Todo solucionado.
Redireccioné todos los puertos hacia la dirección Wan de mi pfsense, y con mucha fe ciega y sin conocimiento de causa, ya que no conseguí hacer ping desde el segmento de la wan, cual mi sorpresa, que el router traspasa perfectamente las peticiones al pfsense.

Espero que algún compañero de este foro nos pueda explicar, ya por pura curiosidad, porque no se puede hacer ping hacia la boca WAN desde el segmento de la misma.

Mientras tanto para quien tenga esta misma duda, ya sabe, nat desde el router al pfsense aunque no se pueda hacer ping.

MUCHAS GRACIAS SANCHEZLUYS POR TU AYUDA, Y A TODOS, ANIMO.

como hacer las reglas, en eso necesito ayuda. estoy comenzando.. apenas.. no se mucho de esto..

Bellera gracias por responder,de hecho debo estar pasando por el proxy ya que en el log del squidguard en el log de bloqueo de las url aparacen los sitios que he filtrado (segun su contenido) y a los cuales he accedido,sin embargo no es capaz de bloquear como la palabra lo dice esos sitios,en modo transparente tampoco funciona.Si tienes algun manual o referencias de algun manual de como configurar el squidguard sobre pfsense te lo agradeceria,para poder verificar si lo que estoy haciendo esta bien,porque pudiera ser que me este saltando algun paso y no lo este viendo.
Saludos Pablo

@sanchezluys:

:) hola a todos…

Considero muy importante que visualicemos como usuarios y/o administradores de sistemas y/o aplicaciones basadas en bsd buscar la certificación, es decir que los que saben nos evalúen para demostrar si sabemos lo que debemos saber...

la organización encargada de certificar bsd:

http://www.bsdcertification.org/

me entere que todos los años se da un congreso muy importante donde también se certifica bsd el link:

http://www.bsdcan.org

y si deseas conocer los requerimientos mínimos para poder certificarte en bsd:

http://www.bsdcertification.org/downloads/pr_20051005_certreq_bsda_en_en.pdf

que para este año participaron lo co fundadores de pfsense:

http://www.bsdcan.org/2008/schedule/attachments/66_pfSenseTutorial.pdf

ahora alguien sabe que hacer para certificarse acá en latinoamerica?? o en Europa??

Siempre he estado pendiente de esta certificación pero creo que nunca llegará a latinoamerica y realmente nadie da respuesta en los correos informativos.

@mblanch:

Hola amigos:

Hace algunas semanas he estado investigando sobre Pfsense y me ha llamado inmensamente la atencion el servisio de portal captivo. He hecho varios experimentos, cada vez incorporando nuevas herramientas y con mucho éxito (conectado con un RADIUS sobre W2003 server con controlador de dominio) pero ahora mi pregunta es la siguiente:

¿Puedo darle caducidad en minutos a un usuario? me explico, asignarle por ejemplo 40 minutos y que se conecte 20 minutos por ejemplo un dia, 20 otro dia y que ya no se pueda loguear mas, porque su tiempo asignado a terminado… eso seria :) muchas gracias de antemano

Hola,
he estado trabajando ultimamente con soluciones de este tipo. La verdad es que no estan desarrolladas en pfsense y el squid soporta algunas opciones pero no todas.
Tu necesidad no creo que tenga respuesta actualmente, pero seria algo interesante.
lo mas cercano que se tiene es el tiempo de logout del portal cautivo, pero solo dura mientras se mantiene abierta la sesión del browser.

Para hacer lo que quieres hacer, podrias crear una pagina en php por ejemplo que sirva de validador de usuarios e internamente almacenar la información en una BD, despues con el uso de externals acls del squid puedes validar esa información de la BD y hacer el calculo de tiempos y basado en esto decidir si el usuario navega o no navega.

Esa podria ser la solución, pero te tocaria leer como crear el helper de squid y programar el validador.

Si, es buena tu idea.

Un Saludo…

@maaraujo:

merter,

Asigna como dirección WAN la otorgada por tu proveedor: 190.140.1.50 (verifica la máscara). Asigna como LAN cualquiera no enrutable, por ejemplo: 192.168.1.1/24 Asegúrate que en Services: DHCP Server tengas habilitada Enable DHCP server on LAN interface

Supongo que tienes un switch conectado a LAN, y tus PCs al switch. Configura tus PCs para que obtengan una dirección IP automáticamente.

Debe funcionar.

Saludos.

Miguel Ángel Araujo
México

Bueno ante todo muchas gracias le comento que solucione el problema que teniaa paso lo sig…

15/07/08 --- 15:45 GMT -4 hora de la solucion

me agarre me cd de pfsense y formatee e instale todo como nuevo y funciono solo con encenderlo y listo aun no he configurado las dirreciones y ya tengo internet muchisiiiii mas gracias

Ahora que clase de falla es esta deverdad que no c solo lo reinstale y funciono

muchas gracias y saludos a todos

Muchas gracias por responderme Miguel Angel:

si, tenia configurada la tarjeta en modo dhcp.
hoy he estado cambiando la configuracion de toda la red y despues de quitar el wifi de mi router linksys y cambiar algunos parametros del opt1 a funcionado bien!!!

la verdad no se donde estaba el problema quiza cuando tenga tiempo volvere a la instalacion por defecto de pfsense para tratar de hallar el error y lo comentare aqui

frsarabia,

Algo similar a tu configuración lo resolví haciendo VPNs LAN-LAN con IPSec, la única diferencia es que mis sucursales también tienen IP fija. Sin embargo creo que pfSense IPSec también funciona con IPs dinámicas en un extremo.

Una vez tenga la VPN funcionando debes crear una regla para permitir el tráfico.

Saludos.

Gracias, la verdad es que tiene razon Josep la red a mi tambien me parecia insegura, pero tenia un error en el acceso inalambrico que esta detras del psSense y era temporal lo que estaba haciendo.

Por lo que me comentaron me fue de mucha ayuda les agradesco.

Muchas gracias y saludos

listo esa era la solucion el que no sabe es como el que no ve…= gracias atodos sobre todo a mi amigo luis muchos saludos y por aqui tiene las puertas abierta que lo estamos esperando..................

Yo tambien estoy en ese caso, por favor me podrian mostrar un pequeño ejemplo para la sintaxis

en lo que seria 'Unrestricted IPs' en 'control access'

GRacias

Atte Raul Cardozo

Gracias por la ayuda que me dieron pero la solucion por si alguien mas llega a pasar por esto es que cuando le aparezca "welcom to FreeBSD"(que es al inicio de la instalacion) Seleccionen la opcion 2 que es "Bout FreeBSD with ACPI disabled"  con esto se instalar el sistema normalmente pero despues de hacer la instalacion completa, despues tienen que desabilitarle el ACPI en el bios porq sino les dara el mismo error como al principio

Ojala les ayude, ami si me funciono..

;)

¡Hola!

Si tienes un squid ya montado en una máquina a parte no veo razón (a priori) para incluir ahora squid dentro de pfSense.

squid dentro de pfSense está bien, pero está limitado a las opciones que tiene el configurador web. Si no tienes bastante con estas opciones, mejor conservar el squid actual.

Yo los tengo separados precisamente para tener mayor flexibilidad a la hora de ajustar squid y no cargar el cortafuegos con el servicio de caché. Como lo tengo en el lado LAN el tráfico por el cortafuegos también es menor.

Con una regla en LAN impido la navegación directa, por si a alguien se le ocurre quitar el proxy del navegador.

Saludos,

Josep Pujadas

¡Hola!

Esto lo puedes cambiar bien en la consola alfanumérica bien en la interfase web (en el apartado que pone [Interfaces]).

Por favor, abre un hilo cuando trates un tema nuevo. El título de este hilo no tiene nada que ver con tu petición.

Si no mantenemos un orden con los hilos después las búsquedas en el fórum son tediosas.

Saludos,

Josep Pujadas

Hola

Yo estoy de acuerdxo con alopez, utiliza una ethernet y con mas razon si dices que eres nuevo en eso.

La instalacion es muy facil no creo que te de problema en tu exposicion ya que hay algunos manuales por alli que te muestran hasta las capturas de pantallas de como se hae¿ce.

El manejo como usuario final tambien es muy facil ya que te muestra una interfaz grafica que es muy amigable a el usuario.

Con respecto a la topologia de la red, tienes que tener un servidor(o PC) con dos tarjetas(LAN y WAN) es indispensable ya que sin estas no pasas de la instalacion minima. con respecto a la topologia de tu red yo te recomiendo que las dos tarjetas sean ethernet, si quieres puedes poner un router que te asigne internet inalambrico.

por ejemplo:

tienes tu router(que es el q te entrega el servicio de Internet) –---> interfaz WAN del servidor <------> Interfaz LAN del servidor ------> router inalambrico(el cual puedes configurar solo para la asignacion de DHCP inalambrico) --------> switch que administra tu LAN.

No se si me puedas captar la idea, yo tengo configurada asi una red y funciona a la perfeccion.

Ojala te ayude de algo o si no consulta nuevamente.

OK  ;)

@bellera:

¡Hola!

Ningún problema. Basta con una regla en LAN que tenga como puerto de destino el 80 y especifiques la gateway que quieres emplear.

Saludos,

Josep Pujadas

Gracias Josep, ya esta funcionando :)

chok,

Tengo una cantidad de usuarios similar en una de mis redes.

Utilizo equipo Supermicro para montaje en rack, trae en el motherboard 2 puertos 10/100/1000BaseT. Como tarjetas te recomiendo las Intel Pro, hay de 1, 2 ó 4 puertos.

Saludos

Miguel Ángel Araujo
México

@btula:

Saludos,

Tengo operativo un equipo con 2 interfaces Wan y OPT
funcionan los nat forwand a servidores internos, etc

El problema que se presento es que tengo 4 cajas de voip
con un proveedor en USA, , no funcionan,
estos equipos utilizan el protocolo
sip udp 5060 a un servidor "proxy sip" especifico.

Creo la regla donde permito acceso total a las ip de
las cajas voip, activando el log.

Revisando los logs, solo se visualiza un registro de forma
aleatoria.

Si pondo las voip detras de un firewall dlink basico, con la misma
regla, estas funcionan correctamente

Alguna sugerencia

CMS

si funciona deja que el voip no se atentique o sea queno pase por el portal le puedes asignar una ip estativa en el server dhcp estatico y lo pasas por el pass -through mac copia su mac y añadelo aqui y veras que si funciona suerte
hasta luego