Hola! Esto es lo que sale en todos los sitios de internet, incluido en este foro :  "Supongo que para hacerlo con "shared keys" estarás basándote en http://www.uplinksecurity.de/data/pfsense-ovpn.pdf (a partir de la página 18) …" , pero esta opción la veo más insegura cuando estas buscando mayor seguridad ya que estas enviando la clave-precompartida para autentificar. (con tiempo es posible descifrarla, a no ser que canvies la clave muy a menudo ). Por este motivo es mejor utilizar claves privadas con claves pre-compartidas, aqui si tienes seguridad!! He llegado a pensar lo mismo que me has dicho: "Igual el configurador web de pfSense sólo está previsto para casos Servidor-Cliente ..." Itentaré seguir con este tema haber si puedo sacar la solución, ya que OpenVPN tiene caracteristicas muy buenas que Ipsec no tiene. http://es.wikibooks.org/wiki/OpenVPN/Marco_Te%C3%B3rico Si encuentro la solución, lo comentaré Gracias!!

Cuando he dicho que no se suele apagar es porque normalmente es necesario que un firewall ( ejemplo que tengas servidores web, ftp,c orreo, etc.. que los tienes en una dmz) este encendido. Estoy de acuerdo que es importante que los dispositivos que utilices tengan un mínimo de calidad, también es cierto que a veces los fabricantes al fabricar un dispositivo no se cercioran en este tipo de problemas. Tengo la experiencia de haberme pasado algo parecido (botonera de encendido) con hardware de fabricantes muy conocidos. También es posible que si solo has tenido un dispositivo como el mencionado y te haya fallado la botonera puede ser cosa de leyes de murphy (pequeña broma). Tambien quiero aclarar que llevo trabando con este aparato desde hace 4 meses funcionando las 24 horas sin tener que apagarlo. Saludos

¡Hola! Para salir hacia afuera tienes que decir en [Firewall][Rules][LAN] que admites el tráfico hacia una de tus gateways. El ejemplo más sencillo sería: Proto Source Port Destination Port Gateway        Description   *      *        *        *          *  192.168.AAA.1 Admitir cualquier salida hacia el router 192.168.AAA.1 (en la red WAN) En el caso de balanceo y/o failover, tu "pool" se convierte en el gateway. Lo tienes todo en: http://doc.pfsense.org/index.php/Multi-Wan/Load-Balancing Las reglas en tus WAN serían para lo que llegue de fuera. Si no tienes servicios (a dar en Internet) no te hacen falta reglas en las WAN. Si das un servicio (en Internet) tendrás que hacer un NAT hacia adentro y entonces pfSense te crea automáticamente la regla en la WAN para permitir el tráfico de tu NATeo. Sobre el NAT hacia afuera tienes la explicación en: http://doc.m0n0.ch/handbook/nat-outbound.html (manual de m0n0wall, de donde partió PfSense) Y como pfSense emplea PF (Packed Filter), la explicación en el manual de PF es: http://www.openbsd.org/faq/pf/es/nat.html O sea que teóricamente no hace falta, pero es una forma más de "esconder" tu LAN … Yo lo prefiero así ... También hay otras formas de montar el "tinglado". Hay quien pone los routers ADSL en modo bridge y la dirección pública de la ADSL en la WAN correspondiente. Incluso hay países donde la conexión a Internet es directa sobre la interfase WAN de pfSense. En estos casos se impone el NATeo hacia afuera ... Saludos, Josep Pujadas

¡Hola! No lo he probado nunca pero … A parte de crear las IP virtuales para tu LAN en [Firewall][Virtual IPs], ¿creaste reglas en [Firewall][Rules][LAN] pera tus "LAN virtuales"? Por lógica, pienso que debería ser este el problema. Si es axí, te recomiendo el uso  [Firewall][Alias] para tener que escribir menos y hacer más "parametrable" tu configuración. Veo que en [System][Advanced] está la casilla [Shared Physical Network], parece que para más seguridad, en casos como el tuyo. Pero no pienso que esto afecte a tu puesta a punto. Ya nos dirás como te ha ido … a ver si vamos haciendo "comunidad" en castellano para pfSense ... Saludos, Josep Pujadas

¡Hola! Creando colas+reglas con Traffic Shaper. Puedes empezar con el asistente, ver qué te crea y luego ir afinando. Saludos, Josep Pujadas

/etc/fstab

¡Hola! No sé si te servirá, pero tiene que haber una cola padre como mínimo y después las hijas de ella. Además, las colas van ligadas a reglas del cortafuegos y Traffic Shaper sólo puede operar entre una de las LAN y una de las WAN. Parece como si el sistema se esté quejando de que no respetas esta estructura … En el apartado [Caudal] de http://www.bellera.cat/josep/pfsense/indice.html tienes un pequeño tutorial. Saludos, Josep Pujadas

Muchas Gracias! le doy para adelante.!!!

Cerrar los puertos de Lan al exterior o con traffic shaper. http://forum.pfsense.org/index.php/topic,3337.0.html Saludos

Te aconsejo que si quieres acceder remotamente desde web lo hagas por ipsec o por vpn, de lo contrario es peligroso abrir el puerto de https para acceder desde otro pc de internet, ya que de esta manera te pueden robar información con qualquier sniffer. Ssh tienes que abrir el puerto en la wan para acceder desde internet, esto provoca mayor ataques. Saludos

Hola, Nosotros ponemos los routers en monopuesto, es lo mas sencillo y da algo mas de rendimiento. La IP publica la tiene la tarjeta de red de pfSense, y como gateway le pones la IP que te diga el router, usando el asistente de configuracion de telefonica para los routers lo puedes hacer sin problema, o sino pregunta e intentare ayudarte. Yo tengo mis routers con IP fija y los routers Zyxel 660HW que monta Telefonica, pero imagino que con IP dinamica u otro routers sera mas o menos lo mismo. Saludos, Dani

MUCHISIMAS GRACIAS.

¡Hola! El equipo de desarrollo de pfSense procura hacer que la versión estándar ocupe lo mínimo, con la idea de que pfSense sea instalable en máquinas de muy reducido tamaño. Es por ello que si quieres "incrementar" cosas hay que pensar en hacer una instalación en disco duro a partir del LiveCD e ir "ajustando" al gusto de cada uno. Tengo pfSense instalado des de noviembre en un PC monoplaca con 6 NIC integradas y una Compact Flash. Instalé snort en una máquina a parte para "husmear" si pfSense deja cabos sueltos y la verdad es que tengo mis tramos de red limpísimos de problemas, gracias a pfSense "estándar". Saludos, Josep Pujadas

Activa el ssl para el webgui y cambia el puerto por defecto. Saludos.