Se agradecen tan amables palabras.

Suerte consiguiendo ayuda con esa actitud.

Aqui te dice como hacerlo

http://pheriko.blogspot.com/2013/10/pfsense-2x-squidguard-redirector-warning.html

Eso pasa debido a que pfsense mantiene un plantilla de configuración base en el caso de la conf de integracion squid-squidguard

Saludos.

Como lo has hecho tu? Tienes pantallazos para ver como lo llevastes a cabo?
Ahora tienes una misma LAN, lo unico que se me ocurre en tu caso es crear ALIAS y e ir metiendo grupo1 grupo2 las IPS segun sus gateways y de ahi aplicarles las politicas de salida(gateway), o bien un poco mas extremo pero funcional x vlans y mas sencillo, esos 2 caminos veo.

Version de pfsense?
Pantallazos de tu solucion.

Saludos.

Lo que pasa es lo siguiente, omitamos por un momento el tema proxy (squid).

Cuando uno tiene N cantidad de wan, por ej wan1, wan2 y wan3, de diferentes ISP, tu puedes mediante las reglas de firewall, decirle a una VLAN o RED por que ISP va a salir. Puede hacer Balanceo simultaneo, puedes configurar contingencia (trigger) por ej: si wan 1 se cae, que se vaya por la 3 y luego por la 2. o viceversa. Junto con el Misceláneos que te han recomendado en el presente hilo. Todo esta bien.

El Detalle viene y te cambiar el escenario es cuando utilizas "Proxy Transparente" por que? por que al activarlo por defecto todo el trafico de navegacion (http, https, etc) Se va ir por el SQUID. Y al llegar al Squid el saldrá por su default gateway (del pfsense) es decir por wan1 o wan2 o wan3. Por una de ellas. Esto te mata enseguida las reglas de balanceo que pudieras tener con tus redes o con tus vlans.

Existen procedimientos ( no los he probado) para balancear a nivel de squid, pero es cuestión de ensayo y error y ver hasta que punto es factible. (en este hilo te colocaron una idea, y el link que yo te mande)

Que hago yo? cuando tengo redes grandes, de mas 200 usuarios, servidores, segmento DMZ, vlans, etc. Yo NO acostumbro a utilizar "Proxy transparente". Yo prefiero el proxy Autenticado (no transparente) y dedicado, es decir el squid en otro servidor bien sea en la lan o en la dmz, con pfsense o con otro linux, pero dedicado, es decir no lo uso (el squid) en el mismo Pfsense-perimetro.

Que ocurre con esto? Por defecto nadie, pero nadie (salvo el director y uno que otro gerente) me navega directo a internet. es decir que ajuro el usuario debe configurar Proxy para poder navegar.

El proxy dedicado al ser un servidor Mas en una red. X a nivel de Pfsense, allí si aplico política de balanceo o contingencia a nivel de regla de firewall. (ojo con el Balanceo https, ya es otro tema que te vas a conseguir mas adelante).

Al fin y al cabo, el proxy solo me va a regular el acceso a internet. Pero si algun usuario en especifico necesita salir por una WAN puntual (nat de salida, un ssh, un ftp, un ping, etc) es simple, no va por proxy para la URL que necesite llegarle, solo la Url si quiero ser paranoico.

Es cuestión de ver el escenario que mas te convenga.

Todo esta en probar, ensayo y error y por alli iras armando lo que mas te convenga.

@j-sejo1 said in FailOver/redundancia de PfSense:

Si Pfsense A fallaba, el personal técnico tenia que ir al cuarto de datos simplemente a cambiar los cables (lan, wan y dmz) al pfsense B y listo. probamos 2 veces (contingencia simulada) y funciono. Hasta la fecha no se ha tenido una contingencia verdadera jejejeje, pero igual siempre realizamos fallas simuladas una vez al mes.

gracias por la data. Me suponia que era de esa manera.

ok entiendo pero bien raro entonces ya que el squid no debería bloquear el trafico LAN, ¿asumo que configuraste una GPO para que los clientes tengan Wsus como servidor de actualizaciones? revisa a que segmentos y a que interfaces estas escuchando por el squid

Fíjate esta línea de mi squid esta bloqueando una maquina que esta yendo directo a windowsupdate.com
27.06.2018 12:12:05 10.16.13.23 TCP_DENIED/407 http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?

Leyendo tu post con mas calma.

Veo que dices que "creaste el archivo: /usr/local/etc/logrotate.d/squid"

Por lo que se me ocurre que alguien por defecto te esta matando dicha configuración y es la que debes tener en el /etc/crontab esta tarea

0 0 * * * root /usr/local/sbin/squid -k rotate -f /usr/local/etc/squid/squid.conf

Estoy viendo donde podrá estar el asunto, ya que el rotate del cron es propio del squid, fijate que hace referencia al squid.conf y el squid.conf tiene su propio rotate

logfile_rotate 1

El cual es el que defines en la configuración del squid a nivel web en el panel del pfsense.

Creo que tu solucion es dejar la rotacion en blanco, ya que dice esto:

Defines how many days of logfiles will be kept. Rotation is disabled if left empty.

y alli deberia entrar en acción el tuyo siempre y cuando exista el proceso que es llamado mediante el cron.

Saludos.

Hola.. yo tengo un problema que parece ustedes no tuvieron.

Cree el Wsus (con los pasos que mencionan: GPO, etc.) pero cuando los clientes van a buscar sus actualizaciones; el PFsense no los deja pasar:

26.06.2018 19:47:07 172.23.240.56 TCP_MISS/200 http://172.23.240.30/selfupdate/wuident.cab? - 172.23.240.56

Me da este: TCP_MISS/200

Que podría ser???..

Hola

Si phase2 no funciona hay que ver los log del IPsec para saber cual es el problema

Usa squidguard y lo lograras, ahi viene, aunque con las acl en el propio squid eso es posible, pero te sugiero squidguard

@juan-peña-beltre said in Consejos para mi implementacion AYUDA!!!:

Hola Periko, Gracias por su consejo pero pfsense tiene una flexibilidad que Mikrotik no sueña tener, por ejemplo: la facilidad de migrasion de hardware para sobrellevar cualquier demanda existente, yo como explique anteriormente, tengo un súper servidor multimedia hecho por este servidor y todos mis clientes aseguran que es mejor que Netflix, pero un día no era suficiente la red gigabit y tenia que invertir en otro servidor y combinarlo en paralelo, pero esto lo solucione tan solo integrando tarjetas de fibra òpticas de 40GB. Poder añadir 32GB o mas de RAM y un par de procesadores de 12 núcleos es realmente tranquilidad sin limites. Para Mi Pfsense es un pequeño conejo que puede convertirce en dinosaurio, de hecho posiblemente mi problema aqui presentado se soluciono despues que cambie el suiche principal, pues tengo 2 días en la perfección. Mikrotik lo considero para pequeñitos que le tienen miedo a el consumo de electricidad.

buen punto de vista.. ✌

Hola que tal gracias por vuestras respuestas.

Si me decís como puedo llevar a cabo esto (pasos a seguir) estaría agradecido.

Un saludo.

me imaginé que todo el mundo sabe lo que es un cloud de dyn-dns, eso es el cloud de Mk.

Pues, imaginaste mal... no "todo el mundo" Sabe (utiliza) el Dyn-DNS de MK...

Disculpa que te haya molestado

No, no es "que haya molestado" sólo que cuando hablamos de "algo específico/propietario" debemos considerar el hecho de que no "todo el mundo lo utiliza" ;)

Respecto a tu "problema" en la documentación oficial encuentras material de lectura respecto a FTP (y en a sección en ingles del foro, también hay algunos hilos acerca del tema).

Si "está"

Busca aquí --> https://www.netgate.com/docs/pfsense/

  Recomendaciones al postear

https://forum.netgate.com/topic/66692/últimas-aportaciones-a-documentación

https://forum.netgate.com/topic/21956/documentación/1

https://www.netgate.com/docs/pfsense/

Supongo que hablas de Proxy.

usa SquidGuard, la gestion de listas blancas y horarios se hace al pelo, bastante sencilla.

el problema era una regla floatting que tenia y marcaba algunos sitios con drop por la regla "default deny rule ipv4 pfsense"

lo solucione con esta doc

https://www.netgate.com/docs/pfsense/firewall/troubleshooting-blocked-log-entries-for-legitimate-connection-packets.html

Hola Worker, creo que falta mas detalle en tu consulta, no hablas de tu red, que rango manejas, ese cliente en que red esta, a donde quiere acceder, formula mejor tu pregunta, saludos.

Haz de cuenta que la ultima regla en tu interfaz WIFI las demas quedan obsoletas, si te das cuenta, las de arriba no tienen datos de consumo.

Ahora, en tu interfaz LAN/WIFI dejastes habilitadas estas opciones?

No hay vlans de por medio?

Si no es tu caso, prende: tcpdump en la LAN y revisa que ese trafico llegue.

No hay firewalls/AV en tus clientes que puedan bloquear ese trafico?

Saludos.

Estaría bien que para la próxima vez el título del tema fuera más descriptivo. El enlace para bloquear diferentes servicios tales como Facebook, Netflix, Twitter, o Reddit es el siguiente: Application Detection on pfSense® Software