Resuelto! Cambie la configuración del servidor a TCP en vez de UDP, según leí algunos enrutadores no son capaces de enrutar bien el trafico de retorno para el protocolo UDP. Cambie la configuración a TCP y funciona sin problemas. Estimado sclavijo, la configuración del servidor es tal cual la que aparece en la documentación, ya he trasteado algo con esto ;) Gracias!

https://doc.pfsense.org/index.php/Reset_States https://doc.pfsense.org/index.php/Firewall_Rule_Troubleshooting

Gracias Chicos, funciono a la primera. Juro que ayer intente lo mismo pero no me funciono pensé que estaba perdido. MIL GRACIAS!

Asi como veo tus reglas dicen esto: Cualquier IP que toque tu LAN, ya sea interna o externa puedo accesar a los puertos 110/587 en tu LAN, entonces tienes un servidor de correo interno? Si es al reves y quieres que tus usuarios en tu LAN puedan salir a internet y accesar a su correo en gmail, hotmail, etc, etc, ya que tu servidor de correo es externo. source: de donde inicia la comunicacion y destination hacia donde quieres que llegue. Es basico y en la doc viene explicado esto, saludos.

250 usuarios, 10GB CACHE, se me hace muy poco.   Yo lo incrementaria si puedo mas, mientras mas espacio mejor, ese cache se movera mucho.   SquidGuard se basa mucho en RAM por ello es rapido, por default acepta 5 conexiones simultaneas, tu requeriras mas, ya que desconozco si eso 250 usuarios podran estar saliendo a Internet al mismo tiempo?   Por cada conexion este carga su BD y esta se va a RAM, si lo tienes en prueba checa los procesos de este y observa la cantidad de RAM que consume cada instancia corriendo y asi tendras una idea de si tu sistema   requerira mas RAM.   De una vez preparalo, ya que lo unico que pasara es que a unos deje navegar y otros los rechace cuando su cantidad de conexiones sea rebasada y a incrementarlo en la config.   Ya que a squid le daras otro pedazo, este no es tan tragon como su amigo, pero no tienes mucho para donde moverte.   Recuerda que tu dns resolver debe trabajar sin problemas es clave.   Saludos.

Antes que nada…recordaste configurar el proxy EN EL SKYPE? -- En un squid.conf en debian, lo hice del siguiente modo. Ajustar según las necesidades! No copiar y pegar si no se está seguro de lo que se hace. Supongo que hay una o más ips que pueden usar skype. Lo englobo en el ejemplo dentro de "ip_permitida" acl skype src "ip_permitida" acl numeric_ips dstdom_regex ^(([0-9]+.[0-9]+.[0-9]+.[0-9]+)|([([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?])):443 acl skype_ua browser ^skype acl validuseragent browser \S+ http_access deny numeric_ips !skype http_access deny skype_ua !skype http_access deny !validuseragent !skype En caso de que quieras bloquearlo para todos acl numeric_ips dstdom_regex ^(([0-9]+.[0-9]+.[0-9]+.[0-9]+)|([([0-9af]+)?:([0-9af:]+)?:([0-9af]+)?])):443 acl skype_ua browser ^skype acl validuseragent browser \S+ http_access deny numeric_ips all http_access deny skype_ua all http_access deny !validuseragent all Cuidado, puede llegar a bloquear todos las ips en puerto 443 Saludos!!

Saludos mi estimado las descargas de gestores de descargas son directas es decir en tal sentido seria un poco mas complicado poder limitar la forma en que conecta estos tipos de software directamente, en su caso especifico trabajar como limiters seria la solucion definitiva a su inconveniente. Establace planes en cuanto a velocidad asignadas a su clientes por grupos o lo que mas se adapte a su necesidad y con esto tiene. Estamos a su orden

vale gracias por la aclaracion acriollo

Saludos mi estimado vendria bien conocer donde tienes ubicado el servidor de correos??? veo que realizas unos nat que podrian ser la falla del inconveniente con esto. Estamos a la orden

Saludos mi estimado segun entiendo usted esta hablando de reglas de acceso a traves del proxy?? si esto es correcto 1.Primeramente usar proxy no transparente bien sea establecido de manera manual en cada cliente o via WPAD (Es otro tema) 2.Establecer reglas correctas en la lan de clientes para establecer un poco mas de seguridad en el filtrado, que quiere decir esto? que si usted tiene una regla por defecto donde toda la lan de cliente tiene acceso libre a internet estos con quitarse el proxy si es de manera manual llegaran a su destino sin problemas o tiene la oportunidad de colocarse un proxy externo para lograr su fin. Normalmente cuando me solicitan realizar este tipo de configuraciones cierro todos los huecos posibles para los clientes y luego empiezo a abrir los necesarios para trabajar con las reglas del juego. 3. Toda la configuracion de filtrado luego de hacer reglas correctas se hacen en la configuracion de squid mediante acls y grupos de usuarios. (Usuarios con privilegios abiertos, usuarios con privilegios medianos y otros denegados segun su caso) Esto en el caso que todos los usuarios pasan por el proxy en el caso que no irian solos los que pasan y los otros sus privilegios son establecidos en reglas claras trafico. Estamos a su orden

Saludos mi estimado, primeramente la gran pregunta seria que deseas hacer con pfsense ???  Si bien es cierto mikrotik hace varias funciones y parecidas a pfsense. Que estan haciendo los mikrotik alli ubicado en cada punto? conoces esto?? te entrega direccion publica o privada el proveedor?? Si estos son colocados por el proveedor y no te de acceso seguramente alli esta estableciendo parametros de seguridad entre otros de la red de servicios, hay posibilidades que se puedan eliminar?? Creo que primeramente deberian plantearse cual es el objetivo que persiguen para analizar la factibilidad de proyecto, recuerda que con lleva una inversion no solo monetaria sino de tiempo y esfuerzo obviamente ligado a conocimientos dependiendo de lo que deseen tener trabajando en cada una de sus oficinas. Igualmente estoy completamente a la orden y espero atento a su respuesta.

Saludos mi estimado nuevamente activo en el forum luego de unas largas vacaciones. En cuanto a tema de este hilo mi estimado amigo yo le recomendaría lo que en parte nuestro amigo periko le quiso decir, si bien es cierto en organizaciones la seguridad informática es vital y por ello usted debería ser pionero en elevar a los encargados de decisiones dentro de la organización donde labora de las medidas necesarias para atacar inconvenientes como este. He analizado el tema de ultrasurf en especifico y via protocolo TCP/IP ni sus capas usted hasta ahora podra establecer la forma definitiva de dejar sin efecto dicho software y su forma de trabajar lo que tocaria en este caso es revisar y establecer normativas claras en la organizacion sobre bloqueo de las estaciones de trabajo en la facultades del usuario. Si un usuario no necesita tener privilegios de administrador en una sesion se le haria mas facil para usted el trabajo de eliminar dicho software de las mismas e impedir que nuevamente esten instaladas. En todo caso es mi humilde opinion en su caso y al igual que otros compañeros del forum que he visto animado en este tema seguiremos analizando como se podria evitar las funciones de dicho software por otra via. Estamos a su orden

Funcionando perfecto igualmente con el cliente Tunnelblick para Mac OsX  ;)

Me parece que los errorres son relacionados a que el trafico no esta llegando al Firewall. Que dicen los logs del pfsense en la parte de la vpn ?

Creo que todas las opciones son buenas pero nadie va evitar que se pongan otra ip en las pcs. Lo recomendable sería reforzar las políticas de uso y hacer que tus usuarios las respeten. A menos de que les quiten la conexion , encontrarán una forma de saltarse las restricciones. No se si alguien  comento filtrar por ip/mac en la misma regla. Aunque igual y se clonan la mac con su respectiva ip. :), que se los puede impedir ?

Saludos. Amigos, creo que puede ser un error de interpretación. Si se inicia squidGuard desde la línea de comandos, sin pasarle el archivo de configuración, veremos un resultado distinto al real. A mi me aparecía el mismo error, aparentemente un "emergency mode", pero simplemente podemos comprobar la funcionalidad del filtro de esta manera: echo "http://www.sitiodeprueba.net 192.168.0.55/ - - GET" | squidGuard -c /usr/pbi/squidguard-amd64/etc/squidGuard/squidGuard.conf -d Observen que pasamos el parámetro del archivo de configuración a squidGuard (algunos deben usar i386, en lugar de amd64, según la arquitectura). Al hacerlo aparecerá el diagnóstico correcto. Si el sitio es bloqueado, al final sale la URL de redirección o de la página de error. Espero que les ayude.

cat /var/squid/log/cache.log O tail -f /var/squid/log/cache.log mientras intentas navegar para ver el log de errores en tiempo real También, verificar que el firewall haga la redirección del puerto 80 al puerto del proxy. Principalmente fijarse que, si la regla fue creada a mano, coincidan los puertos definidos por el admin tanto en el firewall como en la pestaña "general" del squid. Fijate si podés sacar algo valioso de cache.log Saludos.

buenas. Le diste alguna solución?

Puedes instalar y usar bandwidthd, lightsquid o sarg Saludos.-