Aqui ha dado muchas formas de hacerlo, todos los caminos llevan al mismo destino, ya es cosa con cual te sientas mejor.

Yo podria un proxy, aparte te ayudaria a bloquear sitios a nivel de decir X usuario a estos dominios,  Y usuaio a estos otros, bloquea este a todos etc.

Es una posible solucion, ayer subi un video sobre los ACL que es como podrias hacer esto.

Te dejo este video por si quieres intentarlo, aqui ya trabajo estos ACL.

https://www.youtube.com/watch?v=16andZ4D58E

Saludos.

Antes que nada muchas gracias por tu respuesta.

Sí, la información técnica era muy escasa…lo siento.
1)  OpenVpn
2) Es un Pfsense.

Afortunadamente ayer pude conectar y solucionar el problema. No se debía a la configuración de pfsense sino que el servidor (al que queremos acceder vía VPN) no tenía la puerta de enlace bien definida....un detalle tonto que me tenía desquiciado.

Lo dicho, gracias por la respuesta y un saludo.

Bueno, creo que la breve respuesta está bastante claro. Yo no abriría puertos para ver el pfSense desde afuera, lo más que haría, sería configurar el servidor OpenVPN e ingresar de esa forma.

Creo que es menos peligroso que abrir el puerto (aunque se lo cambies) porque si alguien lo descubre, puede hacer desastres en la red.

Mandame un mensaje privado, para ver si podemos ayudarte, saludos.

MIra, la version 1.2.3 con todo respeto, ya ni deberias usarla.
Estas haciendo una mezcla bien peligrosa, version sin updates ni soporte.
No tengo nada asi, pero mucha suerte!!!

???  Leiste el Link, a la Documentacion Oficial, que dejaron en el post anterior al tuyo ?

Captive portal not redirecting

If clients are not being redirected to the portal page when attempting to browse on an interface with captive portal enabled, it's most always one of the following causes.

1. DNS resolution not functioning - the clients on the captive portal interface must either be using the DNS forwarder on pfSense, on the IP of the interface where the client resides (which is the default configuration), or if using some other IP for DNS, it must be an allowed IP entry. If DNS fails, the browser never issues the HTTP request, hence it cannot be intercepted and redirected.

2. Firewall rules on the captive portal interface do not allow the initial HTTP request - if the user is trying to browse to google.com, but HTTP connections are not allowed to google.com, the HTTP request will be blocked and hence cannot be redirected. Under Firewall > Rules, on the interface where captive portal is enabled, the traffic to be redirected must be allowed to pass. This is most commonly HTTP to any destination.

3. The client has an HTTPS home page - The request must be to an HTTP site in order for the portal to redirect the client

Nada
He seguido este manual paso a paso y nada:

https://doc.pfsense.org/index.php/OpenVPN_Site-to-Site_PKI_(SSL)

El túnel se crea, y se establece, pero no puedo ver los equipos desde una red a otra, o viceversa.

Muchas gracias por el consejo. Lo probaré a la brevedad.

Gracias,pero creo que no me explicado muy bien.
Informacion hay en internet como para leer en dos vidas,ya tengo el pfsense con varios paquetes instalado e funcionando bien digo yo.
Muchos tutoriales son basicos,pfsense es muy versatil e potente.
Si el libro de pfsense es como los cuentos,mucho bla bla para una informacion de 5 palabras,entonces paso de pagar.
Como el wiki de pfsense es tan basico,pense que el libro tiene mas detales y con ejemplos,trucos etc
Encontre en internet la version mastering the pfsense que tiene 384 paginas,la nueva version tiene 700.
Estoy seguro que vosotros no soys novatos,puede ser que el libro no tenga tanto valor.

He instalado pfsense en virtualbox. lo he conseguido configurar y me salia el panel de admin para ingresar. pero ya no me carga. me dice firefox que el servidor esta tardando en responder. tengo la ip de la lan en otro segmento de red con la wan como me dijisteis.

lan 192.168.10.80

wan 192.168.1.36

he hecho ping a la dns de google y conecta, también ping al host parrot y responde.

Estimados. Muchas Gracias por sus respuestas. Discúlpenme, pero hace tiempo no volvía a revisar el foro.

El servidor sólo tiene un Disco Duro, y la tarjeta de arreglo de disco es la Dynamic Smart Array B140i El Proceso de instalación lo hice con un CD. Descargué la última versión del Intelligent Provisioning for Gen9 Servers la grabé en DVD, pero al instalar me aparece un error de que no se puede flashear la NVRAM. Respecto a virtualización, yo he utilizado VirtualBox, instalado en Windows. Respecto a las opciones de virtualización que me comentan: MS Hyper-v ó Vmware Exsi, xen,  proxmox, para utilizarlas siempre debo tener un sistema operativo instalado (Linux o Windows) o hay alguna que sea un Sistema Operativo que sea especialmente diseñado para virtualización. Si me pudieran dar algunas directrices generales sobre ellos, y respecto a la memoria disponible, ya que cuento con 4 GB de RAM, y si tengo por ejemplo Windows instalado y en el corro alguna máquina virtual, se supone que una parte de la RAM debería ser para el Sistema Operativo principal y el resto para el virtualizado. ¿No tendría problemas de rendimiento debido a esto?.

Gracias

Saludos

hace lo siguiente, fijate en la ruta de los logs, cuando pasas el archivo que error te esta dando.

Status/System Logs/OpenVPN creo q es la ruta.

System-Advance-Networking
en la section Network Interfaces tienes elegidas las primeras 3 opciones?
me suena este error,en mi caso fue en un ordenador con la NIC realtek que no funciona bien con el jumbo frame.

se te lleno el disco?

proba actualizar el squidguard
http://www.shallalist.de/Downloads/shallalist.tar.gz
siempre ha funcionado con eso en las instalaciones

Saludos mi estimad,

por favor recomendaciones al postear si usted no da todos los detalles, cuelga captures de configuraciones actuales en su equipo es dificil que puedan prestarle la asesoria que necesita de manera rapida y directa.

Al final el mas afectado es usted mismo por no hacerse explicar de manera efectiva y concreta.

Como bien le indico el compañero el tema de la eleccion IP para usarla en la lan de PFSENSE no es el problema, vendria bien observar las reglas aplicadas en la LAN para verificar no tenga algun error y por ello no tenga la salida a internet su equipos detras de PFSENSE.

Quedo atento a su comentario

Saludos mi estimado,

tu mismo lo has dicho tiene a PFSENSE trabajando como router por lo que quien podria manejar las IPS otorgadas por CANTV seria PFSENSE no MK comenzando por alli.

Lo segundo falta mucha informacion no colgaste configuraciones actuales de PFSENSE para el diagrama que muestras quizas en estas tambien tengas errores que hayan que corregir.

Primeramente corrige esto y asignale a MK por medio de PFSENSE una de las IPS que te otorgo CANTV y veras MK empezara a navegar siempre y cuando tengas activa la navegacion en PFSENSE

Quedo atento a tus comentarios

Saludos mi estimado, fernandezharold,

primeramente comparto la opinion del compañero ptt me parece sabio realizar una revision a un tutorial algo antiguo pero efectivo y vigente hoy dia del maestro Bellera en Documentacion (Tutorial de  pfsense ) en el se explica el manejo de las reglas de manera efectiva en pfsense y es lo que te va a dar la solucion definitiva a tu problema.

En tu caso especifico:

Las dos redes Lan que creaste no deben llevar GW

La virtual IP que creaste en dado caso te serviria para ofrecer un servicio en pfsense por medio de otra ip (DNS, NAT, ETC) si lo que requieres es trabajar por una misma tarjeta de red varias redes lo que aplicaria seria VLAN y ese seria otro tema con otros requerimientos adicionales.

Entonces primeramente definir que esta sucediendo o que deseas realizar del lado de tu tarjeta EM2 para poder darte luces de que seria lo mas adecuado

Mas te hago nuevamente la acotacion el principio basico para desarrollar reglas en PFSENSE no lo tienes claro y se que con la documentacion antes descrita vas a solucionar dicho inconveniente

Quedo atento a tus comentarios

Saludos mis estimados,

y a usted mi estimado Periko mis respeto espero estar en comunicación pronto para plantearte algo importante.

Ok en el caso tema de este POST tomo la idea de Periko del bloqueo por DNS ya que es super efectivo y lo usamos desde hace mucho, mas aprovecho para indicarle que si es posible manejarlo de manera individual o grupal de hecho actualmente tenemos una implementacion de esta manera en una red en produccion como se hace?

Simple

Nuevamente se toca el tema de los Aliases se deben tener definidos gupos de clientes y en esto doy varios ejemplo:

Clientes con acceso a spotify.com

Clientes con acceso restringido a spotify.com

Clientes con posibilidad de usar DNS externos

Clientes con solo DNS internos

La idea central en esta caso del bloqueo por DNS es primeramente configurar DNS de pfsense para resolver dominios con direccion errada con lo cual el cliente no podra acceder al sitio real buscado.

Los requisitos son :

Bloquear el uso de DNS externos a los clientes objetos del bloqueo o en el caso como lo hacemos si tienen un DNS con resolucion real bloquearle el acceso a estos DNS a dichos usuarios

Establecer DNS internos que puede ser pfsense u otro equipos que destines a esto

Configurar en el DNS los dominios a bloquear colocando alguna ip interna que no uses o errada(cabe destacar que se puede volver mas interesante y dinamico en caso de que deseas mostrar un aviso o notificacion del bloqueo a dicho sitio obvio no lo estamos tocando en este POST)

Para este tema hago el  recordatorio sobre todo a persona nuevas en estas configuraciones echarle un ojo a un tutorial del Maestro Bellera algo viejito pero efectivo en sus bases  colgado en Documentacion (Tutorial de pfSense) ya que al establecer las reglas en Pfsense a veces no son efectivas por el mal uso de las misma.

Bueno ahora para aquellos compañeros un poco graficos ejemplos visuales de la configuracion omito la creacion de aliases ya que es tema tocado anteriormente vamos directo al grano.

Configuracion del DNS (en pfsense)

Como pueden notarlo hemos configurado el dominio grandclick.com para ser resuelto por DNS Forwarder como si fuera la ip 192.168.2.2 la cual es una ip que no usamos y al intentar ingresar bien sea por puerto 80 o 443 no dara ningun resultado

Establecimiento de reglas para el uso de DNS por usuarios

Explico regla por regla en orden descendiente o de arriba hacia abajo

En esta regla definimos el acceso a unos clientes en especificos definidos con el aliases (ptc_dns)  para usar los dns que si pueden resolver los dominios o web bloquedas

En esta regla definimos el acceso del comun o la lan en general a los DNS que van a resolver los dominios bloqueados con las ips internas colocadas

En esta regla definimos el bloqueo al comun o lan en general del uso de otro DNS (externo o interno) exceptuando los que si pueden usar

Con esta configuracion tendremos la posibilidad de realizar bloqueos selectivos via DNS de lo que asi decidamos en la red o se amerite, cabe destacar que si se usaran solo DNS internos como es el caso que les comente sera necesario tener dos equipos haciendo de DNS para establecer en uno las configuraciones de los dominios a bloquear y el otro con resolucion sin restricciones.

Es todo por ahora muchachos espero les sirva!!!

Deberías pedir una prueva de nivel de tu fibra óptica ya que tienes latencia entre la punta de tu fibra y el equipo donde se conecta con proveedor…

Los técnicos deben de tener un dispositivo como un JDSU o un OTDR(que este es demasiado para tu enlace) hacer una prueba del enlace contratado, encapsulamiento con el que te entregan el servicio, Latencia, Atenuación, dispersión, etc...Para descartar si el enlace de tu fibra tiene un problema. Si pudieran cambiarte de acometida el proveedor y checara el enlace también puede ayudar, o de plano esta muy saturado el enlace ....Hay muchos factores a descartar...Ojalá te ayude mi aportación...