En system -> general setup tienes la posibilidad de poner servidores DNS e incluso asociarlos a un interfaz. No te sirven éstos?

Buenas Remiel. Disculpa el retraso en contestar pero no tenía activada la notificación en este thread y no me enteré de las respuestas.

Has conseguido resolver todos los problemas (los indicados en el último mensaje me refiero)? Dado el tiempo transcurrido es posible que sí pero por si acaso mejor preguntar.

@duke7: No sé si el esquema que incluye es el que los operadores montan en Perú pero esto no se aplica a movistar así que en lugar de ayudar, despista. Empezando por el router que no es un cisco ni parecido (al menos no con la fibra residencial que supongo será de la que estamos hablando).

Qué tipo de conexión con internet tienes?

No basta con conectarse al modem. Hay que configurar los parámetros correctos en el interfaz correspondiente a la WAN para que funcione.

Hay que tener en cuenta también que la conexión openVPN  [habitualmente] utilliza el interfaz WAN y que las condiciones de MTU de ese interfaz tambien se applican. Así, si la conexión WAN es de tipo PPPoE (la más habitual estos días), entonces la MTU máxima del interfaz WAN DEBE ser 1492. Si mandas paquetes mayores que eso van a ser descartados.

Adicionalmente, sea openVPN o IPSec, los cifrados reducen el amaño máximo de los datos que pueden entrar en cada paquete ya que se tienen que añadir cabeceras de control. Así que, al final, la cantidad real de bytes suele ser menor.

El camino correcto a sguir (si el problema es realmente la MTU) es aplicar los valores conocidos de MTU en los interfaces correspondientes (1500 está bien para la LAN si es ethernet) y luego probar el tamaño máximo que podemos enviar sin fragmentar. A partir de ahi realizar los ajustes necesarios y probar.

Yo no lo he hecho, he usado ese script y funciona, la auth es transparente siempre y cuando los equipos permanezcan a el AD, respeta grupos sin problemas, saludos.

Tengo exactamente la misma necesidad. Sólo tengo los puntos A y B con sus respectivos RoadWarrior. Que más tengo que hacer?

Te corta las llamadas o el audio se oye en un solo sentido?

Tienes SquidGuard?

Muchas gracias J.SEJO1 con esas referencias me pondre a hacer mi laboratorio para ver como funciona y con que peculiaridades me encontrare para llevarlo a mi entorno real. Muchas gracias nuevamente.

como puedes ver mi proveedor me entrega un pool /24 de ip publicas enrutado sobre la ip publica 190.95.232.234 para que yo use la red publica
internamente como yo quiera distribuirla asi yo puedo hace varios segmentos y dristribuir mi  pool como yo crea conveniente
osea el pool publico esta dentro de mi red interna no en el router de mi proveedor.
paso por pfsence para que el ospf se pueda redistribuir y asi poder llegar a cualquier ip publica dentro de mi red

Hola Leandro,

Quiero montar algo similar a tu solución, también quiero pasar unas IPs públicas por OSPF a un MikroTik, ¿me puedes explicar como realizaste dicha configuración?

Me gustaría usar el pfsense para bloquear algunas conexiones, ¿lo podré realizar a pesar de usar OSPF?

Ya me contesto yo mismo, según parece, Suricata, de momento no tiene dicha característica.

Gracias!!!!!!

@JOSEIGNACIO77:

ya modifique el gateway en pfsense y en mi host pero sigo teniendo el mismo problema de no poder salir a internet

Mientras sigas con el GW en la LAN del pfSense, seguiras sin salida a internet.

Las interfaces "tipo LAN" no "llevan" GW

Revisa/Lee: https://doc.pfsense.org/index.php/Connectivity_Troubleshooting

Creo que mi redacción no ha permitido que me explique bien  :-\

Les dejo una imagen para que tengan una idea lo que que quiero logar.

Cada AP está en un lugar diferente por lo que debo presentarle el CP que le corresponde

Capture.PNG_thumb
Capture.PNG

@😄:

Muy importante lo que dice periko.

Por otro lado por que no crear un cluester y que todo pase por el (LAN, DMZ y WAN) con eso  tienes alta disponibilidad y una red mas limpia y organizada

Finalmente decidí hacerlo con un sólo Firewall, en ves de dos como me sugeriste, en modo HA.

Muchas gracias.

Ok, gracias

pfSense, es un programa. Lo que soporte o aguante de velocidad, lo determina la tarjeta de red y no el programa.  En resumen, tiene que reconocer la tarjeta y punto.

Gracias por responder, entiendo y voy a realizar esas configuraciones. Pero tengo una duda si uno pone en modo Proxy explicito y no define ninguna regla en rule del firewall, cualquier pc conectada a cualquier vlan debería si o si no poder navegar hasta tanto no tener configurado el proxy en su navegador, no? o es que si o si hay que configurar una regla diciendo que toda tu lan pase si o si por el puerto 3128? gracias.

Lo que es más. No vas a tener WAN sólo por definir el interfaz como WAN. Primero tenemos que saber a qué te refieres cuando hablas de WAN. Hemos de enternder que por WAN te refieres al intefaz que te conecta con internet cuyo servicio lo obtienes de un proveedor de internet?

Si ese es el caso entonces, Qué tipo de WAN tienes? PPPoE, DHCP, estática? Para poder saber cómo configurar la WAN hay que saber qué WAN se tiene y de eso no se ha comentado nada.