Tampoco comprendo bien lo que estas haciendo, pero tratándo de descifrar el panorama, creo que debes tenerlo así.

Un equipo no sé si servidor o PC con un windows server instalado y con 2 tarjetas de red. Si el equipo soporta virtualización, era mejor utilizar Hiper-V para que quedar mejor integrado en vez de VirtualBox, pero cualquier programa de virtualización, se puede hacer lo mismo.

En el equipo REAL, o sea, el Windows Server, una tarjeta debe estar conectada al internet y la otra libre. En el pfSense, la tarjeta virtual WAN debe estar como NAT o modo puente a la tarjeta con internet del windows.  La otra tarjeta LAN, debe estar conectada (lastimosamete) al TP-Link. Lo que te comentaron sobre usar un Access Point en vez de un router, estoy totalmente de acuerdo, pero podes entrar al router TP-Link y desactivar la función de DHCP, ponerle una IP fija y válida dentro del rango que reparte la LAN del pfSense, pero lo más importante, conectar a cualquier puerto LAN y no al WAN del TP-Link.

Si con eso no tenes internet, entonces su configuración esta mal configurada.

si van asi como los tenes, sigo leyendo si se me ocurre algo te escribo

Aplica a todos los equipos, si quisieras que algunos lograran llegar que no usen pfsense como dns, ponles los dns externos como los de google, la idea es que no usen a pfsense como dns, trata, saludos.

por lo que vi este error se da como un bug en la version 3 de squid, la pregunta es ¿cuando piensan arreglarlo? este bug esta desde hace rato y se mantiene en la ultima version de pfsense y nadie le presta atencion siendo que el sqstat es una herramienta tan util.

algo ya lei que te respondio la gente en el foro en ingles, revisa
https://forum.pfsense.org/index.php?topic=82265.0 por si puede ser, es mas, proba deshabilitar el limitador, por lo que lei ademas de que tenes una version de pf recontra antigua, el limitador generaba esos conflictos, y mas en vm

Bueno antes de que se le acabe la energia a la pila les envia la orden de apagarse a los equipos, solamente  :), saludos.

Si mal no entendí, en pocas palabras sacaste el PF del medio, ahora que funciona lo que podes probar es entrar al pf del lado del servidor telefonico, ir a firewall –- nat --- y crear una regla de este estilo:

Interface Protocol Source Address Source Ports Dest. Address Dest. Ports NAT IP NAT Ports Description Actions
wan          tcp/udp      *                        *                      wan addr        5060        ip centralita    5060      ejemplo

pasar del gateway de tu isp los ip de la centralita al pf-sense y en el pf asignar las reglas anterior creada con la ip nueva de la centralita.
los telefonos calculo estas apuntados a tu ip publica:5060 por ej. si esta todo bien tienen que seguir funcionando. en caso de los telefonos ip no hay que abrir puertos hasta donde lo he usado, asi que aunque esten dentro de la red del pf tienen que funcionar, si lo llegas a probar avisa si funciona, saludos!

Saludos amigo tengo habilitado el filtrado ssl en el proxy en modo transparente y todo andaba ok al terminar el despliegue me di con la sorpresa que solo 2 equipos de la red no podían acceder a google y en el log aparecía esto:

06.10.2017 13:00:27      192.168.15.23    TCP_MEM_HIT/200    http://www.msftconnecttest.com/connecttest.txt    -    -
06.10.2017 13:00:26    192.168.15.23    TCP_MEM_HIT/200    http://www.msftconnecttest.com/connecttest.txt    -    -
06.10.2017 13:00:23    192.168.15.23    TAG_NONE/200    65.52.2

y demás servicios de este les aparecía el mensaje de certificado invalido, dentro de los usuarios que navegaban con normalidad me reportaron que no podían acceder a skype y hasta el gerente general cuya ip la exclui del filtrado me mostró que tenia problemas al momento de editar un archivo en drive le cortó automáticamente la conexión y le dice que el certificado es invalido.

buenas tardes, yo  he visto algo asi cuando tenia un cable comido por las ratas, LITERAL, hacia falso contacto y bueno, ahi el problema, igual es muy viable lo que aconseja periko, hasta que me di cuenta que no era el pf probe con otro equipo

El post original habla de LDAP como autenticador, pero las paginas en el log no presentan las credenciales username/password.
Muchas veces los navegadores no envian las credenciales de auth y los proxy por ello la bloquea.

Esos sitios pongalos en lista blanca.

Y sin config difiil aportar algo ma, saludos.

En el Link, a la documentación oficial, que dejé en el post anterior, está explicado el tema "Weight" ;)

Bienvenido !

Por favor Respeta la "Netiqueta" y no escribas todo en mayúsculas

@bellera:

Buscando un poco…

https://www.instantssl.com/free-ssl-certificate.html

Modificado el texto explicativo para que sea más claro...

03. Certiticado gratuito de Comodo, https://www.instantssl.com/free-ssl-certificate.html (Download Free SSL)
Pegarla en la petición a Comodo, https://secure.instantssl.com/products/SSLIdASignup1a

Por cierto…

Regla 3: Escribir todo en mayúsculas se considera como gritar y además, dificulta la lectura.

http://es.wikipedia.org/wiki/Netiqueta

Por otra parte, si "Muestras" cómo tienes configurado tu pfSense, es posible que los compañeros te puedan ayudar/orientar

Manejas vlans? o cada segmento de red tiene su interfaz de red independiente?

Buenas Tardes, mira, hasta donde se no se puede usar el mismo puerto de comunicación para acceder de una "wan" hacia un servicio de la "lan"
Algo parecido a lo que mencionas se realizaría creo con 3 servicios distintos aunque internamente conectes los 3 servicios a un pf, eso es viable, 3 filas de rules administrando los accesos.
No te compliques mucho para arrancar, primero ve haciendo un nat, que se yo 3386, 3387, 3388, y ve que llegues a cada una de las maquinas.
Después, viendo y considerando que un groso de los ataques por ransomware se generan por el puerto 3389 y mails no creo que quieras dejar habilitado ese puerto para TS.

Las maquinas no modificas nada, en el firewall redireccionas los puertos del 3386 al 3389 de x.x.x.x ip x ej

Espero estar desconociendo algo, que me corrijan si estoy errado, ser de ayuda y poder aprender de este post, me resulta interesante esto.

creo que necesitas crear 2 reglas de firewall para que conmute, y por ende 2 etapas en el failover. y revisa en los gateway por defecto que el monitor ip le este pegando a algun ip que tenga que estar siempre on, yo le puse los dns de google, entonces si se cae internet me realiza el cambio, si le pones los gateway puede que este prendido pero sin internet entonces no realize el cambio. no se si me explique bien

Hola, asi es como dice alexkaramazov.

squid no sabe de balanceos, no funciona cuando esta bajo la misma maquina que tiene control de los enlaces.

Como dice el, lo unico es que otro equipo lo haga, saludos.

Lo pense asi, pero es un cliente el que ve este tema y no quiere eso, ademas es un enlace de emergencia.