ok enterado

Si es ahí, de hecho acabo de aplicar una el día de ayer…

primero deberás crear el horario al que si le vas a aplicar... es decir, si tú deseas una hora libre de 9am a 10 am y tienes un horario de trabajo de 7am a 4pm. Lo que vas a dar de alta es el horario laboral normal como sigue..

00:00-08:59
10:01-11:59

Omitimos las horas en las que queremos tener horario abierto... por lo tanto estará abierto solo la hora que omitiste.

Después en la parte creo que son mm Groups o algo así de ACL

darás de alta una nueva, especificando la red a la que le aplicas.. por ejemplo la 192.168.8.0/24

Le aplicas el horario

y de lado derecho te van aparecer las reglas que se le van a aplicar cuando esté fuera de horario.( son los que pusimos arriba).

las reglas del lado izquierdo son las que aplica en el horario especificado.

El lunes te confirmo los menú, porque no tengo acceso en este momento a mi pfsense.

Si pones unas pantallas te ayudo..

Saludos!

Gracias, justo lo que necesitaba

@fjluque:

Ya funciona. Gracias!

Como quedo la configuracion?

Esto te puede ayudar,

Pero en mi caso el problema era intermitencia con el NAT  y solvente guiandome con esto:

https://forum.pfsense.org/index.php?topic=88467.0

Saludos.

Hola.

Eso se hace con una ACL para saltar la autenticacion en las url que tu le indiques.

Lee sobre esto: https://wiki.squid-cache.org/ConfigExamples/Authenticate/Bypass  o Busca en google: squid bypass url authentication

Una vez que tengas la ACL definida, debes colocarla en las opciones avanzadas del squid (pestaña general al final)  cuadro que te adjunto.

Y en el squidguard crear una categoria (target) como  por ej:  url-noauth  y la colocas como whitelist en la Common ACL. (la default).

Yo lo hice hace tiempo, pero ya no tengo acceso a dicho pfsense. sino con gusto te pasaria.

Pero todo es cuestion de que investigues y pruebes, es lo mejor y mas sano asi se aprende el "por que" de las cosas.

Saludos.

Before_Auth.PNG
Before_Auth.PNG_thumb

@Leo_admin:

DMZ 168.30.5.0/24

Estás seguro acerca del uso de la red 168.30.5.0/24 ?  https://bgp.he.net/ip/168.30.5.0#_whois

Revisa: https://doc.pfsense.org/index.php/Connectivity_Troubleshooting#Firewall.2FRules

Si quieres "respuestas concretas" tendrás que "mostrarnos" cómo tienes configurado tu pfSense (capturas de pantalla)

@loquitoslack:

Hola, mira lo que podrías hacer es lo siguiente:

Crear una IP Virtual, Firewall>Virtual IPS>ADD>IP ALIAS

Interfaces (tu interfaz)
Adress(es): <tu ip="" publica="">mascara(tu_mascara_q_da_el_proveedor)

Aceptas

FIREWALL>NAT>OUTBUND

Modificas el valor a hibrido outbound nat y creas la regla donde permitiras que la red LAN (especifica) salga por una determinada IP, nos dices como te va

Saludis</tu>

Ya hice la prueba, me funciona en cierto modo, porque en una misma subred tengo los servidores de Correo y Proxy. Hice alias de Puerto para Correo (25,110…) y alias para Proxy Web (80,443,8080,3128). Cuando creo regla Nat Outbound digo: Todo lo que venga de dicha subred por el puerto (AliasCorreo) salga por la Interfaz Física WAN1 (200.55...20), y lo que venga por dicha subred por el puerto (AliasProxyWeb) salga por la IpVirtual(200.55...21).

Eso anterior no me funciona!!!!

Lo que si funcionó fue la regla Nat Outbound: Todo lo que venga de dicha subred * * salga por la IpVirtual(200.55...21).

Pero lo que necesito es dividir el tráfico de esa subred por puertos. Los email que salgan por la WAN1(200.55...20), y la navegación web salga por la WAN2-IPVirtual(200.55...21).

Qué estoy haciendo mal? Qué me sugieren?

https://www.vivaolinux.com.br/topico/pfSense/PFsense-Script-Restart-Wans

revisa ese hilo, parece que algo hay, realmente no lo probé, pero por ahí te lleva a alguna solución ;)

Es un tema muy repetido no solo en Pfsense, en temas de Proxy en General con Squid, sea con Pfsense o con otro Linux/Unix.

El Problema de usar proxy No Transparente, es que debes configurar todos los navegadores o programas que necesitan internet.  otro problema es que existen dispositivos que no soportan Proxy.  Y si lo soportan es mentira que un usuario común va a configurar proxy en su tabla.  Alli puedes jugar con el WPAD a ver que tal.

Su Ventaja:  Bloqueas tanto por http como por https.

El problema de usar Proxy Transparente, es Filtrar la conexión segura. (https), Pero con la versión nueva del squid (pfsense la soporta) tiene la tecnica de "hombre en el medio" para lo cual Squid se comporta como un AC-Intermedia (términos de PKI) y de esta forma puedes bloquear el trafico SSL siendo proxy transparente.

Desventajas: Paginas de Bancos o paginas SSL con un buen tunning de seguridad no te van a dejar conectarte.  Entonces debes hacer una lista blanca para que estas paginas que te den problemas por la AC-Intermedia, ponerlas a "bypasear" el proxy.

Yo en estos casos aplico lo siguiente:

Usuarios de mi red (navegación fuerte)  Proxy no Transparente.

Red de Wifi, Portal Cautivo, etc: Proxy Transparente y le lanzo control de ancho de banda. (me puedo apoyar con delay pool)  Tendrán youtube pero a paso de tortuga herida.

NOTA:  Usar Pfsense no es obligatorio como Firewall UTM,  Lo pueden usar como proxy Dedicado también.

Para enviar correos,

debes permitir las conexiones desde tu LAN hacia la WAN por los puestos smtp ej  25, 465, 587  (estándares)

Para recibir correos igual, la misma regla pero agregas los puertos de imap, pop y tambien sobre ssl. (995-993).

Si tu proxy es transparente.  Debes permitir los puertos entonces en las ACL del Squid. (ya que todo, internet, outlook, torrent, teamviwer etc) pasara por proxy.

Si tu proxy no es transparente, la regla es de firewall puro.  (ya que solo pasara por el proxy a los programas que le indiques) por ej: tus navegadores.

Saludos.

Si la tarjeta soporta 1000,  tu interfaces de pfsense van a ir a mil y también la de las VM.

A nivel de pfsense lo puedes ver en el status interfaces vía web o con un ifconfig.

El tema de virtualizacion es delicado cuando tienes redes grandes y varios servicios de demanda de red como por ej:  correo y proxy.

Si esta en tus posibilidades, trata de dedicar  en el pfsense por lo menos la interfaz wan y la lan.  y por la 3ra interfaz del servidor "entubas" el resto de las vm y la conexiones externas (ej un switch).

Saludos.

Ya no logré hacer las pruebas al 100%, ya que hoy salimos temprano y prácticamente me sacaron de la escuela  ;D

Pero al parecer ya funciona!!

Había un pequeño detalle en la configuración del squid, donde le dices las interfaces donde va a escuchar, yo en el archivo proxy.pac, le decía que vaya a la 192.168.1.1, la cual es la IP de la LAN, pero no había seleccionado la LAN en el squid, solo las vlans  ::)

Ya les digo que pasa el día lunes…

Saludos

Pues ya solucione el problema

Era que me faltaba declarar las IP Virtuales en el pfsense, por eso mi MX no era visible desde el exterior

De todas formas, gracias por su colaboracion a todos

hola.

disculpa me puedes ayudar con mas detalle como solucionaste este problema? es que tengo el mismo caso.

los correos desde outlook no salin ni entran despues que instale el pfsense.

tengo dos redes:
1 WAN y 1 LAN, tambien instale squid y squidguard, para navegar por internet estoy bien, el problema es el envio y recepcion de correos por outlook.

Muchas gracias a todos, ayer ya lo puse de manera operativa y funciono con la liga que mando ptt (opcion 1) y aparte al crear la regla NAT lo puse en modo "NAT + Proxy" y woala sin problemas.

Muchas gracias a todos y si en efecto me agrado bastante pfSense asi que hare algunas migraciones de forti, sonic, untagle y opensense a pfsense :D

Saludos tema solucionado.

Buenas tardes,

POR FIN! ya tengo todo lo que necesito. He conseguido hacerlo con pf2ad.

Gracias por todo

Hola,

Gracias por los comentarios sobre este tema, el problema del era que mi DNS no estaba escuchando correctamente, OJO una vez más tener claro que cuando no se tiene el DNS funcinando correctamente te puedes volver loco con otros servicio pensando que es problema y en realidad no lo es.

Incluso funciona el MX en una DMZ

@j.sejo1:

El diseño esta bien.

Solo ten en cuenta que en la lan (interfaz que va al tplink) tu pfsense debe ser la pasarela (ej 192.168.1.1) y servidor dns y dhcp.

Tu tplink deja de ser pasarela, solo lo usas como AP, le debes colocar una IP por ej: 192.168.1.2, le inactivas el servidor dhcp y lo único que le dejas es la seguridad wifi.

igual como te recomendó ptt,  en la web del mismo pfsense existe mucha información y casos de éxitos sobre el esquema que estas planteando.

Saludos.

Gracias ya tome la recomendacion de ptt, y estoy leyendo los manuales en particular el primer link, que es exactamente lo que necesitaba, en cuanto a su respuesta era eso lo que buscaba saber de manera exacta, y si bueno eso es lo que eh estado leyendo lo del servidor dhcp para que no me vaya a presentar ningun tipo de conflicto por la asignacion de las IP

Sigo instruyendome.

Saludos!

Tengo la misma situación y en respuesta por parte de @ptt la solución es la siguiente:

https://doc.pfsense.org/index.php/Why_can%27t_I_access_forwarded_ports_on_my_WAN_IP_from_my_LAN/OPTx_networks

La opcipon 1 es la que provaré y será hasta el día de mañana que pued validar ya que me encuentro fuera de la oficina para validar directamente si es funcinal aun que leí en muchos otros post que con la opcion que te indico queda resuelto el problema.

Espero te sea útil.

ping.