Ya lo volví a probar, y ahora si, nada de nada, la vez pasada si respondía a facebook.com, sepa porque, pero bueno, ya funciona ahora si como debe de ser :)

Adjunta, por favor, capturas de pantalla de tus configuraciones… así los compañeros pueden "ver" como tienes configurado tu pfSense e indicar dónde puede estar el error/problema

Y revisar que no tengas otra regla que aplique primero  , como en el caso de una Pass LAN to Any

@kowalski: Regular Expression .cu http://es.wikipedia.org/wiki/Dominio_de_nivel_superior Diría que algo que se acerque a lo que quieres hacer sería: ([a-z0-9])(.cu) http://squidguard.shalla.de/config/ http://www.squidguard.org/Doc/expressionlist.html Pero eso lo resolverás mejor con una ACL de squid, pienso… Un ejemplo: http://www.linuxquestions.org/questions/linux-software-2/get-squidguard-to-block-entire-countries-web-sites-possible-225866/

Siendo así igual el empleo de FreeRadius puede solucionar el tema, https://doc.pfsense.org/index.php/Using_OpenVPN_With_FreeRADIUS No me queda claro si la integración de OpenVPN + FreeRadius (este empleando LDAP) permite emplear las capacidades de FreeRadius para asignar IPs. Google openvpn freeradius

Es una pena, en el otro lado del túnel tenemos un PaloAlto que si que permite eso, pero necesitamos la priorización en salida. Voy a ver como puedo meter un segundo pfsense antes del ipsec para que gestione el tráfico. Muchas gracias por la respuesta bellera, voy a ponerme con ello.

Es que son muchas las cosas que debes hacer como para resumirlas en un post. Pero considera que debes usar los siguientes servicios/paquetes: Servidor Proxy (Squid) Filtros Proxy (squidGuard) "Acá puedes crear los grupos que necesitas". Auto descubrimiento de Proxy (Configurando DHCP y creando un archivo wpad.dat) Bloquear el tráfico directo de los clientes de la LAN al puerto 80 y 443 en el firewall. Olvida usar simplemente un proxy transparente o reglas del firewall debe ser un Proxy configurado de forma manual en los clientes o lo más recomendable, usando auto descubrimiento. Cada vez son más los sitios que se cambian a HTTPS y sólo un proxy puede filtrarlas.

Genial!! Creé una IP virutal para la interfaz LAN: 192.168.2.254/24 y dejé el servidor con IP fija en la IP 192.168.2.100/24, ajusté el NAT para dichas direcciones y ahora funciona como quería. Ahora tengo que arreglármelas para monitorear el tráfico, pero ya estamos avanzando. Muchas gracias Ballera

Con mucho cuidado, System: Advanced: Admin Access: Anti-lockout Antes de quitarla define una regla en LAN que te permita llegar a pfSense desde los equipos de administración. Si te equivocas, sólo podrás entrar desde la consola VGA + teclado.

Como dice periko con una vpn openvpn site to site o con ipsec

Saludos mi estimado por lo que leo de su post usted solo quiere gestionar acceso y no velocidades si esto es asi tiene dos opciones hacer todo desde crear los grupos y establacer reglas de acceso solo con pfsense o si asi lo requiere hacerlo con squid los dos metodos son distintos y llevan configuraciones diferentes….. En pfsense si lee la documentacion encontrara apartados en donde podra aprender a crear " Grupos" que no son mas que aliasse de puerto, host, url etc.... Y en squid se hace por medio de acls que estas son reglas a aplicar en squid bien sea por ips, url, puertos, etc.... Recomendacion : Determine con que va a trabajar o que conoce mas y entonces alli lea especificamente sobre las configuraciones pertinentes para que de alli salgan las dudas las cuales se resuelven aca en el forum.... Estamos a su orden

Gracias por tu respuesta!, seguiré leyendo y en caso de dudas volveré!

Muchas gracias por las aclaraciones. Daré por solucionado el caso.

Google drive.google.com firewall Google onedrive.live.com Si explican qué hacer para NO tener bloqueos de cortafuegos, hacer precisamente lo contrario.

he motado wpad con la guia oficial de pfsense, osea he montado los archivos necesarios dat. .pac .da en la misma maquina con pfsense, según veo los equipos al estar con esta configuración automática salen directamente por el equipo por pfsense el cual no esta bajo el portal cautivo, ¿puedo cambiar la re dirección de puerto del portal cautivo?

"1:1 NAT" o "1:1 NAT + VIP" https://doc.pfsense.org/index.php/1:1_NAT https://doc.pfsense.org/index.php/What_are_Virtual_IP_Addresses

Sopas, voy a tirarme un clavado, he tratado de hacerle ajustes, vamos a ver si damos con el asunto, a leer leer que el mundo ahi que comer… leas aviso como nos, saludos.

Perfecto, muchas gracias!