En las WAN no debe haber reglas, salvo para el tráfico entrante que sólo se tiene cuando se publica un servicio en Internet (empleando NAT Port Forward). Puede haber algún caso especial de reglas en WAN para tráfico saliente, pero no es habitual. Un cortafuegos es como una casa con varias puertas. Hace falta llave para entrar por la puerta, pero no para salir. Espero haberme explicado…

Hola como andan? Quisiera saber si se puede hacer algo similar pero sin tener el usuario que ingresar user y pass para poder navegar… Algo similar al ISA Server. O sea, integrar el pfsense con el AD y que con el simple logueo del usuario en una pc, pueda concederle ciertos permisos de navegación. No se si se entiende... :(

Me queda claro. La diferencias que explicas en cuanto a las conexiones. muchas gracias atte., Orlando Rozas I.

Bellera, para variar muchas gracias y para todos los amigos del foro que tengan este mismo problema RESULTO!!!!!. Hice lo siguiente para a quienes les sirva. Fui al archiv "/etc/sysclt.conf" y al final agregue la linea "kern.timecounter.hardware=i8254" y save. Luego fui al archivo "/boot/device.hints" y entre las instrucciones agregue la linea "hint.apic.0.disabled="1" ", luego save. Reinicie la maquina virtual pfsense y el reloj anda como reloj, osea, sincronizado. Gracias bellera por todo, lo mejor es que no tuve que modificar VMware con las tools. Gracias de nuevo.

@flosx: El problema me solo ocurre con el navegador chrome. Con los demas no existe inconveniente. saludos y gracias por su tiempo. como dice el compañero seguro debes tener algun proxy configurado. no veo porq motivo no deberia funcionar. saludos

Una posibilidad: http://www.bellera.cat/josep/pfsense/openvpn_no_dhcp_cs.html Otra: 1. Marcar la casilla Disable all auto-added VPN rules de [System] [Advanced]. 2. Añadir la interfase tun correspondiente (tun0, tun1, tun2…) en [Interfaces] [Assign] como OPTx (la OPT que toque). 3. Activar la interfase yendo a [Interfaces] [OPTx]. Para que permita guardar los cambios hay que poner none en IP address. 4. Con esto tendremos una pestaña OPTx en [Firewall] [Rules]. Añadir ahí las reglas deseados o en todo caso una que permita todo. 5. Esto no lo he probado, pero parece que tendría que funcionar. Ir a [Services] [DHCP Server] [OPTx] para fijar por MAC la IP asignada al cliente. Ya dirás cómo fue. Saludos, Josep Pujadas

Arriba, en **Documentación Rangos de IPs por compañía** http://forum.pfsense.org/index.php/topic,36344

¿Qué reglas tienes en la LAN donde activas el portal cautivo? Prueba con una regla que autorice todo, la que suele venir "por defecto". Y nos dices qué.

Hola Primero debes ver si tu maquina virtual pfsense tiene el hardware de la unidad optica. de ser asi te adjunto una guía para que veas los distintos dispositivos y sus nombres en freebsd: http://www.freebsd.org/doc/es/books/handbook/disks-naming.html Uso de CD de datos Ahora que ha creado un CDROM de datos estándar tal vez quiera montarlo y leer los datos que contiene. Por defecto mount(8) asume que los sistemas de ficheros son de tipo ufs. Si trata de hacer algo como mount /dev/cd0 /mnt recibirá un error como este: “Incorrect super block” y no se montará. Un CDROM no es un sistema de ficheros UFS así que los intentos de montarlo como tal fallarán. Tendrá que decirle a mount(8) que el sistema de ficheros es de tipo ISO9660 y funcionará. Puede hacerlo mediante la opción -t cd9660. Por ejemplo, si quiere montar el dispositivo CDROM /dev/cd0 en /mnt ejecute: mount -t cd9660 /dev/cd0 /mnt Tenga en cuenta que el nombre de su dispositivo (/dev/cd0 en este ejemplo) puede ser diferente, dependiendo de la interfaz que su CDROM utilice. Además la opción -t cd9660 sólo ejecuta mount_cd9660(8). El ejemplo de arriba puede resumirse del siguiente modo: mount_cd9660 /dev/cd0 /mnt En general puede usar CDROM de datos de cualquier fabricante, aunque los discos con ciertas extensiones ISO 9660 pueden mostrar un comportamiento extraño. Por ejemplo, los discos Joliet almacenan todos los nombres de fichero en caracteres unicode de dos-bytes. El kernel de FreeBSD no comprende unicode (todavía) así que los caracteres que no están en inglés aparecen como signos de interrogación. (Si utiliza FreeBSD 4.3 o alguna versión posterior, el controlador CD9660 incluye unas estructuras llamadas “ganchos”, que le permitirán cargar una tabla de conversión unicode apropiada cuando haga falta. Hay módulos para algunas de las codificaciones más comunes en el port sysutils/cd9660_unicode.) Es posible que reciba un error “Device not configured” al tratar de montar un CDROM. Generalmente esto significa que la unidad de CDROM piensa que no hay disco en la bandeja, o que la unidad no es visible en el bus. Puede llevar un par de segundos el que una unidad de CDROM se dé cuenta de que ha sido alimentada, por lo tanto sea paciente. Algunas veces un CDROM SCSI puede “perdido” debido a que no tuvo tiempo suficiente para responder al reset del bus. Si tiene un CDROM SCSI añada la siguiente opción a su fichero de configuración del kernel y recompile su kernel. options SCSI_DELAY=15000 Esto le indica a su bus SCSI que haga una pausa de 15 segundos durante el arranque para darle ocasión a su unidad de CDROM de responder al reset del bus. saludos flosx.

Gracias, por la colaboracion ya cree mis certificados nuevamente y realize copia de la Easy Rsa. gracias..

Aqui deje tramas de facebook para bloqueo desde lan http://forum.pfsense.org/index.php/topic,36984.0.html Ojo que las reglas tienen que estar al principio. Si bloqueas la trama no necesitas bloquear https o http. Comprobado. Saludos LOG

@mansa4u: Hola tengo pfsense 1.2.3 instalado. El tema es que estuve creando unas reglas en el proxy transparente (squid/squidguard) que implementé, al aplicarlas funcionó todo de manera correcta. Pero unos cuantos bloqueos que tenía en las reglas de firewall dejaron de funcionar :S Noté que al destildar la opción de "transparent proxy" todas las reglas del firewall vuelven a funcionar de manera correcta, hay algún parametro que no configuré o algo que pasé por alto? gracias!!! mira una vez me dijeron que una forma de bloquearlo era haciendo un nat forward con el puerto del msn alguna maquina de tu red emjemplo un servidor de correo. asi el msn asume que el servidor tiene problemas y no intenta conectarse por otros puertos. la verdad no lo probado pero podrias intentarlo.

Google: CARP VLAN pfSense http://forum.pfsense.org/index.php?topic=29760.0 y no parece que haya limitación alguna. Saludos, Josep Pujadas

Pues parece un corte momentáneo… Quizás de la conexión a Internet. Mira los gráficos [Status] [RRD Graphs] [Quality], a ver si ves pérdidas de paquetes.

@flosx: Estimados Poseo una wan con ip estatica, y sin restrcciones pero no me conecta a messenger la version es pfsense 2.0 r1 64 bit. alguna sugerencia. gracias atte., Orlando Rozas I. P.D: Ademas que MTU me recominedan para una conexion de 10M deberia permitir si tienes la regla por defeto que permite todo desde lan. lo que se me ocurre que puede ser antivirus en algunos casos generan problemas

Tengo 2 pfsenses en HA con 6 tarjetas de red y 24 VLANs enrutandome 1000 usuarios, también tengo creadas VPNs red a red y pc a red, gateway (failover), y alguna cosilla más, quiero cambiar de versión, para hacer una doble autenticación de las VPNs, certificado más AD y utilizar traffic shaper para más de una VLAN, ¿tú lo cambiarias a la RC1?

Gracias bellera, he revisado esa documentación, pero bueno, por si alguno lo tenía ya montado con imágenes y bien explicado, por aportar!!! Un saludo!

No recomendable. Hay poco soporte a nivel del kernel del sistema para esto. Es más sencillo y claro tener el equipo del ISP. Digo claro porque en caso de dudas siempre se puede pinchar un PC en el módem del ISP.

Tendrias que revisar tus script y realizar una programacion php. El tema es modificar algunos script de pfsense para que pueda tomar los usuarios y validarlos contra la db mysql. (creo) El portal captivo toma los datos desde pfsense, ahi es donde tendrias que modificar, y revisar Saludos LOG