Mira, tu problema no es de pfSense, sino que de redes y no sé si sea apropiado responderte en un foro que es sólo de pfSense. Pero mientras no digan nada, trataré.

Escribís que tu ISP, a lo interno, ta da un rango de IPs 192.168.x.0/29 (255.255.255.248). Según lo que investigué, el rango que tenes es de 6 IPs internas, pero sólo te dan 192.168.x.34 para el servicio de internet. Lo que te están dando, es una IP Nateada en sus equipos y por lo mismo, sólo la 34 tiene permisos de internet. Es por eso que te dije probaras a ver si tenían activo el DHCP en dicho router y reparte por lo menos esas 6 IPs.

Si logro comprenderte, entonces la cosa tendría que ser de esta forma:
WAN-->PROXMOX--Red Interna.

Ahora, desgranando PROXMOX, seria: pfSense, PDC y Proxy.
WAN pfSense por vmr0 Si le tenes una IP ya que claramente lo estas escribiendo arriba que es 192.168.X.34 y en vmr1 192.168.0.3. Aquí empezamos con la confusión con los Linux Bridge, ahí podes configurar de una vez la IP de navegación y pones que le tenes IP. Entonces eso de que tiene IP, es en la configuración de la WAN en el pfSense?

¿Ahora comprendes mi confusión?

Te dejo de tarea lo siguiente:

Saca captura de configuración del nodo principal del PROXMOX donde se muestran las tarjetas físicas y Linux Bridge para saber realmente cómo están configuradas. Saca captura de la configuración del pfSense de cómo están configuradas sus interfaces de red WAN y LAN. En este punto, necesito saber si el DHCP del pfSense está activa o desactivada. Saca captura de la configuración del PDC en sus tarjetas de red y si es una, a que Linux Bridge está asignada. Saca captura de la configuración del proxy e igual a qué targeta Linux Bridge está asignada.

¿Porqué te pido eso? Por lo mismo que no comprendo cómo tenes realmente configurado todo y sin eso claro, no me vas a poder comprender lo que te estoy sugiriendo.

Otra cosa, si te están dando libertad en esa red, deberías pensar en la posibilidad de migrar ese windows 2003 a algo más reciente. Si es por asunto de dinero y te estas arriesgando con PROXMOX del cual, por más que te pregunté si lo estas pagando NO respodes, supongo que usas la versión comunitaria y para ese caso, investiga sobre Zentyal, la versión comunitaria para tener algo más actual de servidor de dominio que ese windows 2003.

Nuevamente te insisto que leas detalladamente lo que te pregunto, porque si no lo haces, no seguiré respondiéndote ya que si trato de tomarme el tiempo de ser detallado en lo que pregunto, es porque espero todas las respuestas.

Sigo insistiendo que el esquema de red debería ser: ISP--> pfSense--> Red LAN, donde Red LAN seria el PDC sin ser DHCP, tu Proxy y los equipos de la red. El pfSense lo dejarías configurado solo como firewall y DHCP.

De esa forma, sólo tendrías la conexión a internet por la WAN y una sola red LAN sin nada de subredes a menos que uses VLAN lo cual no veo que lo hagas y tampoco pones si es un switch administrable.

Lo otro que te recomiendo, es que tengas tarjetas de red a 1 giga y que el switch lo sea también para un buen desempeño de la red.

Saludos y suerte.

Gracias a javcasta por este aporte. Sin embargo, el día de hoy el script no funciona correctamente con la versión versión 2.4.4 y posteriores, en la que se usa PHP 7 y se produce un error fatal que impide la carga de la página. Este es el error:

HP Fatal error: Uncaught Error: Cannot use string offset as an array in /usr/local/www/mywpad.php:347

Pregunto si algún desarrollador PHP puede revisarlo para hacer la corrección necesaria. La verdad este script ahorra mucho tiempo en el proceso de configurar WPAD.

@Core7 Puedes pasar tu grafico actualizado? No hace falta un suiche?
Es que veo como una pc 192.168.2.6 llega al pfsense directo. o existe un suiche antes?

Yo he trabajado bridge con pfsense bajo la modalidad de FIrewall Transparente:

ISP----- PfsenseBridge (firewallTransparente)-------(Fortinet-Cisco-Juniper)-----LANDMZ-etc.

Y me ha funcionado tanto el pfblocker como el snort.

Debes identificar cual es la interfaz de entrada.

El Pfblocker no va contra el Bridge va contra la interfaz de entrada (en mi caso, es lo que viene de la WAN buscando mis servicios internos.).

Saludos.

@ptt La idea es la siguiente. Como yo utilizo el sistema ucrm de ubiquiti para la suspensión de usuarios mororososm no puedo colocar el pfsense en modo rouer ya que dejaria de funcionar dicho sistema. Voy a probar el pfsense en modo route sin nat para ver si funciona.

Hola a todos, tras investigar logré entender que pasaba.

Mi ISP (02, filial de Telefónica) me dio una ip en el rango 2.x.x.x, tras el reinicio, y si vas probando, las ips dentro de ese rango tienen problemas de conectividad con el dominio: edge2befaster.com. Todas las páginas web que comentaba usan ese sistema de CDN (o cache), y claro, no funcionan.

Es un problema de 02, porque al reiniciar Pfsense (el modem lo tengo en modo bridge, con Pfsense usando pppoe), si me da una ip del rango 81-83.x.x.x todo vuelve a funcionar, y tengo conectividad con dicho dominio.

En resumen: No es un problema de Pfsense, si no de mi ISP.

@JokkerUCF eso es un portal cautivo, el link de arriba te ayuda a resolver ese detalle.

@j-sejo1 por lo indicado es así, si el usuario se desconeca de forma incorrecta, quedamos todos sin acceso a la vpn específicamente sin acceso a Internet, por lo del log no he podido detectar con exactitud el problema ha que estoy revisando el log openvpn.log y con respecto si el usuario queda tomado podría decir que si, indicar que he quitado el usuario pero aún así persiste el problema.

Pude arreglar el problema. Efectivamente era problemas en el edgerouter ubiquiti.

@bellera gracias!

@eduardo-miranda2308 Hola.

Tendras que ver como hacerla manual. En la Doc propia de Suricata explican cuales son los comandos, pero estos van por internet. No muestran una opcion "offline" donde uno desde la pagina del proveedor ej ET, descargue en un .zip o .rar por ej, y ejecutar el procedimiento manual.

Aqui estan las reglas https://rules.emergingthreats.net/

la cuestión esta en ver como seria el procedimiento manual desde el propio Suritcata.

Snort por lo menos tienes un procedimiento manual:

https://forum.netgate.com/topic/14575/here-is-how-you-update-snort-rules-manually

Saludos.

@j-sejo1 Gracias por la ayuda, todo entendido y funcionando a la perfección!

@j-sejo1 amigo al poner el alias de las ips o el alias de los puertos de Dropbox, el squid o squidguard dejan de filtrar páginas ....si deseas me hablas al +573006292122 y te muestro lo que he hecho al momento

Hola periko gracias por compartir ese video de tunel VPN me ha servido para hacer esa configuracion.

@g_cury Hola.

Te envio mensaje para lo del curso, saludos.

@Kevinlp
Hola
Los equipos con ip 192.168.1x, ¿qué puerta de enlace (gateway) tienen configurado?
¿Has mirado en STATUS - SYSTEM LOGS - FIREWALL a ver si se están rechazando la conexiones?

También puedes revisar los logs, por si indican algo relativo a la memoria. Además, puedes mirar los gráficos de consumo de memoria, aunque no creo que sea un problema de escasez de memoria.

Hola.
En cualquier caso, el error:

(92) Protocol error (TLS code: SQUID_X509_V_ERR_DOMAIN_MISMATCH)
Certificate does not match domainname: /CN=sub.domain.dev

parece que está en el certificado asociado al Squid reverse proxy. Está creado para otro nombre de dominio.
Puedes crear otro certificado, sí asociado al domino correcto, y configurar ese certificado en Squid reverse proxy.

Desde una sesión con SSH ve a /var/log y ahí encontrarás el openvpn.log