@periko: Si tienes oportunidad mandame un cable y entramos a ver tu caso, saludos. Vacié los archivos .log y ahora funciona correctamente

@avisponrock: Ya vienen en camino un par de routeredge que son obligatorios en la automatizacion del ucrm. Los EdgeRouter no son "obligatorios" (también puedes utilizar MikroTik) y según comenta uno de los desarrolladores en algún momento piensan agregar  pfSense

gracias por la info haber si consigo hechar a andar el pfsense.

La capa 3 la controla el pFsense, lo qué pretendo es que se puedan descubrir los equipos de las distintas vlans atravesando él pFsense en capa 3.

@jose: Buenos días amigos, tengo una problemática en mi red, varios de los usuarios intenta acceder al pfsense apesar de no tener credenciales, ¿Que me recomiendan para asignar una IP la cual tenga unicamente acceso al pfsense? ¿Que puedo hacer para que cuando los usuario tecleen 192.168.1.1 les mande algun mensaje de error? Saludos! Por curiosidad, como has interceptado el acceso al pfsense por parte de los usuarios? Yo tengo una regla en el cortafuegos que bloquea el acceso a la dirección del pfsense al puerto 800. De esta manera no pueden hacer login. Saludos. Gracias

Hola j.sejo1 Te explico un poco mas en detalla. Tengo una camapaña que es Vodafone por ejemplo, y dentro de esa campaña hay como departamentos, que a nivel de directorio activo les diferencia porque pertenecen a un grupo de usuario distinto. Son requerimientos que necesta tener el dpto de sistemas de mi empresa por asuntos de facturacion a traves de una app. En resumen es que tengo 7 origenes de de una misma campaña que acceden a una misma tarjetrule. Pus si eso lo multiplicas por mas campañas, tengo 77 reglas. De ahi que quiera concatenar en una misma query la busqueda de usuarios en varios grupos, para intentar bajar el numero de comprobaciones a nivel de groupacl. Si, tengo la commonacl por defecto en deny, pero al poner esa cadena LDAP, es como si fuera esquid el que permite la navegacion sin lanzar la comprobacion al squidguard. Gracias, un saludo.

Por favor, explícate mejor/de manera clara Que regla ? Que aplicativo ? Adjunta capturas de pantalla en las que se vea/entienda claramente de lo que estás hablando https://forum.pfsense.org/index.php?topic=23265.0

omito ese punto,  no es buena práctica, como tampoco llega. configurar como bridge la maquina (servidor) 192.168.1.60 en su configuración en la interfaces no va asignada su IP: NONE. Realizo un port fordward para direccionar la maquina y nada. creo que pasare a DMZ el servidor, ya que no puedo cambiar su IP (servidor externo con conexion por fibra) y a la red interna cambiar la subner a 192.168.2.1 De esta forma elimino el bridge entre LAN y estructuro mejor la RED . [image: Captura.PNG] [image: Captura.PNG_thumb]

Muchas gracias Hermosillo, estaba fallando en el puerto 80, agradezco infinitamente tu aporte.

Podrias probar la conectividad y el loadbalance, pero desactivando squid? o el proxy que estes utilizando, sino que sea solo la red sin nada en el m edio, puede ser que el problema venga desde el proxy.

@j.sejo1: ya va, Omitan el mensaje anterior. Si las redes se ven mediante el IPSEC (es decir la vpn  site-to-site) En la cliente servidor deberían tener: En: ####IPv4 Tunnel Network#####    es la Red de la VPN cliente, deberia ser por ej:  10.20.2.0/24  por ej. Aqui, a lo le pones 10.20.2.0/24 a ST  (pfsense ST)  y en el Pfsense SP  10.20.3.0/24 Pero en AMBOS: En: #### IPv4 Local network(s)######  Van las Redes LAN de SP y ST, separadas por (coma) , De esta forma, te conectes bien sea por SP o por ST, vas a ver ambas redes. Gracias por haberte molestado en querer brindarme ayuda. Te comento que no llego a entender a lo que me informas, ahi te muestro el IPsec de lado y lado. Supongo que tu me dices sobre la configuracion del servidor OpenVPN ? Aqui te muestro como tengo cada site. [image: a3N7gV9.png]

es la mejor opcion, reinstalar todo Gracias

@ptt: Tu mismo puedes editar el primer post y agregar [Resuelto]  o [Solucionado]  al Título, y si lo deseas, también puedes "cerrar" el Hilo (Lock Topic). gracias por el dato, hice lo que comentas

@Hermosillo: @Danixu86: Hola, Yo tengo una configuración con tres WAN un tanto especialita y me funciona correctamente. Digo especialita porque tengo un servidor de correo que sale forzosamente por un grupo de puertas de enlace de dos WAN de IP fija (1 y 2), y después tengo el resto de conexiones al exterior por dos WAN y utilizando la tercera como último recurso (2 y 3, y la 1 como último recurso). Uso la configuración que quieres hacer: 3 WAN con balanceo, squid+squid guard en modo transparente, Firewall y DHCP. Tengo configurado el squid para que acepte el balanceo y he podido comprobar poniendo el mismo Tier a las tres WAN que iba intercalando entre ellas, por lo que si quieres puedo intentar echarte una mano a configurar el tuyo. Yo tuve problemas similares porque a pesar de ser fácil, hasta que no aprendes se te hace difícil, y hasta hace poco no he conseguido afinarlo del todo. Te hago un resumen por si te ayuda: Tienes que crear un grupo de Gateways con las tres WAN Crear una regla de firewall para que todo el tráfico restante se redirija a ese grupo de WANS (tiene que estar abajo del todo para que no sustituya a otras reglas). Con esto, el balanceo normal debería funcionar sin problemas. Para añadir el squid sólo tienes que instalarlo y configurarlo con normalidad, y en la casilla " Custom ACLS (Before Auth) " añades esta línea: tcp_outgoing_address 127.0.0.1 Esto hace que el tráfico del squid vaya a localhost, el cual se encarga de redirigir el tráfico siguiendo las reglas por defecto (balanceo de carga). Si no lo pones el squid sale por la puerta de enlace por defecto. Un saludo. Hola, Solo quisiera saber su probaste este setup desconectando una o dos redes de la caja pfsense y ver si pudiste seguir navegando? o si falta alguna configuración extra como reglas flotantes en el firewall etc. Al crear el grupo de WAN y poner la regla de FW dirigiendo el tráfico a ese grupo lo que haces es que el PfSense sea el que gestione la salida por las WAN y por lo tanto se encarga de detectar si están online y de dirigir el tráfico. Yo he estado reiniciando routers cuando había algún tipo de problema y la gente no se ha enterado de ello, por lo que puedo decir que funciona. No puedo dar más datos, ya que hace casi un año que ya no trabajo en esa empresa, por lo que tampoco puedo revisar configuraciones. Un saludo.

Una observacion de  tu regla, no tiene nada de trafico…parece que ese trafico se va por otro lado...?

ya se conecta, mis disculpas era que tenia el ip del acces point en otra subred. ahora no me levanta el portal cautivo

Adicional, y notas para futuros casos de Squid+SquidGuard con AD. Traten de que los grupos esten creados sin espacios, en ou sin espacios, cuestion de que sea mas facil la ubicacion ej:  cn=GrupoVIP,ou=Internet,dc=dominio,dc=local Traten de que el usuario no tenga ni apellidos ni nombre (me refiero al usuario que usa Squidguard para leer el LDAP) , ya que el Squid usa el ID puro ejemplo  pperez, pero el squidGuard utiliza el CN completo:  Pedro Perez,  por lo que el estring quedara en el squidguard seria: cn=Pedro Perez,ou=Usuarios,dc=dominio,dc=local Y en el Squid: cn=pperez,ou=Usuarios,dc=dominio,dc=local Eviten ACL o GPO en el AD donde el usuario se pueda conectar en una sola maquina, esto debido a que al AD llega la peticion del usuario como si intentara conectarse al squid. Por lo que el AD no lo dejara autenticar.  Esto lo pueden arreglar haciendo desde el squid con ma_user_ip Acl pura del squid.  Asi evitan que el usuario preste su contraseña.

pf2ad, en si es  SQUID con Metodo NTLM. O puedes tambien con Squid con Kerberos. https://wiki.squid-cache.org/ConfigExamples/Authenticate/WindowsActiveDirectory OJO,  Squid soporta muchas configuraciones que pfsense no soporta en su portal web y las debes hacer de forma manual. Pfsense por defecto no tiene en su paqueteria SAMBA. Ten en cuenta eso, por que a pesar de que existen proyectos para reliar eso sobre pfsense, te sales del libreto por que no es oficial. Lo anterior puede que te lleve a instalar un linux dedicado como proxy.

Es un tema pendiente por solventar. Por defecto, squid sale por su default-gateway. Por eso no balancea. el busca salir por su wan de preferencia. Por alli existen script que "puede" que funcionen. Pero nada oficial.

Foro equivocado Esto es para comentarios sobre el foro en sí, no un foro de soporte. Además, esta es la sección en inglés. Si eres español, entonces debes publicar en el foro en español o publicarlo en inglés en el foro Genral Questions.