@j-sejo1 hola esto ya se soluciona con un parche que hay que instalar.

https://forum.netgate.com/topic/21817/recomendaciones-al-postear

Para "bloquear IP" utilizas Regla/s de Firewall.

En la Documentación Oficial Puedes Leer al respecto:

https://docs.netgate.com/pfsense/en/latest/firewall/index.html

@lucasll Este seria mas o menos el escenario
alt text

@Juancho1981 típico jejejej.

Es muy amplia la red? Digo por que pueden utilizar la misma red pero ajustando la mascara.

Sede A: 192.168.1.0/25 iria de la .1 a la .126

Sede B: 192.168.1.127/25 iria de la .128 a la .254.

el /25 hace la diferencia. Pero no se si te alcance por el tema de redes.

Nunca he utilizado el NAT que indicas para estos casos.

Todo depende de "cómo" tu ISP te entregue esas IP's...

Revisa:

https://docs.netgate.com/pfsense/en/latest/interfaces/mixing-public-and-private-ip-addresses-on-an-interface.html

https://docs.netgate.com/pfsense/en/latest/firewall/virtual-ip-address-feature-comparison.html

https://docs.netgate.com/pfsense/en/latest/nat/forwarding-ports-with-pfsense.html

https://docs.netgate.com/pfsense/en/latest/nat/1-1-nat.html

Fin de la historia, solución!!!!! rutas de regreso en Pfsense.

@BrujoNic Hola muchas gracias por tu ayuda y por tu consejo -es muy bueno-. He hecho lo que me dijiste este fin de semana y de momento va todo muy bien. No se corta el internet. Lo hice el sábado. El decodificador es el de movistar UHD 4K, que está conectado al router del ISP. Gracias!!!

@maikel94 das muy poca información para poder ayudarte, dinos que hay delante y detrás del pfsense, si es que hay algo, lo que no sale a internet esta conectado a pfsense o a otro router?, puertas de enlace?, servidores DNS?, quizá por ahí podríamos ir sacando algo de luz. Por aqui hay gente muy buena en esto, pero con tan poca información no se puede hacer nada.
Saludos!

@javier2020
Tras varias pruebas, finalmente he descubierto que el router interno (tras el pfsense) esta bloqueando la entrada.
En este momento un cliente conectado desde fuera por VPN llega a hacer ping hasta la puerta WAN del router interno, es decir, atraviesa el firewall sin problema.
La pregunta ahora es ,poque no pasa de la WAN a la LAN del router interno? no se supone que este paso de encaminado es transparente y deberia hacerlo el router automaticamente? o tengo que aplicar alguna regla o ruta estatica? He probado con diferentes rutas estaticas pero sin exito.
Ademas tal y como comentabamos mas atras, al llegar al firewall el tunel vpn se termina, por lo tanto a partir de ese punto que ip tomaria el cliente que accede? una ip de un servidor dhcp en el firewall o en el router interno?
Y es en este punto donde estoy atascado.
El router ha sido reseteado, firewall off en router y clientes, solo esta configurada LAN y WAN sin ningun otro servicio.
Alguna idea?

@j-sejo1 Si efectivamente fue lo que realice, lo desintale y volver a instalar y todo funcionando sin problema, gracias hermano por la ayuda un abrazo.!

@Gio80 Adicional a lo que te comentan.

Yo lo que aplico es borron y cuenta nueva, restauro con el .xml.

Cuando me ha pasado eso, han sido en equipos de producción, y no me puedo dar el lujo de perder tiempo investigando como solventar. Por tal motivo he solventado reinstalado y subiendo el respaldo.

En tu caso, no se si te dio tiempo de solventar de forma manual.

PD: ese error de arranque a mi me ha dado por fallas electricas o por que el disco disco ya tiene algunos sectores malos. que aun corriendo un FSCK no se corrigen.

@lsarmiento Pudiera ser un tema de rutas.

Por que si en ipsec te conectas pero no llegas a nada. quiere decir que la config de autenticacion esta OK, pero si no llegas a nada, entonces ya es un tema de rutas/firewall.

@ffrcaraballo said in Permitir enviar a una sola ip:

Gracias sos de mucha ayuda(?)

De nada ! Cuando gustes.

No, no todas... Es lo más extraño.

Sí claro, sí está activo. Es de ahi de donde leo los logs, incluso por consola con tail -f /Var/squid/logs/accede.log y en ningún momento veo un tcp_hit, es decir Monse está obteniendo nada del caché.

De hecho reconstruí la caché del proxy y sigue en las mismas, si solicitas la misma página todo el tiempo es realizándose la petición al recurso original.

Amigos he hecho las pruebas respectivas pero no logro que los clientes wifi puedan tener navegar, los PING y TRACERT si funcionan pero al usar el navegador de internet no logro conectar a ninguna página ni por resolución de nombres ni tampoco por resolución de IPs agradezco la ayuda al tema. Quiero aprender a controlar este fascinante mundo de pfSense que lo veo muy interesante. Gracias a todos por sus consejos.

Saludos

DHCP_DNS.PNG error navegacion.PNG error navegacion2.PNG rulesWifi.PNG outbound.PNG pruebas_ping_tracert_nslookup.PNG

Cambiar el puerto de administracion
No usar el usuario admin
Permitir solo puertos que van a usar
Evitar usar reglas any any any

Gracias, con mas o menos 40 personas el consumo de ram es de casi 2 GB, lo tengo por el momento solo con VPN, despues seria colocar ya en buena medida un Firewall.