Ip fija o dinamica en la WAN ?

Puedes postear las pantallas del firewall , NAT y routing ? , claro aparte de las del proxy

Chicos buenas tardes, Les comento que pude agregar correctamente un cliente con ip estática que es la: 10.0.8.2, pero no me logra conectar cuando quiero agregar otro cliente, siguiendo lo que se menciona anteriormente le coloque la ip 10.0.8.6 y no conecta , me sale el mismo error que mencione al principio del post. Del lado del cliente saliendo por el mismo enlace de internet server1 (10.0.8.2) conecta ok–--- Firewall ----------------------------------OPENVPN PFSENSE server2 (10.0.8.6) no conecta----- Detallo los logs que me salen de parte del openvpn Jul 7 17:23:34 openvpn[32984]: MANAGEMENT: CMD 'status 2' Jul 7 17:23:34 openvpn[32984]: MANAGEMENT: CMD 'quit' Jul 7 17:23:34 openvpn[32984]: MANAGEMENT: Client disconnected Jul 7 17:23:38 openvpn[32984]: MULTI: multi_create_instance called Jul 7 17:23:38 openvpn[32984]: 190.xxx.yyy.zzz:4132 Re-using SSL/TLS context Jul 7 17:23:38 openvpn[32984]: 190.xxx.yyy.zzz:4132 Control Channel MTU parms [ L:1557 D:166 EF:66 EB:0 ET:0 EL:3 ] Jul 7 17:23:38 openvpn[32984]: 190.xxx.yyy.zzz:4132 Data Channel MTU parms [ L:1557 D:1450 EF:57 EB:12 ET:0 EL:3 ] Jul 7 17:23:38 openvpn[32984]: 190.xxx.yyy.zzz:4132 Local Options String: 'V4,dev-type tun,link-mtu 1557,tun-mtu 1500,proto UDPv4,keydir 0,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-server' Jul 7 17:23:38 openvpn[32984]: 190.xxx.yyy.zzz:4132 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1557,tun-mtu 1500,proto UDPv4,keydir 1,cipher AES-256-CBC,auth SHA1,keysize 256,tls-auth,key-method 2,tls-client' Jul 7 17:23:38 openvpn[32984]: 190.xxx.yyy.zzz:4132 Local Options hash (VER=V4): '8a244582' Jul 7 17:23:38 openvpn[32984]: 190.xxx.yyy.zzz:4132 Expected Remote Options hash (VER=V4): 'ed844052' Jul 7 17:23:38 openvpn[32984]: 190.xxx.yyy.zzz:4132 TLS: Initial packet from [AF_INET]190.xxx.yyy.zzz:4132, sid=5269f49e 8e124a0e Jul 7 17:23:43 openvpn[32984]: 190.xxx.yyy.zzz:4132 VERIFY SCRIPT OK: depth=1, C=AR, ST=CABA, L=CABA, O=TASSO, emailAddress=infraestructura@tasso.com.ar, CN=OpenVPN-CA Jul 7 17:23:43 openvpn[32984]: 190.xxx.yyy.zzz:4132 VERIFY OK: depth=1, C=AR, ST=CABA, L=CABA, O=TASSO, emailAddress=infraestructura@tasso.com.ar, CN=OpenVPN-CA Jul 7 17:23:43 openvpn[32984]: 190.xxx.yyy.zzz:4132 VERIFY SCRIPT OK: depth=0, C=AR, ST=CABA, L=CABA, O=TASSO, emailAddress=infraestructura@tasso.com.ar, CN=grg Jul 7 17:23:43 openvpn[32984]: 190.xxx.yyy.zzz:4132 VERIFY OK: depth=0, C=AR, ST=CABA, L=CABA, O=TASSO, emailAddress=infraestructura@tasso.com.ar, CN=grg Jul 7 17:23:43 openvpn: user 'grg' authenticated Jul 7 17:23:43 openvpn[32984]: 190.xxx.yyy.zzz:4132 TLS: Username/Password authentication succeeded for username 'grg' [CN SET] Jul 7 17:23:43 openvpn[32984]: 190.xxx.yyy.zzz:4132 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key Jul 7 17:23:43 openvpn[32984]: 190.xxx.yyy.zzz:4132 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Jul 7 17:23:43 openvpn[32984]: 190.xxx.yyy.zzz:4132 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key Jul 7 17:23:43 openvpn[32984]: 190.xxx.yyy.zzz:4132 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Jul 7 17:23:43 openvpn[32984]: 190.xxx.yyy.zzz:4132 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA Jul 7 17:23:43 openvpn[32984]: 190.xxx.yyy.zzz:4132 [grg] Peer Connection Initiated with [AF_INET]190.xxx.yyy.zzz:4132 Jul 7 17:23:43 openvpn[32984]: grg/190.xxx.yyy.zzz:4132 OPTIONS IMPORT: reading client specific options from: /var/etc/openvpn-csc/grg Jul 7 17:23:43 openvpn[32984]: grg/190.xxx.yyy.zzz:4132 OPTIONS IMPORT: reading client specific options from: /tmp/openvpn_cc_6afcde8256ad8dac8ed1bacf04020524.tmp Jul 7 17:23:43 openvpn[32984]: grg/190.xxx.yyy.zzz:4132 MULTI: Learn: 10.0.8.6 -> grg/190.xxx.yyy.zzz:4132 Jul 7 17:23:43 openvpn[32984]: grg/190.xxx.yyy.zzz:4132 MULTI: primary virtual IP for grg/190.xxx.yyy.zzz:4132: 10.0.8.6 De antemano gracias

ya encontre mi problema se me va el internet porque tengo reglas en el firewall limito el ancho de banda por ip y al activarlo se va el internet … antes me funcionaba bien no se que estare haciendo mal

Cuando únicamente asignas (usas) 1 interface, que por default es la WAN, el SO (pfSense) crea automáticamente la regla "Anti-Lockout" la que te permite acceder al "webconfigurator" (menú web). Ahora, cuando asignas/creas la "LAN" esa regla "desaparece " de la WAN, y es creada en la LAN, por eso "pierdes" el acceso por WAN ;) https://doc.pfsense.org/index.php/Installing_pfSense#pfSense_Default_Configuration https://doc.pfsense.org/index.php/Remote_firewall_Administration https://doc.pfsense.org/index.php/Locked_out_of_the_WebGUI

otra cosa que me pasa es que cuando instalo el packete squidguar de desactiva el squid y el squidguar alguna solucion?

actualice a la version 2.2.3 el problema es que al  instalar squid a los 5 minutos me deja de funcionar el innternet no me abren paginas  cual s era el problema

Tienes filtrado de paquetes activado ? Si tienes todo cerrado en el forti o en el equipo que funciona como gw para el clientey un  un puerto que no es el 80, deberas de abrir el puerto requerido en el gw , ya sea el pfsense o en el fw segun sea el caso Saludos

Hola, te aconsejo que si no sabes que vas a hacer mejor no borres nada. Puedes hacer que el servicio "truene". Con respecto a la pregunta,  es dificil saberlo sin las configuraciones y sin saber que pagina es . Se requiere mas informacion.

No entiendo, Y como es que vas a ahorrar en el costo de tu paquete de datos si el trafico de cualquier forma va a tener que pasar por la VPN ? Y la vpn me imagino que esta conectada via la red 3G o similar. aunque el trafico de internet venga de tu servidor, igual pasara por la red 3g

ok. el proximo post hare todas las capturas del squid y las reglas, si me dan un correo se las hago llegar mas facil Gracias Luis

Muchas gracias Sr. Bellera, revisaré dicha configuración y probaré a ver si funciona. En cuanto a lo de las redes, son redes de clientes, no redes de la misma corporación. Muchas gracias de antemano.

Muchas gracias por responder bellera, lamentablemente creo que no podra realizar lo que queria… :'(

Hola, puedes instalar bind-server, configurar que redireccione las consultas de tus clientes al servidor DNS de amazon mendiante forward config [image: 1eXCMqx] también en la configuración de tu DHCP configurar el parametro DNS para que entregue la ip de amazon a tus clientes. [image: 1eXDnbG] Espero que te sirva de ayuda

Muchas Gracias, la verdad que el proveedor Italiano, funciona muy bien a la hora de comprar pero a la hora de resolver dudas aun estoy esperando. El ancho de bando sera 300Mb/30Mb de Fusion fibra. Muchas Gracias

Buenas noches a todos, anteriormente tuve también dificultades con el squidguard, no me mostraba los errores y porque el servicio se paraba cayendo, miraba los logs del squidguard ubicados en el directorio /var/ y el resultado era negativo hasta que probe lo siguiente: admin@localhost# pkg install screen admin@localhost# rehash admin@localhost# screen #PrimeraVentana admin@localhost#  tail -f /var/log/squid/cache.log #segunda Ventaba admin@localhost# squid -k kill admin@localhost# squid Y pude notar que al arrancar al inicio había un error de sintaxis en el archivo de configuración del squidguard admin@localhost# vi /usr/pbi/squidguard-amd64/etc/squidGuard/squidGuard.conf El cual tuve que remover mediante el entorno grafico, edit file. Espero te sirva

Adjunta un diagrama de la Red (detallado) y capturas de pantalla de las configuraciones de cada pfSense, y de allí partimos ;)

Felicidades, espero comentes como te ha resultado en lo referente a la seguridad del Pfsense. saludos¡¡

Si desde principio desabilite lo que se podia en el bios para que menos interfiriera. Pero da el problemita.