De entrada, he leído que SIP con NAT no se llevan bien. A ver si van por ahí los tiros. Yo tengo montato voip entre dos sedes de mi empresa y lo hago vía vpn. Con proveedores sip no se como irá la cosa porque no lo he hecho nunca.

Saludos

Hola:

¿Alguien ha montado algún tunel IPSEC con PFSENSE 1.2 contra algún dispositivo CISCO?¿por ejemplo un 1812?

Saludos

Uff, de entrada no me gusta nada de utilizar como interfaz WAN una tarjeta wifi. En cualquier caso mira la lista de compatibilidad de hardware en www.pfsense.org para la tarjeta wifi que piensas utilizar. No obstante, si puedes, utiliza ethernet, sobre todo si es para explicar algo en clase. Así tendrás menos probabilidades de que nada te falle.

Saludos

Hola:

Estos días he estado peleando con una configuración de squid montado en pfsense, también con squidguard definiendo ACL para restringir acceso de usuarios a determinados dominios o webs.

La verdad es que la política aplicada en el firewall es muy restrictiva y solo se permite navegación web a través de proxy. Vamos, que toda la salida a Internet está cortada a escepción de puertos tales como smtp, pop3, ftp, etc...

Con este escenario, hacer que todo funcione bien es una tarea ardua.

La cuestión es que cuando ya lo tenía todo funcionando como pretendía, vi que no funcionaban las actualizaciones, a pesar de permitir acceso a todo microsoft.com. Buscando, ecnontré este link de squid, que me ha solucionado el problema: http://wiki.squid-cache.org/SquidFaq/WindowsUpdate

Lo que viene en esa FAQ, se traduce en lo siguiente para los que utilizamos squidguard con el webconfigurator de pfsense: Se crea un ACL en el en el que se permite el acceso a todos estos subdominios (sin comillas):

"windowsupdate.microsoft.com update.microsoft.com download.windowsupdate.com redir.metaservices.microsoft.com images.metaservices.microsoft.com c.microsoft.com www.download.windowsupdate.com wustat.windows.com crl.microsoft.com"

Espero que a alguien le pueda servir, y de paso si alguien puede hacer alguna sugerencia para mejorarlo, será bienvenida.

Saludos

Hola:

¿Qué tienes en el Outbound NAT? ¿Has tocado algo o lo tienes por defecto?

Prueba a hacer ping a la ip de la interfaz wan de tu pfsense. Si esto te funciona, haz ping al siguiente nodo (que debe ser el router ADSL), y si esto te funciona también haz otro ping a una IP de Internet que sepas que responde (por ejemplo 66.249.91.99, de google). Eso sí, permite expresamente el tráfico ICMP para esta prueba.

De esta manera, al menos puedes determinar en qué punto dejan de responderte los pings. También puedes hacer tracert, y determinar hasta que nodo "sabes" llegar.

Eso sí, inténtalo siempre con IP, para asi descartar (o confirmar) que realmente se trata de un problema de DNS.

Saludos

Hola:

A mi me pasaba lo mismo, he deshabilitado, parado, vuelto a habilitar y arrancar squidguard y se ha resuelto solo.

Saludos

Hola a todos:

Yo tb estoy tratando de configurar el bloqueo a los msn, icq y demás... No he entendido bien, ¿tan solo con instalar los paquetes que mencionáis se bloquea el funcionamiento de estos programitas de conversación? ¿sin más?

Saludos!!

Hola Bellera:

Una vez más le he dado una vuelta a tu estupendo manual (una auténtica biblia para los pfsenseros en español) esta vez buscando la solución de instalación en un minipc. He visto que utilizaste un fabiatech, pero también he visto el precio y se va un poco.

¿Conoces alguna alternativa que funcione bien con la release 1.2 y algo más económico?

Gracias

Hola Sanchezluis:

Me refiero a esto:

En http://www.pfsense.org/index.php?option=com_content&task=view&id=40&Itemid=43 tienes:

PPTP and GRE Limitation - The state tracking code in pf for the GRE protocol can only track a single session per public IP per external server. This means if you use PPTP VPN connections, only one internal machine can connect simultaneously to a PPTP server on the Internet. A thousand machines can connect simultaneously to a thousand different PPTP servers, but only one simultaneously to a single server. The only available work around is to use multiple public IPs on your firewall, one per client, or to use multiple public IPs on the external PPTP server. This is not a problem with other types of VPN connections.

No se pueden establecer dos vpn pptp simultaneas contra un servidor externo debido a esta restricción de los firewalls basados en packet filter.

También se hace referencia a este problema en este post del foro: http://forum.pfsense.org/index.php/topic,1383.0.html.

Saludos

Hola Josep:

Si, es curioso  , la de cosas que se pueden hacer cuando se llega a la desesperación... Era broma, tan solo estaba probando salir a Internet sin firewall (haciendo de pfsense solo enrutador) para ver si así podía evitar (que no resolver) el dichoso problema de las conexiones pptp salientes que afecta a los firewalls tipo pf.

Pero eran solo pruebas.

Por cierto, sigo sin poder navegar con el packet filtering desactivado y la solución que me aconsejaste... :-(

Hola a todos:

La pregunta es de principiante, pero... estoy atascado con esto y se que ha de ser una simpleza peeero, no doy con ello

Pues resulta que tengo un pfsense que me hace las funciones de router y firewall, y necesito dejarlo solo como router sin packet filtering. Para ello, en System>Advanced, chequeo "Disable All Packet Filtering". Desde ese mometo, dejo de tener acceso a Internet. Pruebas:

Ping a la IP de la LAN del PFSENSE desde un pc en la LAN --> OK
Ping a la IP de la WAN del PFSENSE desde ese mismo PC --> OK
Ping desde un pc de la LAN a la IP de la puerta de enlace definida en la WAN del PFSENSE --> KO (esto es al siguiente salto, generalmente el router ADSL)
Ping desde la utilidad de Pings de PFSENSE a la IP de la puerta de enlace definida en la WAN del PFSENSE --> OK

Seguramente tiene algo que ver con deshabilitar o habilitar algo relacionado con NAT, pero no doy con ello...

Saludos

Pues solo comentaros que la solución de hacer bridge con las dos interfaces + squid (en modo no transparente) funciona perfectamente. Es decir, el servicio de proxy montado de esta manera funciona perfectamente.

Tan solo tengo un problema con el bridge filtering que os comentaré en otro post específico para este problema.

Gracias a todos. Saludos

Hola de nuevo:

Ahora sí: "pfSense como bridge y squid "normal", sí." Este es el escenario en el que estaba pensando.

La razón por la que no puedo tocar direccionamientos es porque, el lugar donde voy a instalarlo es una sede de una empresa , con otras sedes con direccionamientos preestablecidos, y que están interconectadas entre ellas con VPN mediante routers cisco (que gestionan directamente el proveedor de acceso a Internet). Por otro lado tengo un dominio Windows en la LAN y, ya sabes, si tengo que cambiar el direccionamiento LAN incluido al Domain Controller eso es igual a suicidio. A un DC Windows, si le cambias la IP, se va al garete (el dominio).

D ahí que la opción que me queda es la de bridge (así no toco nada) para controlar el acceso a Internet de los usuarios.

Crreo que con esto tengo suficiente.

Ya os cuento

Chock, en lo tuyo no puedo ayudarte demasiado, este es el primer squid que voy a probar y, ni siquiera se si funcionará de la manera en que lo voy a hacer

De todas formas, el menú de configuración de squid es muy sencillo e intuitivo; squidguard no lo conozco...

En cualquier caso, se lo que bellera te va a decir, que ya lo he visto en otros posts: Si la máquina va a tener mucha carga, monta squid en otra y deja pfsense solo como router.

Saludos

Hola Josep:

Creo que no me he explicado bien, o yo no he entendido tu respuesta...

Lo que prentendo es montar un pfsense con dos interfaces, una LAN y una WAN. Quiero configurarlas como una sola (esto se hace con bridge), ¿por qué esta configuración? pues porque no puedo tocar el direccionamiento de la red, por eso lo de hacer el bridge, así le pongo una IP de esa LAN y ya está. La cuestión es: Si instalo un squid en ese pfsense ¿Funcionará?

Saludos