Hola

YA creaste las reglas NAT de salida de tu red?

Nota: Quita ese Cisco, pfsense puede hacer remplazarlo sin problema

hola

Como tienes configurado el squid trasparente o no trasparente, que paginas quieres bloquear https o http? se un poco mas detallado

lista blanca en donde?? que configuración tienes y que paquetes has instalado, necesitamos un poco mas de información.

klausneil, asi es solo es cuestión de buscar en el foro y los compañeros esiempre ayudan. suerte y de favor si solucionas tu problema comentalo.  suerte

woaw…. siempre se aprende (y se reafirman conocimientos).  Gracias compañeros por estos puntos de vista.

Saludos mi estimado si usted tiene colgado en esa web que indica un msj de error para aquellos intentos no autorizados le pregunto esa web esta alojada en un server web interno de la organizacion???? Si esto es asi porque accesa a ella desde la intranet colocando una ip publica y no su ip privada o local??? Por alli creo que faltan detalles de su escenario . Otra cosa importante saber es que dependiendo de ese escenario es la configuracion adecuada para que esto le funcione del resto seguira teniendo el inconveniente observado hasta ahora.

Atento a su respuesta

pues en la documentacion mencionan que pór un tiempo de inactividad los desconecta, si tu en un dia no quieres que se loguee mas de 2 veces o solo una aumenta el tiempo, espero haber ayudado

Al menos para youtube de manera segura ninguna por ahora… Lo demas como le indique anteriormente con forks como haarp se puede hacer cache sin problemas incluyendo vimeo que sigue en http para ver videos.

En la publicidad que se muestra en este foro venden equipo totalmente compatible, y creo que hasta con pfSense instalado, y hay unos con características brutales.

Saludos, voy a tratar de explicar lo mejor posible. Tengo una red LAn saliendo por un router gateway, incorpore el pfsense como un equipo mas de la red solamente con el fin de ocupar el servicio squid y squidguard, no lo uso como gateway de mi lan. Con un Active Directory hice una regla que todos ocuparan el pfsense como proxy y eso funciona.
Pude generar grupos con restricciones ocupando el pfsense, el único problema es que los internet explorer con versiones antiguas no pueden ver el OWA no asi con el firefox que lo puede ver sin problemas, debo mencionar que el exchange esta en la misma LAN donde esta el pfsense.

Es correcto mi estimado lo que es ip fijas en pfsense debe tener bien claro el gateway de su proveedor la mascara de subred y dns aunque estos ultimos pueden ser reemplazados por otros publicos inclusive..

Lo que indica el compañero rodria es igual o parecido a lo que le indique mi estimado el establecimiento de limiters seria en lan y vuelvo y le repito necesita un servidor proxy-cache este si o si funciona mejor en una dmz que en este caso si usted quisiera puede limtar tambien pero no lo veo necesario ya que se veria ralentalizado el servicio final al usuario.

Lo de las reglas que el compañero rodria le indicaba es sencillo usted puede colocar por encima de esta forma si tiene un dns local+servidor web+correo+asterik etc.

Puede colocar una regla con source en lannet (si asi se llamara su subred de clientes) + si desea establacer seguridad vendria bien especificar para cuales puertos con aliasses (otro tema) con destination aliasses o direccion del servidor (web, dns,etc) esta no debe estar limitada o con limiters establecido para que la resolucion dns y el acceso al server web sea full velocidad para todos sin distincion y luego por debajo la regla con el limiters establecido con destino a su server proxy por planes o grupos de usuarios.

En el supuesto caso que quisiera que el proxy que le sirve a los usuarios no pase de un trafico de 2 mbps (cosa descabellada porque realmente pondria lenta la navegacion limitando a proxy-cache a esa velocidad para resolverle a los clientes) basta con colocar una regla en esa dmz igual que la de los clientes limitando esta vez al proxy a esa velocidad. Y usted tendria en sus pc que esten en dmz o lan el resto de la velocidad supuesta de su plan cantv.

Estamos a su orden y espero poder explicarle bien para que entienda. En ningun momento se hizo alguna limitacion en wan Recordar que la regla de oro para establecer reglas en pfsense es que se establecen en el origen del trafico.

Saludos mi estimado es correcto lo que indica el compañero es problema en el server web de credicard y no en su firewall.

Estamos a su orden

Estimado amnari, muchas gracias por responder.

Es probable que no sea la única manera, pero como mis conocimientos de redes son más bien escasos y a nivel doméstico, esto es lo único que tengo en mente.

Para extender más la descripción de mis necesidades respecto a los servicios que debe prestar ROUTER_II:

1. Tráfico por openVPN. La conexión la tengo ya establecida desde ROUTER_II con un proveedor de servicios VPN (IPVanish) aunque sólo he sido capaz de configurarlo para toda la subred, no sólo para unos pocos clientes. Llevo con este proveedor ya hace un tiempo y me resulta útil ya que viajo mucho y no me apetece conectarme a sitios sensibles desde aeropuertos u hoteles de manera directa. A uno de mis colegas ya le han dado un susto (o eso dice) y no me apetece pasar lo mismo. Y ya que tengo este servicio, pues me parece útil configurarlo en el ROUTER_II de casa y no andar con el cliente instalado en cada ordenador de casa. Aquí es todo muy espinoso porque supongo que para hacer port-forwarding debe ser el proveedor el que te deje abrir el puerto en cuestión, y este proveedor no deja. El ejemplo típico es ponerte a bajar torrents como un loco y descubrir que tienes el famoso puerto cerrado, pero hay otras aplicaciones más legítimas que usan por ejemplo UPnP.

2. Servidor FTP (o si ya tiro la casa por la ventana, Owncloud) tras ROUTER_II sin pasar por la VPN para compartir ficheros sencillitos (fotos y demás) con el resto de la familia lejana. Aquí supongo que tendría que tirar de algo como dynDNS y tener mucha idea de cortafuegos y seguridad para que nadie se meta hasta la despensa.

Supongo que al menos en el caso 2 el doble-NAT está presente. De allí mis dudas a la hora de hacer port-forwarding en los dos escenarios que he descrito.

Lamento si no puedo ser más claro con la descripción pero pfSense está siendo para mí un curso acelerado de redes  ;)

Por cierto, si a alguien le interesa configurar pfsense con este proveedor de VPN, que mire esta guía. Con una serie de modificaciones ajustadas a las necesidades de cada uno al menos el túnel funciona: https://forum.pfsense.org/index.php/topic,66467.0.html

Muchas gracias de nuevo

ooups!! es cierto compañero no habia visto el titulo con detenimiento…. Bueno en este caso vienen bien sus recomendaciones espero el compañero sepa aplicarlas sin problemas. En todo caso viene bien nuevamente mencionar que pfsense es un firewall enrutador y para esto nacio en sus inicios solo que hoy dia hace muchas mas funciones que estas.

Con esto solo quiero decir que si usamos pfsense en un entorno donde se requiere alto rendimiento en todos los aspecto vendria bien pensar si vale la pena arriesgar un buen firewall colocando servicios en el que podrian rendir mas estando fuera de el sin arriesgar la seguridad de la red de servicios.

Saludos!!!

Saludos mi estimado usted haciendo uso de limiter tambien puede usar layer 7 como indica el compañero realizando reglas aparte en esos paquetes marcados como identificar paquetes voip??? http://es.wikipedia.org/wiki/Protocolos_de_VoIP He hecho uso de esta herramienta obteniendo resultados excelente y mas en nuestro pais donde el ancho de banda es oro realmente.

Saludos mi estimado que tipo de vpn usa???? Vendria bien saber si ya a desactivado squidguard para realizar pruebas??

Recientemente he instalado una Open VPN para un cliente WISP donde estan conectada tres sucursales compartiendo recursos como:
dns, servidor web, servidor de correo, proxy-cache,  sistema interno administrativo, sistema de atencion personalizada y gestion de  clientes y no presente ningun tipo de inconveniente mas que una pequeña limitante en el trafico debido a que en mi pais los planes ofrecen muy poco ancho de banda en subida….

Haga la prueba y indiqueme que problema arroja

saludos mi estimado imagino debe tener instalada dicha aplicacion sobre un server web el problema que indica no es problema de dns mas bien de manejo del servidor web si este fuera el caso…. Si usted no posee el sistema en la raiz de la carpeta www sino en otra carpeta debe colocar un virtualhost en la raiz que le redireccione a dicha carpeta que es la que  maneja el sistema o de la forma mas facil un archivo html con el nombre index haciendo la redireccion a dicha carpeta de tal modo que cuando el dns resuelva la ip al nombre no va a tener problema de acceso...

Estamos a su orden

@bellera:

Primero de todo asegúrate que squid esté funcionando, por sí solo…

Y después, si el problema persiste:

Google dansguardian Error connecting to proxy site:forum.pfsense.org

Dicen que cambiando el binario DansGuardian funciona:

https://forum.pfsense.org/index.php?topic=62197.msg342877#msg342877

Algo antiguo, el post…

Los enlaces son de Marcello, uno de los desarrolladores de los paquetes squid

Realizado todos lo indicado en el link y en otros post que encontre en el foro.. pero sigo con el mismo problema.. incluso luego de reinstalar pfsense y los paquetes.. sigo buscando