No entendí muy bien. Pero si los dos firewalls estan conectados por OpenVPN , quiero pensar que estan en un esquema Lan-To-Lan , por lo que no habría necesidad de usar un NAT en ese esquema. Pero desconozco cuales son tus necesidades especificas. Si tienes un esquema LAN to LAN lo unico que hay que hacer es un port forwarding. en la WAN del PFsense. Saludos

Saludos, te refieres a Proxy Server: Remote Proxy SettingsEditRemote Cache? si fuera assi te digo que esa seccion no la tengo editada.

Hola, de entrada creo que la configuracion se va a complicar con un segundo PFSense.  Si te es posible agrega una interface extra en el PFSense principal y conecta ahí el router de las sucursales y agrega una o las reglas que se requieren para enrutar el trafico de las sucursales hacia esa interface. Para el caso de las sucursales habrá que configurar en cada uno de ellos una regla que envié el trafico interno (LAN Remota) que va hacia tu red por la interface y la ip correspondiente.  Esto es en el caso de que tengas una red privada entre tus sucursales y la oficina principal. Saludos.

Lo he hecho, pero no con Cpanel, sino con  i-MSCP y con  Isp-Config (que son software similares pero gratis). No he aplicado nada especial en cuanto a las relgas de nat,  ya que simplemente se manejan los puertos de servicio como el smtp, dns, imap pop, etc. Si me voy a un caso que tengo en producción, hago nat de:  25,465 y 578 (SMTP), 80 y 443 (http-https), 53 (DNS), 21 (ftp), 143, 995 (imap-imaps), 110, 993 (pop-pops) y listo. A nivel del Nateo de Salida (nat-outbound del pfsense) si debes aplicar lo por lo menos para efectos del registro MX (si y solo si el pfsense maneja N+1 IP Publicas). El Nat del puerto 53  (DNS) es si y solo SI tu servidor maneja las Zonas publicas como NIC. Del resto nada especial,  aplicas lo mismo cuando publicas servicios independientes. Saludos.

Con mucha lectura, y muchos conocimientos de programación, o con mucho dinero y un equipo de programadores. Esto es SW libre, puede modificarlo a su gusto, siempre y cuando respete la misma licencia.

Disculpa cuando accedias con tu anterior equipo lo hacias mediante fqdn(hostname) y este dato lo conocia la VPN ya que me parece que al migrar el DNS a windows server y tu posiblemente acceder desde tu vpn, estos datos son nulos por eso no lo puedes ver, ahora por IP  deberías poder acceder con normalidad salvo que el firewall lo hallas publicado alguna regla Atentamente

hola! tendrias que modificar los repositorios de pfsense para hacer eso, y si lo queres instalar desde un directorio proba poner el nombre del paquete completo como lo bajaste ;P

Creo que pfSense se confunde al tener dos WAN en el mismo rango de IPs.  Lo conveniente inicialmente es cambiar el rango de DHCP de alguno de los router para que uno quede en 192.168.1.x y el otro en 192.168.0.x por ejemplo.

ok enterado

Si es ahí, de hecho acabo de aplicar una el día de ayer… primero deberás crear el horario al que si le vas a aplicar... es decir, si tú deseas una hora libre de 9am a 10 am y tienes un horario de trabajo de 7am a 4pm. Lo que vas a dar de alta es el horario laboral normal como sigue.. 00:00-08:59 10:01-11:59 Omitimos las horas en las que queremos tener horario abierto... por lo tanto estará abierto solo la hora que omitiste. Después en la parte creo que son mm Groups o algo así de ACL darás de alta una nueva, especificando la red a la que le aplicas.. por ejemplo la 192.168.8.0/24 Le aplicas el horario y de lado derecho te van aparecer las reglas que se le van a aplicar cuando esté fuera de horario.( son los que pusimos arriba). las reglas del lado izquierdo son las que aplica en el horario especificado. El lunes te confirmo los menú, porque no tengo acceso en este momento a mi pfsense. Si pones unas pantallas te ayudo.. Saludos!

Gracias, justo lo que necesitaba

@fjluque: Ya funciona. Gracias! Como quedo la configuracion?

Esto te puede ayudar, Pero en mi caso el problema era intermitencia con el NAT  y solvente guiandome con esto: https://forum.pfsense.org/index.php?topic=88467.0 Saludos.

Hola. Eso se hace con una ACL para saltar la autenticacion en las url que tu le indiques. Lee sobre esto: https://wiki.squid-cache.org/ConfigExamples/Authenticate/Bypass  o Busca en google: squid bypass url authentication Una vez que tengas la ACL definida, debes colocarla en las opciones avanzadas del squid (pestaña general al final)  cuadro que te adjunto. Y en el squidguard crear una categoria (target) como  por ej:  url-noauth  y la colocas como whitelist en la Common ACL. (la default). Yo lo hice hace tiempo, pero ya no tengo acceso a dicho pfsense. sino con gusto te pasaria. Pero todo es cuestion de que investigues y pruebes, es lo mejor y mas sano asi se aprende el "por que" de las cosas. Saludos. [image: Before_Auth.PNG] [image: Before_Auth.PNG_thumb]

@Leo_admin: DMZ 168.30.5.0/24 Estás seguro acerca del uso de la red 168.30.5.0/24 ?  https://bgp.he.net/ip/168.30.5.0#_whois Revisa: https://doc.pfsense.org/index.php/Connectivity_Troubleshooting#Firewall.2FRules Si quieres "respuestas concretas" tendrás que "mostrarnos" cómo tienes configurado tu pfSense (capturas de pantalla)

@loquitoslack: Hola, mira lo que podrías hacer es lo siguiente: Crear una IP Virtual, Firewall>Virtual IPS>ADD>IP ALIAS Interfaces (tu interfaz) Adress(es): <tu ip="" publica="">mascara(tu_mascara_q_da_el_proveedor) Aceptas FIREWALL>NAT>OUTBUND Modificas el valor a hibrido outbound nat y creas la regla donde permitiras que la red LAN (especifica) salga por una determinada IP, nos dices como te va Saludis</tu> Ya hice la prueba, me funciona en cierto modo, porque en una misma subred tengo los servidores de Correo y Proxy. Hice alias de Puerto para Correo (25,110…) y alias para Proxy Web (80,443,8080,3128). Cuando creo regla Nat Outbound digo: Todo lo que venga de dicha subred por el puerto (AliasCorreo) salga por la Interfaz Física WAN1 (200.55...20), y lo que venga por dicha subred por el puerto (AliasProxyWeb) salga por la IpVirtual(200.55...21). Eso anterior no me funciona!!!! Lo que si funcionó fue la regla Nat Outbound: Todo lo que venga de dicha subred * * salga por la IpVirtual(200.55...21). Pero lo que necesito es dividir el tráfico de esa subred por puertos. Los email que salgan por la WAN1(200.55...20), y la navegación web salga por la WAN2-IPVirtual(200.55...21). Qué estoy haciendo mal? Qué me sugieren?

https://www.vivaolinux.com.br/topico/pfSense/PFsense-Script-Restart-Wans revisa ese hilo, parece que algo hay, realmente no lo probé, pero por ahí te lleva a alguna solución ;)

Es un tema muy repetido no solo en Pfsense, en temas de Proxy en General con Squid, sea con Pfsense o con otro Linux/Unix. El Problema de usar proxy No Transparente, es que debes configurar todos los navegadores o programas que necesitan internet.  otro problema es que existen dispositivos que no soportan Proxy.  Y si lo soportan es mentira que un usuario común va a configurar proxy en su tabla.  Alli puedes jugar con el WPAD a ver que tal. Su Ventaja:  Bloqueas tanto por http como por https. El problema de usar Proxy Transparente, es Filtrar la conexión segura. (https), Pero con la versión nueva del squid (pfsense la soporta) tiene la tecnica de "hombre en el medio" para lo cual Squid se comporta como un AC-Intermedia (términos de PKI) y de esta forma puedes bloquear el trafico SSL siendo proxy transparente. Desventajas: Paginas de Bancos o paginas SSL con un buen tunning de seguridad no te van a dejar conectarte.  Entonces debes hacer una lista blanca para que estas paginas que te den problemas por la AC-Intermedia, ponerlas a "bypasear" el proxy. Yo en estos casos aplico lo siguiente: Usuarios de mi red (navegación fuerte)  Proxy no Transparente. Red de Wifi, Portal Cautivo, etc: Proxy Transparente y le lanzo control de ancho de banda. (me puedo apoyar con delay pool)  Tendrán youtube pero a paso de tortuga herida. NOTA:  Usar Pfsense no es obligatorio como Firewall UTM,  Lo pueden usar como proxy Dedicado también.

Para enviar correos, debes permitir las conexiones desde tu LAN hacia la WAN por los puestos smtp ej  25, 465, 587  (estándares) Para recibir correos igual, la misma regla pero agregas los puertos de imap, pop y tambien sobre ssl. (995-993). Si tu proxy es transparente.  Debes permitir los puertos entonces en las ACL del Squid. (ya que todo, internet, outlook, torrent, teamviwer etc) pasara por proxy. Si tu proxy no es transparente, la regla es de firewall puro.  (ya que solo pasara por el proxy a los programas que le indiques) por ej: tus navegadores. Saludos.