@Core7 no sé si tendrá que ver, pero el otro día haciendo un ipconfig /all a la máquina real descubrí que tengo dos IPs y no entiendo el porqué ni como puedo quitar una, quizá eso es lo que me de conflicto.

@Silca squidguard logs no funciona este tema ya fue solucionado

¡Resuelto!

Restablecí el pFsense desde 0 😤 😤

Falta configurar el servidor DNS en: VPN, Open VPN, editar el servidor Open VPN, buscar Advanced Client Settings y habilitar la opción DNS Server enable. La dirección IP correponde al servidor DNS que ofrece el servicio ejemplo un servidor Windows.

Muchas gracias por el dato, lo pruebo y aviso.

Saludos.

@dioblan Ya he intentado

never_direct allow all

en las opciones avanzadas pero no logro que vaya hacia el cache_peer, sigue poniendo HIER_NONE

@atreyumu
Puedes investigar https://docs.netgate.com/pfsense/en/latest/monitoring/system-activity.html
Seguramente con el top vía SSH podrás obtener el proceso/s que más memoria consumen.

@atreyumu Si es posible, de hecho tengo un caso de éxito en producción así.

El Firewall en la Red es un Cisco-ASA.

El Servidor VPN es un Pfsense (virtualizado con 4 Gb de ram y 10Gb de disco) con una sola tarjeta red.

En el CISCO ASA deben hacer un NAT de que todo lo que entre por LA IP publica que se definió para tal fin, por el puerto udp 1194 se lo de al pfsense.

Aqui como se tiene un Switch Core que hace de capa3 (ya que la red es sementada por vlan) incluso existe una DMZ y un segmento servidor. En dicho equipo deben crear el enrutamiento para que la red vpn (10.20.4.0/24) se la pase al servidor Pfsense. De esta forma al conectarme via VPN, le llego a cualquier servidor (por que estoy any) de la red.

Esto es lo bueno de pfsense, que puede ser instalado como caja (box) para funciones puntuales, por ej, aparte de Firewall que es la función principal. yo he instalado pfsense como servicio dedicado:

servidor vpn (tu caso) una sola ip servidor proxy, una sola ip firewall transparente. una sola ip y 2 interfaces en bridge. servidor dhcp y dns. una sola ip.

Mira, tu problema no es de pfSense, sino que de redes y no sé si sea apropiado responderte en un foro que es sólo de pfSense. Pero mientras no digan nada, trataré.

Escribís que tu ISP, a lo interno, ta da un rango de IPs 192.168.x.0/29 (255.255.255.248). Según lo que investigué, el rango que tenes es de 6 IPs internas, pero sólo te dan 192.168.x.34 para el servicio de internet. Lo que te están dando, es una IP Nateada en sus equipos y por lo mismo, sólo la 34 tiene permisos de internet. Es por eso que te dije probaras a ver si tenían activo el DHCP en dicho router y reparte por lo menos esas 6 IPs.

Si logro comprenderte, entonces la cosa tendría que ser de esta forma:
WAN-->PROXMOX--Red Interna.

Ahora, desgranando PROXMOX, seria: pfSense, PDC y Proxy.
WAN pfSense por vmr0 Si le tenes una IP ya que claramente lo estas escribiendo arriba que es 192.168.X.34 y en vmr1 192.168.0.3. Aquí empezamos con la confusión con los Linux Bridge, ahí podes configurar de una vez la IP de navegación y pones que le tenes IP. Entonces eso de que tiene IP, es en la configuración de la WAN en el pfSense?

¿Ahora comprendes mi confusión?

Te dejo de tarea lo siguiente:

Saca captura de configuración del nodo principal del PROXMOX donde se muestran las tarjetas físicas y Linux Bridge para saber realmente cómo están configuradas. Saca captura de la configuración del pfSense de cómo están configuradas sus interfaces de red WAN y LAN. En este punto, necesito saber si el DHCP del pfSense está activa o desactivada. Saca captura de la configuración del PDC en sus tarjetas de red y si es una, a que Linux Bridge está asignada. Saca captura de la configuración del proxy e igual a qué targeta Linux Bridge está asignada.

¿Porqué te pido eso? Por lo mismo que no comprendo cómo tenes realmente configurado todo y sin eso claro, no me vas a poder comprender lo que te estoy sugiriendo.

Otra cosa, si te están dando libertad en esa red, deberías pensar en la posibilidad de migrar ese windows 2003 a algo más reciente. Si es por asunto de dinero y te estas arriesgando con PROXMOX del cual, por más que te pregunté si lo estas pagando NO respodes, supongo que usas la versión comunitaria y para ese caso, investiga sobre Zentyal, la versión comunitaria para tener algo más actual de servidor de dominio que ese windows 2003.

Nuevamente te insisto que leas detalladamente lo que te pregunto, porque si no lo haces, no seguiré respondiéndote ya que si trato de tomarme el tiempo de ser detallado en lo que pregunto, es porque espero todas las respuestas.

Sigo insistiendo que el esquema de red debería ser: ISP--> pfSense--> Red LAN, donde Red LAN seria el PDC sin ser DHCP, tu Proxy y los equipos de la red. El pfSense lo dejarías configurado solo como firewall y DHCP.

De esa forma, sólo tendrías la conexión a internet por la WAN y una sola red LAN sin nada de subredes a menos que uses VLAN lo cual no veo que lo hagas y tampoco pones si es un switch administrable.

Lo otro que te recomiendo, es que tengas tarjetas de red a 1 giga y que el switch lo sea también para un buen desempeño de la red.

Saludos y suerte.

Gracias a javcasta por este aporte. Sin embargo, el día de hoy el script no funciona correctamente con la versión versión 2.4.4 y posteriores, en la que se usa PHP 7 y se produce un error fatal que impide la carga de la página. Este es el error:

HP Fatal error: Uncaught Error: Cannot use string offset as an array in /usr/local/www/mywpad.php:347

Pregunto si algún desarrollador PHP puede revisarlo para hacer la corrección necesaria. La verdad este script ahorra mucho tiempo en el proceso de configurar WPAD.

@Core7 Puedes pasar tu grafico actualizado? No hace falta un suiche?
Es que veo como una pc 192.168.2.6 llega al pfsense directo. o existe un suiche antes?

Yo he trabajado bridge con pfsense bajo la modalidad de FIrewall Transparente:

ISP----- PfsenseBridge (firewallTransparente)-------(Fortinet-Cisco-Juniper)-----LANDMZ-etc.

Y me ha funcionado tanto el pfblocker como el snort.

Debes identificar cual es la interfaz de entrada.

El Pfblocker no va contra el Bridge va contra la interfaz de entrada (en mi caso, es lo que viene de la WAN buscando mis servicios internos.).

Saludos.

@ptt La idea es la siguiente. Como yo utilizo el sistema ucrm de ubiquiti para la suspensión de usuarios mororososm no puedo colocar el pfsense en modo rouer ya que dejaria de funcionar dicho sistema. Voy a probar el pfsense en modo route sin nat para ver si funciona.

Hola a todos, tras investigar logré entender que pasaba.

Mi ISP (02, filial de Telefónica) me dio una ip en el rango 2.x.x.x, tras el reinicio, y si vas probando, las ips dentro de ese rango tienen problemas de conectividad con el dominio: edge2befaster.com. Todas las páginas web que comentaba usan ese sistema de CDN (o cache), y claro, no funcionan.

Es un problema de 02, porque al reiniciar Pfsense (el modem lo tengo en modo bridge, con Pfsense usando pppoe), si me da una ip del rango 81-83.x.x.x todo vuelve a funcionar, y tengo conectividad con dicho dominio.

En resumen: No es un problema de Pfsense, si no de mi ISP.

@JokkerUCF eso es un portal cautivo, el link de arriba te ayuda a resolver ese detalle.

@j-sejo1 por lo indicado es así, si el usuario se desconeca de forma incorrecta, quedamos todos sin acceso a la vpn específicamente sin acceso a Internet, por lo del log no he podido detectar con exactitud el problema ha que estoy revisando el log openvpn.log y con respecto si el usuario queda tomado podría decir que si, indicar que he quitado el usuario pero aún así persiste el problema.

Pude arreglar el problema. Efectivamente era problemas en el edgerouter ubiquiti.