@mikeltb Después de todo este tiempo desde que abrí este mensaje he podido obsevar que subiendo la RAM no es del todo la solución. Mejora pero no te da todo el ancho de banda de los 600 Mb. Indicaré los pasos a seguir para conseguirlos... Lo primero indicar y muy importante es que mi pfsense esta montado como maquina virtual en un proxmox. Después indicar que la controladora eth que tenía configurada era una Intel e1000. Pues bien, cambiando la controladora a VirtiO y reconfigurando de nuevo las interfaces, reconfigurar la conexión a Internet, volviendo a meter las credenciales de conexion pppoe y reasignando las Vlans a las interfaces de VoIP e IPTV, la conexión mejora notablemente hasta llegar a unos 620 Mb. El problema que me encontré a continuación fue que el test de velocidad de subida se quedaba en apenas unos 30 Mbps. Consultando en internet me encontré que este problema se soluciona activando la siguiente opción: System - Advanced - Networking: Habilitar opcion <<Disable hardware large receive offload>> Fuente Espero sirva de ayuda.

igual pienso que lo que te vas ahorrar son unas lineas. En mi caso que estoy en Venezuela, me basta con: com.ve net.ve org.ve gob.ve gov.ve edu.ve Y listo, con eso garantizo las entradas a todo lo que sea .ve a la final .ve lo administra Conatel (empresa del Estado que regula los dominios .ve), y esas son las opciones que ellos dan aquí en el país. Saludos.

Hola Podrías instalar otro computador con Linux y DNSMasq (También podría ser otro pfsense o un router con DD-WRT). Este equipo tendría que quedar conectado también a la WAN de respaldo con una segunda IP, en paralelo a tu PFSense. Luego configuras DNSMasq para que use los DNS que usa tu PFSense en la WAN de respaldo pero le sobrescribes los dominios de Facebook y Youtube para que apunten a un servidor DNS falso. Lo último sería usar la IP de este nuevo computador como servidor DNS de la WAN de respaldo en tu PFSense. Ejemplo de configuración de dnsmasq.conf (127.0.4.1 es nuestra IP falsa): listen-address=127.0.0.1 resolv-file=/etc/resolv.dnsmasq.conf server=/youtube.com/127.0.4.1 server=/facebook.com/127.0.4.1 El archivo /etc/resolv.dnsmasq.conf tendría que contener tus DNS originales (Acá uso los de Google): nameserver 8.8.8.8 nameserver 8.8.2.2 Creo que es lo más simple. Otras alternativas serían poner 2 servidores proxy con SquidGuard o crear sendas reglas en la WAN de respaldo bloqueando todas las IPs de Youtube y Facebook, esto último no es muy practico porque esas IPs van cambiando.

@ridley Hola, perdóname por mi español pero intentaré ayudarte Mi idea es muy simple . Tienes qué dividir la red 192.168.25.0/24 en dos partes 192.68.25.0/25 (por ejemplo , dmz , direcciones ip desde 1 hasta 127) y 192.168.25.128/25 (la red 26.0, direcciones ip desde 129 hasta 254) . En este caso puedes utilizar el tunnel para ambas redes

@konstanti Incialmente tenia en "Network" como "LAN Subnet" que es donde pasaba el problema, luego cambie a "Network" y coloque mi "Red Lan" donde igual pasaba, hasta que cambie de versión de PfSense 2.3.5 -> PfSense 2.4.4 donde ahora funciona aparentemente todo, les adjunto las capturas de mi configuración: PfSense-01: [image: 1542154976616-setting-1-resized.png] Phase-1 [image: 1542154984107-config-phase1-resized.png] Phase-2 [image: 1542155014392-config-phase2-resized.png] Rules lan: [image: 1542155138768-rules-lan-resized.png] Rules IPsec: [image: 1542155151350-rules-ipsec-resized.png] Estatus VPN IPsec: [image: 1542155204827-status-vpnipsec-resized.png]

No justo ese ese el problema. Creo que no me exprese bien: Lado A: Firewall (192.168.1.1) 192.168.1.0/24 Equipo X (192.168.1.23) Lado B: Cliente VPN (ES OpenWRT - linux con acceso a consola) Red: 192.168.8.0/24 Equipo Z (10.11.220.61) Pero en el mismo switch (no es administrable ni nada) de la red esta conectado el equipo con la ip 10.11.220.61 EL problema: La unica forma que equipo Z me responda o permita comunicacion con el es si la informacion viene de la ip 10.11.220.62 Pero como NO estan en la misma red fisicamente es mi gran problema. Si estuvieran en la misma red, solo configuro un equipo con la IP .62 y el gateway la .61 t listo Este equipo el .61 lo que me permite es acceder a otro host que es el 10.11.0.2 (PEro esto ya es otro tema, me interesa solo ver el .61 en este momento)

1 crear las vlan en el pfsense, 2 habilitar el servicio dns en el pfsense 3 instalar y habilitar el servicio proxy el pfsense

@Esquirla @fabo81 La última regla nunca "aplicará" (aunque cambie "This Firewall" por "LAN Address") Aquí pueden Leer por qué : https://www.netgate.com/docs/pfsense/firewall/firewall-rule-processing-order.html

Tienes instalado squid filtre? Cómo está el tema de aclarar?

que tal si en las reglas de firewall pones permitir ALL to ANY from ANY... si da Internet, la bronca es por tus reglas, el ping, no va a salir porque debes tener habilitado en el firewall las reglas al protocolo ICMP

@gersonofstone gracias por la respuesta. Decidí poner un router para no tocar tanto mi pfSense, ya que tengo otros enlaces y de esa maner lo tengo la configuración más limpia. Saludos!

@rickygm NO tengo para hacer un ejmeplo en este momento Protocolo Source Port Destination Port Gateway IPv4* VLAN11net * This Firewall * *

@bon-jovi dale una leída a esto https://forum.netgate.com/topic/129047/see-here-for-this-error-cannot-define-table-bogonsv6-cannot-allocate-memory/13 https://justinho.com/blog/2018/03/15/pfSense-Bogons.html http://centosquestions.com/pfsense-error-cannot-define-table-bogonsv6-cannot-allocate-memory/

Parece que un acl está más configurado, puede comprar que están bien?colored text

Usa graylog...

Primo tienes q descartar que los servidores de telefonía estén bien configurado, como nat, la IP pública con la que salgan y demás, después puedes habilitar las opciones avanzadas del pfsense que ayudan a los temas de nateo

@periko si estoy usando las blacklist de shallalist , he dado una revisada a los ip , y había uno que tenia una separación de mas , buen tip el de la separación. en el common he bloqueado todo , tenia algunas sin definir , voy a estar revisando los log a ver que veo y encuentro . gracias periko