Después de investigar el error parece no ser de las interfaces. Cargué el backup completo sin modificar el .xml y reasignando las interfaces correspondientes sin éxito, tuve que conectarme de nuevo y crear las interfaces a mano (no big deal). Bueno, lo que he detectado al conectarme por serial es que aparece el siguiente mensaje DXE en el arranque:

Status Code Available
DXE Status Code Available
ESes:; 1

Una vez aparece el mesaje no carga nada más en la shell pero puedo conectarme vía web.

buenas tardes, desde que arranque a trabajar con pf sense y configurar vpn he utilizado esta guia y no he tenido mayores complicaciones, esta en una vercion vieja pero si seguis los pasos se hace entender.
http://www.geronet.com.ar/?p=1112

publica tu regla, a ver que has creado

buen dia! proba subir los MB de la info que hace cache el squid, hoy en dia hay paginas muy grandes :D tal ves funcione :D

yo tengo la version 2.4.2 y en export client aparece todo bien. y Si reinicias el php-fpm? Opcion 16) por consola

De nada.  ;D

Antes de hacer sus updates, sacan respaldos y los prueban o se lanzan asi nada mas a la aventura?
Por que si tuvieran un backup no tendrian que instalar nada de 0.

En lo personal squid no te servira mucho, carece de mecanismos para las paginas dinamicas, muchos sitios ya trabajan en https y aunque su modulo de man-in-the-middle funciona en tu caso no aplica por que tienes que hacer unos cambios en los navegadores de cada usuario y los tuyos traen telefonos, tablets, laptops.

Se te complicara al punto de estresarte, se presta mas cuando al operacion esta mas controlada como una empresa, tus usuarios son gente de todas partes del mundo por asi decirlo es red publica.

Squid aun le des 200TB no hara uso ni del 1%.

No te ayudara mucho en tu problema, tienes hw para abastecer mucha gente.

En tu caso estas bajo CP, que planes ofreces?

Tu enlace es simetrico o asimetrico?

Con que cantidad de usuarios simultaneos empieza a caer?

Has pensado en agregar otro enlace y balancear la carga que es lo mas comun?

Como es tu red y cuantos AP(marca/,odelo) tienes y cuantos usuarios se conectan a cada uno?

Si alguien quiere aportar su experiencia en estos caso adelante.

Saludos.

Hola ZAC gracias x responder. No amigo mio no quiero hacer una doble autenticación, lo q quiero es q los clientes de la LAN se autentiquen con usuario y clave como hasta ahora. Mientras que los clientes de la WIFI se autentiquen a través del portal cautivo pero usen el squid para saber los sitios donde entran, algo así como un squid transparente. No se si el squid se podrá configurar que autentiquen en una red y en la otra sea transparente recuerda q especifique que mi squid estaba en debían el pfsense sólo lo uso como router, cortafuego y dhcp
Saludos y espero tu ayuda si la tienes

A mi lo que me funciona coló dice brujo nick es hacerme entornos virtuales de prueba, navegar en los foros y ver que retos tienen los demás e intentar solucionarlos, así aprendes, apoyas y vez cosas que tal vez te sirvan para tus entornos

Compañeros de foro

La vlan nativa del switch es la vlan 1 que es la LAN del pfsense

Al no borrar la configuracion LAN del pfsense que es 100.100.100.1 los puertos del switch que no tenian configurada ninguna Vlan
tomaban por defecto IP del rango configurado en el DHCP de la LAN.

Para efectos de prueba borre todo lo concerniente a la LAN (asignacion, activacion, rangos y el dhcp server).

Una vez borrado todo esto los puertos del switch que no pertenecen a ninguna Vlan (y que pertenecen a la vlan nativa) no obtienen ninguna IP.

Por lo que cada puerto del switch se tiene que asignar a una Vlan o en su defecto cambiar la vlan nativa por cualquiera de las vlan en uso, para
obtener IP del rango activo.

Espero esto sirva de ayuda a alquien mas, si no esta claro agradezco comentarios.

Gracias por la ayuda y el interés.

@acriollo:

si los Access points son meraki , me imagino que si soportan vlans.

entonces los que deberás hacer es crear un ESSID y asignarle la vlan13 ya que no puedes tener dos DHCPs en el mismo dominio por que eso te va a dar problemas.

Aqui podria ser una opción

La otra opcion es que pegues la vlan12 con la 13 o la vuelvas solo 13, la verdad es que no le veo mucho la logica a eso.

Pero este es un tema más de meraki y de cisco que de pfsense.

la idea es tener segmentos separados , y el wifi es uno que lo quiero tener aislado de mi red local o cableada.

@pepe0505:

por que no pruebas poniendo en tu alias las ips publicas que redireccionan a facebook.com en lugar de poner como tal el dominio??
si tienes linux ejecuta en una terminal
host facebook.com
o con un ping
ping facebook.com
y agrega la o las ips que aparezcan apuntando al dominio
Imagino que Facebook debe tener mas de 1 ip publica, es cuestion de que vayas agregando todas las que te aparezcan, la regla igual en la LAN | ipv4 | * | any source | any port | facebook alias | any port
Saludos

Así esta hecho, no solo por DNS si no tambien por IP una larga lista de IP. Y no hay caso.

me respondo a mi mismo, el problema era que tenia pfsense asignado por http al puerto 8443 y no al 80 por defecto, por lo tanto los pc no lograban bajar la configuracion WPAD ya que apuntaba a http://192.168.1.1/wpad.da(y wpad.dat y proxy.pac) y con el cambio de puerto quedaba http://192.168.1.1:8443/wpad.da, el cual nunca iban a resolver el resto de los equipos… ahora esta funcioanando bien (lo deje en 80) y la cpu esta a 20% de uso (paquetes instalados mailreport, RRD_summary, squid, squidguard, lightsquid, ntopng). espero a alguien le sirva esta informacion

Me imagino que tienes Master/Slave en tus fws con HA (CARP),  estan en el mismo segmento ambos?
Creo que debes enmascarar el trafico en firewall -> NAT> outbound
Por ejemplo yo tengo
fw1: 10.2.0.2
fw2: 10.2.0.3
Y me pasaba lo mismo, alcanzaba toda mi LAN con la VPN excepto a mi FW2 (Slave)

La regla es algo asi….

Realmente no recuerdo si con esto pude llegar a mi fw esclavo atraves de una vpn configurada en mi fw1, nada pierdes con probar…. Igual si puedes explicar un poco mejor en lo que trato de recordar jeje

Te dejo por aqui unos links que puedes visitar.

http://www.geronet.com.ar/wp-content/uploads/2012/04/PFSense-MultiWan-redundacia-y-balanceo-de-cargas.pdf

http://www.bellera.cat/josep/pfsense2/Redundancia_y_Balanceo_de_Carga_con_MultiWAN.pdf

En ambos casos se plantean escenerios de "dual wan" pero si los intrepretas no deberias tener problemas para agregar mas gateways de salida.. Como no brindas suficiente informacion sobre el problema (como funciona tu proveedor, las configuraciones actuales, etc) es dificil ayudarte.  Lo que puede estar sucediendo es que al ser el mismo proveedor para todas las salidas tengas un conflicto con el monitoreo de las mismas. Intenta cambiar las ips de monitoreo por algunas publicas tipo OpenDns y Google Dns.

Saludos