Cuando algun servicio no funciona como uno espera, siempre hay opcion de subir el nivel de logs:

options verb 4 o 5 , etc.

Vas a ver mucha info pero trata de entenderla o bien la pegas aqui a lo mejor entre todos podriamos entenderlo, saludos!!!

Muchas Gracias Periko,

Tal y como decía el usuario funcionaba. Ya ahí conexión entre el AD y pfsense.

Ahora desactivo proxy transparente, ya que antes filtraba por ip. Y en lugar de poner las ip a bloquaer dentro del squid guard, introduzco los nombre de los usuarios, pero no hace nada. Hay algo que pueda estar pasando por alto? Le faltaría algo al squid guard para que utilice las autentificaciones del AD para permitir/denegar permisos?

Un saludo

Debo decir que no estoy utilizando el captive portal, solo el freeradius, deje el campo de Number of simultaneous connections en "1" "0" y "2" y puedo seguir usando las 2 cuentas al mismo tiempo, cosa que no quiero que suceda, alguna otra idea??

Gracias

No deja pasar a ningun equipo por la WAN por lo cual tengo que reiniciar el servidor.

Tendrás que ir descartando cosas…

Hazte con algunas IPs de internet que estés seguro contesten a ping y cuando tengas el bloqueo pinguea, a ver qué. Adjunto imagen.

Si tienes conexión puede que sean tus DNS los que fallen e impidan la navegación. Prueba nslookup o dig indicando por nombre y por IP (resolución inversa).

Mira en Status - RRD Graphs - System el histórico de estados, de uso de la CPU y de la memoria RAM. Podría ser que estuvieses superando el número máximo de estados posibles. Esto puede pasar por usuarios que abusen de las conexiones u otras causas más complejas.

Saludos,

Josep Pujadas Jubany

diagnostics_ping.jpg
diagnostics_ping.jpg_thumb

Encontre este video en un foro sobre limiter en pfsense 2 y lo comparto xq a mi me sirvio y por ahi le puede servir a alguien mas.

Youtube Video

saludos…

Veo que seguiste en http://forum.pfsense.org/index.php/topic,45548.msg250860.html#msg250860

@frontsidebus:

un consejillo, si vas a meter tantos usuarios, no te seria mas comodo usar freeradius y mysql en un servidor externo y hacerte una web para introducir los usuarios?
mas que nada, por comodidad y no estar tocando tanto el router y porque en local no usas base de datos ni nada, es a pelo.
piensa que si luego debes exportar listas de usuarios etc o reinstalar el router, es un coñazo.

nosotros lo tenemos asi y va de lujo, asi un operador puede dar de alta un usuario sin tener que toketear el pfsense.

saludos.

Es que tengo el pfSense en un local aislado y no es plan de "desperdiciar" otra máquina para montar el servidor freeradius externo.

De todas formas gracias por el consejo  ;)

Gracias, el problema ya está solucionado. Tenía que reiniciar el pfsense.

Respecto al modo no trasnparente, en relación a vuestra experiencia, ¿como configurarías el pfsense por perfiles? ¿Por ip o por usuario?

Si te entendi bien, lo que necesitas es colocar en Bridge la interfase LAN y la WAN, de esta forma solo necesitas colocar a la red la interfase WAN, ojo debes tener instalada la otra tarjeta fisicamente, pero ahi ya no conectas nada.

Interfaces -> assing -> Bridges

Bueno, pues deciros , que despues probar esto de manera provisional en  un ordenador viejo, lo he pasado  a un pc nuevo atom, con caja mini itx , creo suficiente para mi casa
y ya lo tengo funcionando correctamente.
os dejo las fotos
Saludos y gracias a todos

Uploaded with ImageShack.us

Uploaded with ImageShack.us

Uploaded with ImageShack.us

Muchas gracias por tus respuestas, si, eso les dejo muy claro desde la primera ocasión que les doy el usuario, yo más bien pienso que se pusieron a ver lo que ven mis clientes, les mandaron tal vez la página del portal solicitando el usuario y la contraseña y estos cayeron, creo que hubo ataque de hombre en medio, lo creo porque me han comentado que de repente sus navegares al entrar a sus correos le dice que el certificado de seguridad no concuerda, o errores de ese tipo, pero de todo lo demás ya lo hago así como lo has descrito.

No se que más pueda hacer con RADIUS, aunque con lo que tengo ahora mismo me basta, lo que me preocupa es la seguridad =(, pero bueno, creo que no hay manera.

Saludos y gracias =).

Eso para el tiempo máximo de conexión

O bien, la otra es «Idle timeout», para el tiempo de inactividad, si quieres que el usuarios después de una cierto tiempo de inactividad tenga que volver a pasar por el portal cautivo, es en minutos.

Muchas gracias, voy a ver lo que me indicas, luego comento como salio!!

Saludos.

Ok, ¡de nada!

Muchas gracias , lo voy a probar lo q me dices.

Saludos ;D

http://forum.pfsense.org/index.php?topic=30305.0

http://forum.pfsense.org/index.php/topic,35031.msg191169.html#msg191169

http://forum.pfsense.org/index.php/topic,36486.msg188254.html#msg188254

http://forum.pfsense.org/index.php?topic=45052.0

http://forum.pfsense.org/index.php?topic=46985.0

Todo esto con Google pptp bellera site:forum.pfsense.org

No he tenido tiempo ni la posibilidad de aplicar las ayuda prestada…a penas pueda las aplico y le cuento.

Atte. Gracias..

Hola

Básicamente en la oficina hay unos 10 usuarios (desktops y laptops) y hasta 5 en movilidad, todos bajo windows.
la idea es dar servicios de autentificacion windows (parece que la recomendacion es usar otra máquina) y por otro lado, los que pfsense ofrece, sobre todo el tema de multiwan con failover (2 adsl + 1 USB 3g de reserva; nuestras conexiones son malísimas) firewall y squid para evitar el abuso de los recursos, y poco más.

si puedo montar el Primary Domain controller + el firewall/squid en la misma distro, podría isntalarlo en el servidor (xeon 8gb discos raid, etc) que ahora tiene el win2003 corriendo. si no es posible, tendría que dejar el 2k3 por un laod y montar una máquina "recicalda" para el firewall.

quizá sea mejor que me vaya a una solución más… 360º, por ejemplo una Clearos

periko,

Añadido arriba, en pfSense 2.0.1 y en Documentación.

¡Buen trabajo!

Saludos,

Josep Pujadas Jubany

saludos todo lo que planteas es posible. SI TRABAJA SQUID TRANSPARENTE JUNTO AL PORTAL CAUTIVO MUY BIEN DE TODAS MANERAS ENCUESTION DE Q PRUEBES. y si quieres permitir el acceso a paginas sin autenticacion POR EL PORTAL  CAUTIVO lo puedes lograr, PERMITIENDO EL ACCESO DE ALGUNAS PAGINAS EN CIERTOS HORARIOS. Y PAGINAS Q DE TODAS MANERAS ESTARAN GUARDAS EN EL PROXY.  googlea un poco mas y conseguiras bastantes documentacion