Gracias por la respuesta, mira, los RRD Graphs los revisé hasta que me aburrí y no muestran nada extraño, todo dentro de lo normal, lo sé porque siempre les hecho un vistazo.

Sobre las tarjeta tengo una dlink para la LAN y una Intel 10/100/1000 para la WAN. Como dato, hace 2 meses tenía instalado pfSense 1.2.3. y todo funcionaba bien, no se notaba lentitud, los pings de monitoreo ( Nagios ) no mostraban variaciones, los tests hechos en http://www.pingtest.net/ mostraban todo normal, un ping bajo, jitter bajo tambièn, etc. Migré a pfSense 2 y empezaron los problemas, me hicieron volver a 1.2.3 y sigue todo igual. Lamentablemente, como me queda lejos, buscaron otra solución y les instalaron Endian, y ahora dicen que anda todo perfecto, igual que antes.

Tengo la sensación amarga de que se podría haber solucionado, pero no alcancé. Pensaba que si sería problema del "router" este tendría que haber también provocado problemas en esta otra solución.

¡Enhorabuena!

Añadido a la sección VPN de Documentación de este foro.

Sí se puede. Jugando con las máscaras. Pero es una protección muy débil.

Lo lógico es tener varios cableados o emplear VLAN si los switches lo permiten.

Lo tienes explicado en:

http://forum.pfsense.org/index.php/topic,23409.0.html
Documento de seguridad

Para unir diferentes sitios con una central emplea OpenVPN.

Hay una configuración para OpenVPN que permite decir a todos los clientes que deben pasar por la central:

http://forum.pfsense.org/index.php/topic,32094.msg165537.html#msg165537

No sé para qué quieres el Portal Cautivo. Para esto no es necesario.

No entiendo tampoco por qué no quieres que pfSense haga el DHCP en los locales. Pero bueno, esto es tan sencillo como no tenerlo activado.

Hace tiempo monté un repetidor D-Link para un AP LinkSys. Funcionaba pero curiosamente todos los equipos que entraban por el D-Link mostraban como MAC la del D-Link en lugar de la suya.

Contacté con el servicio técnico de D-Link y me dijeron que los repetidores no estaban 100% estandarizados, por lo que no era aconsejable mezclar fabricantes.

Como para cualquier otra aplicación…

Google Starcraft Batlenet firewall

y tendrás un montón de artículos de sobre qué puertos tienes que tener abiertos.

Por defecto tienes NAT Outbound automático. Esto es:

Las conexiones de LAN hacia afuera son vistas con la IP de WAN.

Pon NAT Outboun en manual y:

Define NAT Outbound de LAN a WAN para todo (lo que tenías en automático). Define NAT Outbound de WAN a LAN para lo que necesites. Define reglas en WAN acordes con el NAT Outbound de WAN a LAN.

El NAT Outbound se emplea de una LAN a una WAN, normalmente. No he probado hacerlo al revés, que es lo que tu quieres. A probar pues si funciona el invento.

Creo recordar que balanceo/failover no funciona con WAN dinámica.

Si es así (hablo de memoria) la solución es que detrás de esta WAN de pfSense tengas el router del ISP. Ya sé que es un aparato más pero queda todo más claro.

Si pasa eso es que tienes puesta una IP a monotorizar que debe autoprotegerse tras el envío constante de tus peticiones.

Deberías revisar la IP a monitorizar para este tercer enlace.

http://en.wikipedia.org/wiki/Comparison_of_firewalls

Como ahí viene poco de pfSense deberías mirar en OpenBSD PF, ya que pfSense emplea el Packet Filter (PF) de OpenBSD portado hace años a FreeBSD.

algo que note cuando estabamos haciando las pruebas es que no pudimos pones los 2 pfsense en la misma mascara de subred

pfSense es un router con funciones de cortafuegos, por lo que cada interfase debe estar en un rango de IPs distinto.

En la estructura que propones la WAN del primero (proxy) y la LAN del segundo (balanceador) deben estar, lógicamente, en el mismo rango.

También puede decirse a una interfase que haga puente con otra. Entonces las interfases quedan unidas y no tienen función de router. En algunos casos conviene que se sea así, pero no es el tuyo.

mira como yo lo hago, uso la version 1.2.3, me voy a Services -> proxy filter -> dstinations, y alli es donde creo mi lista negra, le doy el nombre, en Expressions escribo las palabras que quiero bloquear y en URLs list escribo la lista de paginas que quiero bloquear, tengo montado un index para que cuando se quieran conectar a alguna pagina que tengo bloqueada le muestre la pagina que le e montado al pfsense que lo unico que tienes es solo informacion mostrando de que la web a la que estan accediendo esta bloqueda y en Redirect mode coloco ext url move (enter url) y en Redirect coloco http://ip_pfsense:8080/pagina/index.html (que es el index que le monte con la informacion de bloqueo de paginas), una vez que cree esa regla me voy a defaul y  en Destination ruleset (click) alli me va a aparecer la lista que acabo de crear, me paro sobre ella y selecciono deny, y selecciono lo mismo de lo anterior en  Redirect mode coloco ext url move (enter url) y en Redirect coloco http://ip_pfsense:8080/pagina/index.html

ojo cada vez que hagas una modificacion en lo que es el proxy filter tienes que aplicar los cambios, como lo haces? te vas General Setting y en Enable tienes que tener activada ese recuadro y luego le das en Apply si hacer lo que te digo todo te saldrá bien. y asi mismo vas hacer con las lista blanca, solo que a ese modulo tienes que asignarle la ip o las ip de la(s) pc a las que quieres que esa lista afecte

espero que eso pueda ayudarte en algo, saludos

esper

Hola amigo, ya llevo poco tiempo usando pfsense, mira te cuento en mi trabajo se administran hasta mas de 100 maquinas con pfsense, lo que te recomiendo es que te abras una en dyndns y listo, yo uso el dyndns y hasta ahora no e tenido ningun problema, e incluso si cambia la ip en el pfsense me conecto a el sin necesidad de instalar ni de actualizar nada, bueno espero que te sirva esto de algo, saludos

Gracias por contestar,

El servidor de DHCP esta configurada para que un cliente pueda tener la IP como maximo 15 min, dado que tengo cerca de 300 usuarios si le doy mas tiempo se me acaban las direcciones.
Cuando tengo el problema no es ni de dhcp ni dns pues si se asigna la IP y de hecho si le doy ping al pfsense me contesta pero no me muestra la pagina de autenticacion.

Como les comentaba, hoy hice una pruebas y aumente al doble las direcciones IP y subi el tiempo de reasignacion del dhcp a una hora, y al parecer ya no tuve el problema.

saludos.

Para que lo sepais, es estos casos y si se usa por ejemplo Windows Server como servidor DNS en dominios, grupos de trabajo, etc., normalmente hay que configurar el DNS para que trabaje con la red local, pero además si hay otras subredes debajo habrá que configurar rutas estáticas.

Por ejemplo en server 2003

route add -p "ip de origen" "máscara" "ip del WAN pfsense"

Solo lo posteo por si alguien le pasa algo parecido

Si no tengo entendido mal. El Balanceo de carga no funciona correctamente si es el mismo ISP para tus dos lineas. Para que te funcione haya que seguir unos pasos. Mira por aquí que yo lo vi pero no se muy bien donde

http://doc.pfsense.org/index.php/Main_Page

Tengo entendido que hay algunos problemas con el Traffic Shaper…. revisa la seccion en ingles del foro...

Lo que podrias hacer, si tienes un Bakup de tu configuracion cuando Funcionaba el Traffic Shaper, y si sabes la version exacta que funcionaba, es bajar la actualizacion ( de la version OK ) y hacer el "Downgade" a esa version, o sea "actualizar" a la version anterior ( usando "Invoke pfSense Manual Upgrade" )... Espero se entienda la "idea" ;D

Las actualizaciones las puedes descargar de aquí:

http://snapshots.pfsense.org/FreeBSD_RELENG_8_1/i386/pfSense_RELENG_2_0/updates/?C=M;O=D

http://snapshots.pfsense.org/FreeBSD_RELENG_8_1/amd64/pfSense_RELENG_2_0/updates/?C=M;O=D

saludos

Yo desconozco squidguard, no depende de squid?

Alguien  que me norte de la relacion entre squid – squidguard?

Saludos  :)