jajajaja baneado

Anteriormente con la parte del Layer 7 Firewall era super facil, pero por el alto consumo que tenia esta parte la removieron y tendrias que experimentar con Snort para tener eso que dices.

realmente estas jugando con fuego al usar PPTP, ya que no es nada seguro. deberias cambiar a Openvpn, existen muchos manuales y muy buenos que te pueden ayudar a realizar la migracion.

Hay mucho material en la documentación en donde podrá ver como se puede hacer lo que quiere sin problema.

Si su TP-Link no tendrá contraseña, cualquiera podrá ver el portal cautivo y si tiene un clave de acceso podrá pasar el portal.

Entiendo lo que quieres hacer pero en este caso los modems/routers  solo te podrian funcionar como AP. Para esto deberás de deshabilitar el servidor de DHCP del modem/router y utilizar unicamente el modem/router como un bridge entre la red cableada y la red inalambrica. el equpo deberá de estar definitivamente en uno de los puertos LAN.

No es posible que puedas habilitar la interface WAN en modem/router dya que la interface WAN es o ADSL o fibra y los datos de este puerto vienen del lado del carrier.

Si lo que intentas es aislar el trafico , deberás de utilizar un switch con vlans y podras asignar una vlan por cada modem/router , pero será necesario que el pfsense reparta las IPs . No estoy muy seguro de que el modem/router te permita especificar un gateway en el DHCP, por default es el mismo modem/router.

De hecho yo tengo en casa algo así.
Saludos

¿Ya no usas pfSense?, pues las gráficas del tráfico, daban un tráfico mayor al que tenías.

Apenas me acabo de enterar de esta actualización del p1, veremos como me va :P

Haga que el portal cautivo redireccione a una página o a un servidor web más potente que el de pfsense, o que el portal llame a ese servidor, así como llama al youtube y el facebook, solo, que el video este alojado en local, si lo quieren para ganar más visitas en el video y likes en el facebook, no se me ocurre ninguna solución.

Si lo hace local, puede a lo mejor programar una condicionante que determine si han observado o no el video, o dado clic en el facebook, como lo hacen ahora, pero con algunos if else creo que se debería poder, pero eso ya lo tendría que ver en otro tipo de foro donde se hable de programación web, aunque si lo llega a solucionar, sería invaluable su colaboración también en este foro de como lo logro.

En cuanto a lo del IPSEC, hace tiempo experimente un problema similar, como no me dejan tiempo suficiente para hacer el upgrade y pruebas en caso de que falle, sigo con la version  2.2.1 pero se que es un bug del pfsense, tengo 5 tuneles ipsec de los 4 sin problemas pero 1 cada cierto tiempo dejaba de funcionar, lo que observaba es que la segunda fase hacia muchas conexiones a veces hasta mas de 50, hasta que se colgaba el tunel. La manera en que lo solucione fue agregando el sig valor en System: Advanced: System Tunables

net.key.preferred_oldsa 0

Tambien deshabilite las extensiones cisco DISABLE UNITY PLUGIN, la cual me ocasionaba conflicto en otro tunel.

Aun sobrevivo con ese ligero inconveniente, mi tunel es muy raro que se cuelgue pero hace muchas conexiones en la fase 2, de manera que se generan muchos SPI.

En cuanto al problema del webserver, si lo estas alcanzando por otros puertos, y localmente, creo que el problema radica en que tengas algun blockeo en el pfsense local o bien en el firewall del mismo webserver, de manera que estes blockeando las solicitudes al puerto 80 desde una zona publica pero no la local, para propositos del firewall al menos en windows la otra lan la considera como zona publica o remota.

Saludos

pfSense, es una muy buena herramienta. No lo voy a negar y por algo existe este foro con múltiples lenguajes ya que es de interés de muchos, estoy de acuerdo que cobren ya que toman de su tiempo para mejorarlo, pero también es muy cierto que no todos podemos pagar una suscripción gold ya que muchos aprendemos y experimentamos para ofrecerlos a clientes o uso interno personal en nuestros pequeños, medianos o negocios de cualquier tipo.

Si supiéramos las tripas al 100%, es seguro que podríamos ofrecer el producto de pago o cobrar por su instalación más el servicio gold para que nos veamos beneficiados todos.

Hay alternativas como Zentyal, el cual, con las nuevas actualización, van desmejorando el producto y eso me consta lamentablemente.  Otro totalmente open source es nethserver, el cual estoy probando, ya que ofrece mucho más cosas que Zentyal y pfSense.

Dependiendo de lo que el cliente quiera, es lo que uno le puede ofrecer.

Lo que he aprendido e implementado de pfSense con éxito a sido proxy, filtro de contenido, VPN Server a cliente y VPN Site to Site, es liviano y por lo tanto, en casi cualquier equipo se puede implementar, eso es una gran ventaja que tiene con los otros que he probado.

Por suerte hay mucha documentación de pfSense en internet, algunas buenas otras malas y solo a puro prueba/error es que se logra un resultado optimo.

http://lmgtfy.es/?q=squid.conf+pfsense

Primer entrada, tercer post.

Buenas muchachos.

Si, efectivamente el problema se solventó solo actualizando la versión de Squid, en estos momentos estoy usando la 3.5.26 y va bien, el consumo de RAM se mantiene.

No hice nungun otro tipo de configuración.

Saludos

hola saludos pudiste solucionar tu inconveniente??

Si se puede.

Lo que debes tener en cuenta que al autenticar el proxy (pidiendo usuario y clave o no)  deja de ser Transparente.

Es decir que para autenticar, debes configurar proxy en los navegadores.

Ahora si tienes un AD puedes pasar esa política via GPO y te evitas pasar maquina por maquina.

En cuanto a que no pida usuario y clave, es algo exclusivo para estaciones Microsoft.  y  tu formula seria:

squid + samba + winbind    y en algunos casos kerberos.

Referencia: http://wiki.squid-cache.org/ConfigExamples/Authenticate/Ntlm

Muchas gracias por la info, tenia entendido que el RDP Web era solo para IE por el tema del activex, pero voy a ver si le engancho la vuelta.

Saludos

buenas compañeros, alguien podria ayudarme a configurar estos parametros? "max_user_ip"  y  tambien  authenticate_ip_ttl los cuales son para impedir que un usuario pueda compartir el usuario/contraseña para poder navegar en internet, en la respuesta del compañetro anterior me dijo que se podia configurar esos parametos pero no los encuentro, si alguien me puede dar una luz de donde se encuentran sabria agradecerle mucho.
Carlos

Buen día

Ese es parte de los inconvenientes de usar squid en modo transparente + SSL, que muchas páginas no aceptanque hayan proxys intermediarios, yo les sugiero que usen proxy explicíto, es jarto poner el proxy en el navegador pero para eso se puede usar wpad, o GPO de windows si tiene dominio microsoft.

Saludos

Suba la configuración de sus pfSense y las características de los equipos donde los tienen instalado.

Si no te entendí mal solo te filtra cuando configuras el acceso mediante el proxy, es decir, agregar la ip y el puerto a las opciones de internet. Si es así y no podes configurarlo a mano por ser muchas pcs tenes 3 opciones

depende de que los navegadores tengan una opción tildada que no es default pero si es un dominio por GPO podes activarla. https://social.technet.microsoft.com/wiki/contents/articles/5156.how-to-force-proxy-settings-via-group-policy.aspx

Arma algún archivo de autoconfiguracion WPAD, si los equipos tienen la opción de autoconfiguracion (que activarias mas arriba) van a buscar el archivo en la red y van a levantar la configuración automáticamente. https://doc.pfsense.org/index.php/WPAD_Autoconfigure_for_Squid aca te dejo algo de info.

Podes ver de configurar el proxy por GPO directamente, yo lo hice pero no me funciono en todos los equipos, puntualmente en los de windows 7 no funciono pero si en xp. https://campus.barracuda.com/product/websecurityservice/article/WSS/ConfigureProxyUsingGP/

Y sino la ultima opción que use y la que mejor me resulto fue crear un script de autoconfiguracion, no es mas que un simple bat que deje para que corra con el login de cada usuario dentro del dominio aunque también podes pasarle el bat al usuario y que lo corra a mano, podes dejarle uno para configurar tu proxy y otro para desactivarlo, para que cuando este en la red labure a través del proxy y cuando no este pueda desactivarlo y salir directo.

–---------------------------------------
Creación y configuración del proxy

REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v MigrateProxy /t REG_DWORD /d 1 /f

REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d 1 /f

REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyHttp1.1 /t REG_DWORD /d 1 /f

REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d http://IPPROXY:PUERTO /f

REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyOverride /t REG_SZ /d "<local>" /f

exit

Desactivar proxy

REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d 0 /f

exit

Copia solo las llaves de registro y guardalo como un archivo .bat y vas a poder activar y desactivar el proxy desde ahi.

Espero que te sirva.

Saludos</local>