Gracias por la informacion. Un saludo.

Importantísimo lo que mencionó el amigo gersonoftone!!! Para que se ejecute por defecto como administrador, hay que modificarle el atributo. Dejo un gráfico con el ejemplo. También puedes abrir los servicios, ubicar el "openvpn service" y ponerlo a que arranque de modo automático (por defecto esta en manual y detenido), de esta forma funciona hasta de forma silente, o sea ni se entera uno que está conectado a la VPN, apenas arranca, se inicia el servicio y se conecta ;) Saludos.- [image: OpenVPN_solve.png] [image: OpenVPN_solve.png_thumb]

Hola A manera de información la interfaz llokup sólo se utiliza cuando el squid no esta en modo trasparente. Saludos

Hola Con las características que mencionas puedes hacer lo que deseas, te recomiendo cambies el disco por un SSD o que el cache del squid esta en otro diferente, Tengo un cluteer de pfsens para 400 máquinas, con un hardware silimiar al tuyo y trabaja muy bien, además de que tiene 16 vlan y varios servicios como dhcp ipsec squid dnsmasq ntop loadbalancer  y algunos mas

Si te refieres a un PC de escritorio, es algo que he desechado por varias razones pese a que por potencia sé que cumpliría con mis requerimientos: Consumo eléctrico (los precios del Kw en España son escandalosos. Y con al nueva tarificación lo serán más) Ruido (dado que va a estar en un piso residencial es una mala idea) Generación de calor (quien haya disfrutado del verano español con una habitación cerrada con un PC encendido 24/7, me entiende) Par mí veo que lo ideal es una placa SOC con disipación pasiva para la CPU con tres puertos gigabyte. Hay múltiples fabricantes pero no encuentro nada por debajo de 300€, a los que hay que añadir RAM, fuente y caja pequeña. Y sin garantías de que el equipo montado no sea una tostadora. En total se pone todo por 400-500€. Un precio que se me antoja muy caro para un router/cortafuegos doméstico. La solución compacta de PC Engines (APU) la descarto también por no tener puertos Intel y por calentarse escandalosamente por lo visto. Los productos de Netgate parece que son un poco mejores respecto a este punto pero son casi tan caros como lo expuesto y hay que añadirle los gastos de adunas a Europa. Gracias por la sugerencia, de todos modos.

https://forum.pfsense.org/index.php?topic=73689.0

En la paqueteria a instalar, hay un paquete que se llama mailreport, algo por el estilo, instalalo. Y configuras, hay muchas opciones para que el firewall te envie un correo cada cierto tiempo con el total de usuarios, las ips que fueron asignadas y el tiempo conectado.

Ok, le mandé un mp a MarcelloC. Es un tipo muy correcto, supo responder con exactitud mi cuestión. Sinceramente voy a esperar a la versión 2.3 para realizar el experimento. @marcelloc: @rocaembole: Many thanks for your effort. I'm from Argentina. I want to say thank you. I don't know if you are going to read this, and i don't know if you'll understand my english neither. I have a question: It is possible to configure Captive Portal + Squid3 w/ Auth with CP credentials on pfsense 2.2.4? If it is not: Why? And there's any version that can do this work? which one? TYVM for the time you expend reading my MP Bye, God bless you and your work. Hi. The problem with cp + squid3 on 2.2 are the pbi package encoding. on pfsense 2.3 pbi are not used any more, so will work without hacks on 2.3 For now you can replace squid pbi binaries with a squid3 freebsd compiled  package. I have some video lesson that may help if you're not familiar with freebsd ports and compiling. http://sys-squad.com/sys/curso/48 Gracias por sus comentarios

@ega: Por curiosidad, actualizar que cosa Bellera? tengo el pfsense 2.2.4 Perdona. Entendí mal lo que dicen en redmine. En versiones anteriores no ocurría y a partir de la 2.2 este es el comportamiento normal en cumplimiento del último párrafo de  https://tools.ietf.org/html/rfc1812#section-3.3.2

Muy interesante el enlace. Añadido al hilo de Documentación. ¡Gracias!

Gracias!!! por las respuesta,  y por la luz, iniciare con las recomendaciones saludos

Bueno, si lo que quieres es tener "muchas" interfaces ethernet y no manejar VLAN´S, como comentas que quieres un hardware con el mayor número de interfaces posible, se me ocurre instalar  tarjetas con múltiples interfaces ethernet, como esta http://www.amazon.com/Intel-Ethernet-Server-Adapter-I350T4/dp/B005ATA17I Para el dimensionamiento, depende de de lo que vas a manejar, tienes que tomar en cuenta el tráfico que va a pasar por el pfsense, y los servicios que vas a manejar, algunos demandan mas capacidad de procesamiento, otros mas cantidad de memoria. Chequea la siguiente guía. https://www.pfsense.org/hardware/index.html#sizing Saludos.-

En principio se me ocurren las dos que expongo arriba: Cercanía: si tienes dos redes y un servidor con dos tarjetas en ambas, permitir que en cada Red la resolución de un mismo nombre tenga distinta ip según desde la Red que se solicite. Si sólo dispones de la ip de una de las redes al hacer la petición desde la otra te va a dar la IP de la primera y entonces todo el tráfico va a pasar por el pfSense Independencia: tener dos redes y permitir que cada una tenga sus propias entradas dns, por ejemplo un wifi que quieras que sólo resuelva una parte de las entradas. Un saludo.

Se me viene a la mente, LDAP + SQUID con los permisos seteados correctamente para permitir navegacion o no.

Es correcto, al deshabilitar los limiters ya se puede navegar, me queda revisar el tema de delay_pools desde squid. Gracias y un saludo.

https://doc.pfsense.org/index.php/Using_Captive_Portal_with_FreeRADIUS

Originariamente era TCP/UDP 1935 y todavía hay servicios que lo emplean. Pero para "evadir" los cortafuegos pasaron a emplear TCP 443. O sea que por puertos, mal asunto. Mi recomendación sería que mantengas los navegadores bien actualizados. Actualmente los navegadores suelen bloquear FlashPlayer si no está al día. http://www.elconfidencial.com/tecnologia/2015-09-01/hoy-es-el-principio-del-fin-de-flash-y-por-que-es-una-buena-noticia_995373/ En pfSense se pueden tener reglas de inspección Layer 7 (L7) pero suelen ser incompletas: https://forum.pfsense.org/index.php?topic=79219.0 Si te preocupa mucho esto se me ocurre que podrías probar usando snort pero eso requiere máquina y bastante ajuste de patrones de inspección.

@Finger: Si ya tengo cargada la lista de shallalist puedo cargar sobre la misma la blacklist que me recomiendas? No lo sé. No lo he probado nunca. Lo siento.