Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PfSense 2.2.6 amd64 con Squid3 en entorno multiwan

    Scheduled Pinned Locked Moved Español
    9 Posts 5 Posters 3.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      javcasta
      last edited by

      Hola, como he visto que este parece ser un tema recurrente, he puesto un procedimiento (borrador, si veis fallos avisad)

      Procedimiento para configurar pfSense 2.2.6-RELEASE (amd64) como:

      -Firewall
          – Proxy caché (squid3)
          – Filtro de contenidos (squidGuard)
          – Antivirus para tráfico http (clamAV, incluido en paquete squid3)
          – Gestión de tráfico: histórico de consumo de ancho de banda por usuario (IP) (Sarg)
          – Balanceo de carga
          – Servidor DHCP con WPAD y servidor DNS para la red local

      Para el Escenario (topología de red)

      Está en: https://www.javcasta.com/procedimiento-pfsense-2-2-6-amd64-con-squid-en-entorno-multiwan/

      Salu2

      Javier Castañón
      Técnico de comunicaciones, soporte y sistemas.

      Mi web: https://javcasta.com/

      Soporte scripting/pfSense https://javcasta.com/soporte/

      1 Reply Last reply Reply Quote 0
      • E
        evilside
        last edited by

        Hola está bueno, unos alcances/consultas:

        • Con Squid2 y MultiWAN yo he tenido que crear reglas floating de salida en las WAN para los puertos 443 y 80, ya que se rehusaba salir por el grupo de gateways, siempre intentaba salir por el gateway por defecto aunque estaba activaba la opción gateway switching.

        ¿Squid3 no tiene este problema? Quizás faltó agregar eso.

        • Yo creo sólo el archivo /usr/local/www/wpad.dat y luego por consola creo enlaces simbólicos para los otros dos archivos, el proxy.pac lo usa Firefox y el wpad.da algunos programas antiguos según tengo entendido, así se mantiene sólo un archivo:

        ln -s /usr/local/www/wpad.dat /usr/local/www/wpad.da
        ln -s /usr/local/www/wpad.dat /usr/local/www/proxy.pac

        También tengo entendido que en el DHCP sólo es necesario agregar una entrada 252 para el Wpad. Yo al menos agrego sólo la "http://192.168.7.254/wpad.dat" que es el que se supone tiene más futuro para convertirse en estándar.

        Sería interesante ver la configuración para usar Squid como proxy HTTPS, lo cual permite tener más control sobre el tráfico. Yo no lo he hecho aún pero ya prepararé una máquina virtual para hacer pruebas.

        B 1 Reply Last reply Reply Quote 0
        • J
          javcasta
          last edited by

          Hola.

          Sí, con squid3 + squidGuard, en entorno multiWan (2 gw = 2 routers de salida a Inet) y habilitando Enable default gateway switching, trabaja bien.

          Efectivamente, creando un solo fichero wpad.dat y enlanzándo simbolicamente (ln -s …) a los otros proxy.pac y wpad.da también funciona, seguí ortodoxamente la doc de pfSense https://doc.pfsense.org/index.php/WPAD_Autoconfigure_for_Squid#Create_wpad.dat , donde ellos mismos dicen:

          (More advanced users might do this from the shell and use ln to link the files.)

          Y lo de las entradas 252, creé las 3, una para cada fichero.

          Mira un link interesante, donde configura un segundo servidor web en el pfSense pàra no tener que dejar el acceso a la GUI via (el inseguro) protocolo http:

          https://nguvu.org/pfsense/pfSense-WPAD-PAC-proxy-configuration-guide/

          Salu2

          Javier Castañón
          Técnico de comunicaciones, soporte y sistemas.

          Mi web: https://javcasta.com/

          Soporte scripting/pfSense https://javcasta.com/soporte/

          1 Reply Last reply Reply Quote 0
          • E
            evilside
            last edited by

            @javcasta:

            Y lo de las entradas 252, creé las 3, una para cada fichero.

            Gracias. Lo que quería decir en mi mensaje es que no es necesario agregar las 3 lineas, con 1 basta.

            Saludos.

            1 Reply Last reply Reply Quote 0
            • J
              japr
              last edited by

              Muy buen tuto de verdad lo estoy utilizando como guia desde ayer que lo encontre con "santo google"  ;D sin embargo tengo muchas dudas.

              Mi escenario es:

              • WAN tengo un solo enlace no puedo aplicar el multiwan por los momentos (estoy a la espera del segundo proveedor ISP). Pero tengo 3 NIC para poder realizar el multiwan en un futuro cercano.
              • Lan con 100 clientes aproximadamente.
              • Un servidor de Dominio Windows Server 2012, Un servidor DNS/DHCP, un servidor FTP, un Servidor de archivos, un servidor de aplicaciones y un servidor Voip.

              La semana pasada tuve una intrusion en mi servidor de VoIP y que resulto bastante perjudicial.

              Uno de mis objetivos es el poder filtrar HTTP/HTTPS y bloquear ciertas paginas a grupos especificos de usuarios.
              El otro es agregar seguridad a mi red interna.

              Mis dudas es con el filtrado web, la mayoria de los post que he leido estan bastante desactualizados con respecto a este tema y este es el mas actualizado que he leido, muchas gracias por publicarlo pero directo al grano en mi caso que tengo estos grupos de usuarios:

              Usuarios standard: Bloquear redes sociales (Ej. facebook, twitter,etc), bloquear contenido (violento, obsceno, sexo o pornografico, alcohol, drogas, etc), bloquear descargas directas y p2p, bloquear videos, streaming y musica (incluyendo youtube que ha sido todo un dolor de cabeza), bloquear paginas de chat.

              Usuarios Pro: bloquear todo lo anterior a excepcion de paginas de redes sociales y descargas.

              Usuarios Ultimate: Solo bloquear contenido (violento, obsceno, sexo o pornografico, alcohol, drogas, etc)

              Por lo tanto no se por donde empezar.

              1 Reply Last reply Reply Quote 0
              • J
                javcasta
                last edited by

                Hola.

                Empieza por el principio

                (Lo de multiwan configuralo al final, cuando te funcione todo.)

                Empieza por que funcione el WPAD y que todo el tráfico http/https sea vía proxy… Una vez funcione esto, ya te lias con profundidades.

                Paso a paso :)

                (busca en el foro, sobre todo en Inglés, hay mucha doc)

                Salu2

                Javier Castañón
                Técnico de comunicaciones, soporte y sistemas.

                Mi web: https://javcasta.com/

                Soporte scripting/pfSense https://javcasta.com/soporte/

                1 Reply Last reply Reply Quote 0
                • D
                  DeDo99
                  last edited by

                  Esta excelente el tutorial, gracias pero mi pregunta seria si podria funcionar en mi caso, mi topologia es que tengo un servidor con 3 enlaces y 3 subredes y una de ellas con 5 vlans en una misma subred pero solo 2 gigas en Ram en mi servidor :'(, planeo delegar el servicio de DHCP a un Switch Capa 3  8) para disminuir el uso de la misma por la poca capacidad en RAM de mi servidor.

                  ¿se puede hacer?, ¿Funcionara este método? ???
                  Tengo casi dos mil usuarios en mi red y tengo lenta mi red por que no hago filtrado de contenido…

                  de antemano Gracias por sus respuestas  ;D

                  1 Reply Last reply Reply Quote 0
                  • J
                    javcasta
                    last edited by

                    Hola.

                    ¿Con 2GB de ram para el pfSense haciendo de firewall + proxy + squidGuard + dhcp server + dns server para tráfico de 2000 usuarios?

                    Para un tráfico de 2.000 usuarios, lo que yo haria es:

                    • tener un servidor dedicado al firewall (pfSense)
                    • tener otro servidor dedicado para el proxy squid + squidGuard + DNS para las lan, con suficiente ram y capacidad de disco (una cache de 25GB pondria para empezar). ¿Un CentOS, o un Debian?, al gusto …
                    • Y como tienes un switch de capa3 para enrutar las VLAN y también ponerlo como dhcp server (disminuyes el trabajo de los servidores)

                    red lan --- switch capa3 (dhcp server) --- servidor proxy (squid) --- pfSense --- WAN/Inet
                    red lan2 -----|                                                                                          |---WAN2/Inet
                    red lan3 ----

                    Saludos

                    Javier Castañón
                    Técnico de comunicaciones, soporte y sistemas.

                    Mi web: https://javcasta.com/

                    Soporte scripting/pfSense https://javcasta.com/soporte/

                    1 Reply Last reply Reply Quote 0
                    • B
                      bcalvo @evilside
                      last edited by

                      @evilside
                      Hola, disculpa tengo éste mismo problema con mi pfsense, tengo un entorno MultiWAN en donde utilizo el DHCP del pfsense con wpad, pero el wpad siempre obliga a sacar el tráfico por uno de los dos Gateways (Aunque tenga un grupo de Gateways configurado ahí), por ende, quería consultar si lograste encontrar una solución a este tema y cómo lo lograste dado que no he podido.

                      De antemano las gracias por la ayuda que me puedas brindar, saludos

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post
                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.