Squid+SquidGuard con AD.

Traten de que los grupos esten creados sin espacios, en ou sin espacios, cuestion de que sea mas facil la ubicacion ej:  cn=GrupoVIP,ou=Internet,dc=dominio,dc=local

Traten de que el usuario no tenga ni apellidos ni nombre (me refiero al usuario que usa Squidguard para leer el LDAP) , ya que el Squid usa el ID puro ejemplo  pperez, pero el squidGuard utiliza el CN completo:  Pedro Perez,  por lo que el estring quedara en el squidguard seria: cn=Pedro Perez,ou=Usuarios,dc=dominio,dc=local

Y en el Squid: cn=pperez,ou=Usuarios,dc=dominio,dc=local

Eviten ACL o GPO en el AD donde el usuario se pueda conectar en una sola maquina, esto debido a que al AD llega la peticion del usuario como si intentara conectarse al squid. Por lo que el AD no lo dejara autenticar.  Esto lo pueden arreglar haciendo desde el squid con ma_user_ip Acl pura del squid.  Asi evitan que el usuario preste su contraseña.

pf2ad, en si es  SQUID con Metodo NTLM.

O puedes tambien con Squid con Kerberos.

https://wiki.squid-cache.org/ConfigExamples/Authenticate/WindowsActiveDirectory

OJO,  Squid soporta muchas configuraciones que pfsense no soporta en su portal web y las debes hacer de forma manual.

Pfsense por defecto no tiene en su paqueteria SAMBA.

Ten en cuenta eso, por que a pesar de que existen proyectos para reliar eso sobre pfsense, te sales del libreto por que no es oficial.

Lo anterior puede que te lleve a instalar un linux dedicado como proxy.

Es un tema pendiente por solventar.

Por defecto, squid sale por su default-gateway. Por eso no balancea. el busca salir por su wan de preferencia.

Por alli existen script que "puede" que funcionen. Pero nada oficial.

Foro equivocado Esto es para comentarios sobre el foro en sí, no un foro de soporte. Además, esta es la sección en inglés. Si eres español, entonces debes publicar en el foro en español o publicarlo en inglés en el foro Genral Questions.

Ya he encontrado la solución al problema con la configuración PPPoE. Os lo comento por si le ocurre a alguien más.

Lo que yo tenía configurado era correcto. Para empezar, en PfSense no haría falta configurar una interface VLAN6 asignada a la WAN. Puedes configurar la WAN como PPPoE con el usuario y contraseña de tu ISP y PfSense automáticamente detecta que los paquetes taggeados (6) son para la configuración PPPoE.

Por otro lado, lo que fallaba era la versión. PfSense en la versión 2.4.1 tiene un bug en un archivo de configuración xml de las interfícies donde usa "." como separadores en vez de "_", causando los problemas a la hora de configurar PPPoE.

Una posible solución sería editar las líneas que contengan el código erroneo y reiniciar. Ejemplo:

vi /conf/config.xml :%s/lagg0\./lagg0_/g :wq reboot

No obstante, esto no me funcionaba, ya que aunque guardaba PfSense volvía a escribir las líneas con "." en vez de "_". También he probado de editarlo desde WebGUI pero hacía lo mismo.Lo que ha solucionado todo ha sido actualizar a la versión estable 2.4.2 y todo ha funcionado.

Para los que tengan interés, esta es mi configuración de PfSense:

Un saludo

Claro, de lo contrario no podria responder a las peticiones del exterior.

algo que noto el día de hoy es que me aparece el triangulo de no conexión a internet en las maquinas y que perdí la conexión al teamviewer. otro punto que me causa algo de ruido es la regla del dns ya que en mi dominio tengo los dns en Windows entonces no se, si realmente deba aplicarla.

Debes recordar que este es un foro que entra gente de cualquier parte y por lo tanto, es mejor utilizar algo que sea comprensible para todos en lo referente a costos y lamentablemente aquí en el continente americano (que somos todos y NO solo los anglosajones) es mejor escribir en dólares o euros.

Si realmente vas a comprar un equipo servidor, te recomiendo el más básico con 3 tarjetas de red, uno o dos procesadores Xeon, como mínimo 8 gigas de RAM y punto. No tenes que comprarte lo último en servidor porque si solo lo vas a usar como portal cautivo, vas a estar sobrado.

Ahora, si tu idea de "servidor" es un PC, pues podrías usarlo también (aunque no es recomendable) pero que sea como mínimo un I3 y dos discos configurados por lo menos en espejo por hardware NO software.

Te escribo solo de Intel, porque es con lo que he trabajado y no con AMD.

Amigos foreros

El problema sigue, pero muy de vez en cuando. Por problema del registro del hospedaje
No he podido tomar control y solicitar la ayuda necesaria a nuestro proveedor, pero en cuanto
Le solicite ayuda y les explique el problema les comento, creo puede ser algún tipo de seguridad en los servidores para que los usuarios re-escriban sus contraseñas, aunque es algo confuso porque así como aparece el problema desaparece.

Saludos.

asígnale a las conexiones el grupo de wategays que creaste

Bien, les agradezco su tiempo y les cuento.

El firewall de windows bloquea algunas cosas como medida de seguridad. En algunos intentos anteriores traté de abrir los puertos PERO, no funcionó, lo que funcionó es lo siguiente y espero les sirva por en realidad son como dos temas un poco distantes (pfsense y windows).

Se debe crear primero que nada una regla que permita el ping entre los equipos (entrada y salida), el protocolo es ICMPv4. Esto se debe habilitar en el cliente VPN y en el host al que se quiere llegar. Esto desde el firewall de windows.

Esto permite la comunicación, PERO! no permite la transferencia de archivos ni el acceso a los recursos públicos del host destino. Para esto en las reglas de entrada y de salida del firewall, en la lista se encuentran 3 reglas de "Compartir archivos e impresoras (SMB)" generalmente hay una deshabilitada, se habilita. Y se modifican estas reglas, principalmente la de perfil público, en "ámbito" se establece en el apartado "Dirección IP remota" CUALQUIER DIRECCIÓN IP.

Con esto tendrás el firewall habilitado y la conexión completa entre el cliente VPN y el host destino. En este caso ambos tienen W7 y W10.

Para acceder utilizan "Ejecutar" y la dirección IP del equipo al que quieren acceder. Ya que en el apartado de redes de Windows, de momento no aparece el equipo del cliente, solo hasta que se ejecuta la ruta, lo agrega. Es un detalle que habrá que corregir, supongo yo que es problema de DNS.

Ahora me toca resolver porqué esto funciona perfecto entre máquinas virtuales y por qué en algunos sitios públicos me rechaza la conexión VPN.

Les agradezco bastante y espero que a alguien le sirva esto ya que yo no encontré un lugar ni tutorial donde detallaran este proceso.

Gracias BrujoNic, el tracert solo era curiosidad de por donde estaba saliendo. Y al final no era tanto problema del puerto OpenVPN sino más de Windows y detalles extraños. Un saludo y de nuevo gracias.

No estas dando como que mucha información. Debes recordar que aquí se leen letras y no se ve. Si no sos claro con lo que queres/tenes, es complicado darte una respuesta.

Por ejemplo:
¿orange te da por lo menos una ip pública fija? Si no es así, ya no vas a lograr mucho y tendrías que utilizar algo como NO-IP que no es muy eficiente para tu caso.
En caso que si te den una ip pública fija o las dos conexiones, la siguiente pregunta sería: ¿Tenes acceso total a los router para abrir puertos?. Si no es así, ya no podes seguir haciendo nada. En caso de que si tengas acceso, debes (recomendado) colocar una IP fija a la WAN de tu pfSense para que en el router abras los puertos necesarios a esa IP WAN o dejarlo como una DMZ con todos los puertos abiertos a esa IP de la WAN y que sea el firewall del pfSense quien proteja la red interna.
¿Cómo configuraste la VPN? normal o Site-to-Site? Debe (recomendado) estar configurado Site-to-Site y la sede que tenga la IP pública fija, sera el servidor VPN principal, el otro pfSense como un cliente y no sería necesario que el servidor VPN cliente, tenga una ip pública fija.
Otro punto importante, es que ambas sedes deben tener rangos de IPs diferentes para que podas identificar una red con otra al momento de querer establecer comunicación entre sus equipos.  Por ejemplo: Sede 1: 10.0.0.X –---- Sede 2: 20.0.0.X. OJO, estos ejemplos de IPs, son de la red interna y NO el tunel vpn de conexión.

Como ves, estoy suponiendo con lo poco o nada de información que das y tengo que tratar de "adivinar" tu escenario.

Espero que comprendas ahora lo claro que se debe hacer cuando se consulta en foros.

Saludos.