Buena noche. Muchas muchas gracias por la ayuda, funcionó correctamente. Además puedo bloquear páginas desde la blacklist. Tienes tu like y un nuevo suscriptor. 🙏🦾 Recomiendo usar la última versión del PfSense para que no tengan errores, en mi caso la 2.7.1.
Me alegra mucho que mi vídeo le haya ayudado para que le funcione correctamente el squid proxy transparente con ssl/mitm y ahorita la última versión de pfsense es la 2.7.2 pero entiendo que con la versión anterior le funciona muy bien. Muchas gracias por el like y por la suscripción. Saludos.
Saludos cordiales, una consulta tengo un servidor con pfsense 2.7.2 configurado una WAN en una interfaz fisica de red gigabit y unaLAN y 10 VLANs en otra interfaz fisica de red gigabit, una consulta en e caso de la configuracion de la regla NAT tendria que primero crear un alias para poder incluir las VLANs que deben pasar por el proxy o se debe hacer una regla expecifica para cada VLAN en el NAT. gracias por compartir sus conocimientos con la comunidad.
Si se puede gestionarlo mediante alias para simplificar las reglas del NAT, en tu caso procure usar el alias de tipo network para definir las CIDRS de cada VLAN.. Saludos.
Buenos dias Roberto, antes que nada agradezco el conocimiento que compartes a todos y tu esfuerzo por tu gran contenido, tengo una duda, si se tiene el modo splice whitelist, bump otherwise, hay forma de que con acme o otro metodo se pueda renovar de forma automatica el certificado, en un escenario donde se tienen muchas computadoras y no se tenga que instalar el certificado en cada una?, saludos desde México y muchas gracias
Hola, en primer lugar con SSL/TLS de MITM con Squid Proxy NO se recomienda usar Certificados SSL de Let's Encrypt, esto no lo digo yo, esto lo dice las documentaciones oficiales del SquidProxy y Netgate, ahí explican las razones del porque no recomendan usar Certificados de Let's Encript. Te sugiero que busque esas documentaciones para que lo lea. En segundo lugar, lo recomendo es usar Certificados Auto-Firmados y con el Gestor de la Certificadora con pfSense puedes renovar los Certificados SSL vencidos o los que están por vencer. Lo recomendado es renovar antes de que lleguen a sus fechas de vencimiento y no dejarlos vencer. En tercer lugar, con el modo Splice Whitelist, Bump Otherwise, si o si se requiere instalar el certificado manualmente en cada PC, así que en tu escenario tienes dos opciones: 1. Si las computadoras están unidos a un Dominio con AD (Directorio Activo) con Windows Server o con Samba4 de GNU/Linux o simplemente con Zentyal, lo que puedes hacer es crear una política GPO para automatizar la instalación del certificado para todas las Computadoras que forman parte del Dominio. 2. En caso contrario, si no disponen de un Dominio con Windows Server o con Zentyal (GNU/Linux), para evitar instalar el certificado en cada PC, el cual es una tarea engorroso, lo que puedes hacer es usar el modo Splice All, esto lo expliqué en el vídeo.
Hola hice todo, pero no puedo entrar a ninguna pagina. veo en las reglas de la lan que si hay trafico en el nat al 3129. pero no me deja navegara internet
Si siguió paso por paso las configuraciones que mostré en el vídeo, pues debería de funcionar ya que varios usuarios me comprobaron que si funciona. Te sugiero borrar el historial (cache, cookies, etc.) de tus navegadores y repetir las configuraciones que muestro en el vídeo.
@@renzocamara7282 No afecta si el equipo está con DHCP y No, tampoco es obligatorio crear las reglas NAT. Las reglas NAT las hice por dos razónes: 1. La dirección ip para Squid Proxy lo pusé con Loopback (Localhost) y 2. Para obligar a TODA la red local pasar si o si por Squid Proxy para salir a Internet.
Hola, no entiendo a qué se debe su pregunta pero tratando de responder su pregunta pues creo que la tarjeta de red ideal para pfsense es aquella que no sea de la familia realtek o tp-link. Saludos.
Hola, Roberto, me parece excelente tu video. Me parece que tenías un video de squid + squidguard con MITM SSL, y el problema que yo he visto es con páginas bancarias o al momento de usar Zoom.
@@orochi12 Me parece que si tuve un video similar con SquidGuard + SSL MITM o pueda que ese video está en el primer curso que hice hace años y ese curso aun se mantiene en el canal. Honestamente yo evitaría el uso de Squid Proxy + SSL MITM ya que a pesar que esto esté configurado de la mejor manera, siempre puede presentar fallos de apretón de manos con certificados SSL de otros sitios web. Muchas gracias por tu mensaje.
Excelente. muchas gracias. Amigo, tengo un PFsense que uso con squid y squidguard + dhcp. Me gustaría implementar Portal Cautivo para perfimitir navegar sólo a las MAC que yo indique. Es sin usuarios locales o Radius, sólo MACs. El problema es que a pesar de mostrar bien el web del portal cautivo, incluso el ícono de windows indica conexión limitada, abro una nueva pestaña y navego igual. Sé que con una regla en el cortafuegos puedo obligar a pasar por el portal cautivo antes del squid pero lamentablemente no sé cómo hacerlo. Si tienes alguna pista de qué hacer, te lo agradecería.
1. Yo no mezclaría Squid Proxy + Portal Cautivo por tema de compatibilidad, es decir, Squid Proxy no es 100% compatible con el Portal Cautivo de pfSense. 2. Cuando habilitas el Portal Cautivo, por defecto siempre la conexión será limitada pero según recuerdo mediante MACs puedes hacer que la conexión sea ilimitada indefinidamente para la MAC del cliente. 3. Si dejas al cliente con conexión ilimitada mediante la MAC del portal cautivo, lo que quieres hacer con el cortafuego no tiene sentido o lógica, además que no se puede obligar pasar por el Portal Cautivo antes del Squid Proxy con el Firewall. Podes obligar pasar por el Squid Proxy antes del Internet con el Firewall pero no el Portal Cautivo antes del Squid Proxy. 4. Recuerdo que hace años tenía un vídeo en el cual mostraba la configuración de la MACs con el Portal Cautivo, no recuerdo si ese vídeo accidentalmente o deliberadamente lo borré o simplemente lo perdí cuando me robaron mi primer canal (canal que RUclips jamás me ayudaron con recuperarlo). El vídeo tampoco lo encuentro en mi canal de Rumble ni tampoco dónde tengo todos mis vídeos almacenados localmente. Simplemente y lamentablemente el vídeo se perdió para siempre.
@@RobertoMurillo Te agradezco mucho por dedicar tiempo para responderme. En efecto tienes toda la razón. Finalmente optaré por dejar el portal cautivo y controlaré con reglas ACL las MAC. Y que lástima que te robaran tu canal. Aprendí mucho con un video tuyo hace 2 años. Configuré squid en aquel entonces. Mil gracias nuevamente.
Hi!! un salu2 desde cuba.. Trate de llevar acabo estas configuraciones y para cualquier unterface me sale el siguiente error: The submitted interface does not support the 'Any' destination type with enabled NAT reflection. y no me deja guardar la regla Nat.
Por lo que puedo entender el error para empezar no tiene nada que ver con un Squid Proxy, sin embargo, si es un error de la reflexión del NAT. Puedo entender que el NAT lo usaste para crear reglas con la finalidad de forzar a los clientes pasar por el Proxy PERO en el vídeo nunca dijé que se debe aplicar la Reflexión del NAT porque esta función se utiliza para otros propósitos del NAT y no para la aplicación de la redirección del Proxy.
Buena tarde, espero que esté bien. Una consulta, a todos los equipos y celulares que requieran navegar se les debe cargar el certificado firmado, de lo contrario puede generarse un bloqueo? Gracias
Si el modo SSL/MITM es Splica All no se ocupa cargar o instalar el certificado firmado en los navegadores o sistemas de los clientes y de ésta forma no debería de generar bloqueos al menos que usted como administrador del proxy genere los bloqueos explícitamente con ACLs y Políticas (Permisos).
@@RobertoMurillo Buen día, espero que esté bien. Realicé la configuración con Splice All, sin embargo me bloquea lo que tenga que ver con Gmail, se me cae la página, con las demás no sucede esto. Muchas gracias.
Se debe configurar algunos parámetros para la autenticación del squid.conf. Los parámetros de autenticación son muchos y todos dependen del tipo de autenticación (NTLM, LDAP, Kerberos, etc.). Te sugiero ver estas series de vídeos en dónde explico algunos detalles acerca del tema que usted está buscando. ruclips.net/p/PLeGyTBGBixv3QDCtla2XQ9j_fDyQi32Ad
Hola. Al aplicar la configuracion mostrada en el minuto 23:28 Port Fordward para el puerto 80 y 443, empieza a filtrar el squidguard, sin embargo las paginas ssl de una vpn ipsec a las que accedo con frecuencia me muestra error y no me cargan, como hago para que salten estas conexiones. de antemano muchas gracias
Hola, mil disculpas por el atraso para responder su mensaje. Asumo que usted ingresa a la red local atravesando el firewall de pfsense mediante vpn con ipsec, y que una vez adentro, empiezas a navegar, ¿estoy en lo correcto?. Si es así como lo asumo el salto puedes hacerlo con reglas del firewall para la vpn de tu ipsec, así de simple. Espero de su respuesta y saludos.
Hola Roberto, gracias por el aporte, está muy bien explicado. ¿Hay alguna forma de obtener reportes como los que proporciona Lightsquid estando el proxy configurado en modo transparente? Un saludo.
Hola, la única forma que yo conozco para generar reportes es con lightsquid y lightsquid es el único paquete oficial que existe dentro del manejador de paquetes que tiene pfsense para generar reportes del squid proxy. Me parece que existe otro paquete para generar reportes pero no recuerdo de su nombre y para conseguirlo debes configurar pfsense para obtener paquetes no-oficiales, el cual personalmente es algo que no recomiendo que lo haga si su pfsense está en producción. Si usted decide configurar pfsense para obtener paquetes no-oficiales, es su propia responsabilidad. ruclips.net/video/AdCZnrdghQ0/видео.html
Antes de ponerme a elaborar el vídeo + todo lo que muestro en el vídeo, pues me aseguré que todos los navegadores estuviesen limpios de cache y cookies. Quizas tienes que borrar todo el historial, cookies y cache (desde siempre) antes de ponerse a configurar todo lo que muestro en el vídeo. Procure de usar navegadores actualizados. Segundo, que extraño que no te funcione cuando yo si pude hacerlo funcionar, quizas algo hizo mal o quizas omitió algún pequeño detalle de configuración. A lo que voy es que si a mi me funcionó, pues a cualquiera que siga los pasos al pie de la letra tal como muestro en el vídeo tiene que funcionar. Ahora, si después de seguir los pasos aún sigue sin funcionar, pues algo ha de estar pasando y hay que revisar los registros del proxy, los registros del sistema, y/o el consumo de ram.
@@Juanjemr1989 Ah perfecto, las reglas NAT lo hice por dos razones: 1. Porque el puerto de escucha del Squid Proxy lo dejé escuchando por la dirección del Loopback y 2. Para obligar a toda la red local pasar por el proxy. Cuando se deja escuchando el puerto de Squid Proxy por la dirección ip de la interfaz LAN, no es necesario crear reglas del NAT. Me alegra mucho que al fin logró hacerlo funcionar. Saludos.
Hola, gracias por los videos que nos ayudan mucho a los que estamos comenzando.🙂 Tengo todo funcionando pero la navegacion es super lenta con SQUIDGUARD... Cuando lo deshabilito la velocidad se normaliza. No encuentro porque pasa esto. Mi configuracion es MIKROTIK -->>PFSENSE como Proxy Si pueden orientarme, muy agradecido
A ver, en primer lugar recuerda que pfSense por defecto es un Firewall Server y no un Proxy Server. Sin embargo, si tu Firewall de Frontera es Mikrotik y no pfSense, lo que debes hacer es deshabilitar los Filtros del Firewall incluyendo el NAT de pfSense y al deshabilitar esas funciones primordiales de pfSense, lo conviertes en un Router (no Firewall). En segundo lugar, recuerda que SquidGuard es solo un complemento de ayuda del Squid Proxy y por énde el SquidGuard no puede funcionar por cuenta propia sin la ejecución del Squid Proxy. Revise en cómo se comporta el consumo de los recursos (RAM + CPU) de pfSense cuando se tiene habilitado el SquidGuard. A veces es mejor configurar y ejecutar SquidProxy + SquidGuard en un GNU/Linux (Sin Iptables) en lugar de ejecutarlo en pfSense por el primer punto que acabo de explicar.
Nunca he tenido la necesidad de usar el squid proxy reverso porque para eso suelo utilizar por custumbre el HA Proxy. Voy a probarlo y si funciona sin problemas entonces me atreveré con hacer el video. Saludos.
Buen tutorial Roberto, una de las funciones del proxy reverso es una forma de securizar una página web. El proxy reverso se coloca delante se los servidores. Entoces todas las consultas desde internet va dirigido al proxy reverso, y el proxy reverso va y consulta el servidor web interno y esto sirve como una protección para el servidor web
Actualmente segui todos los paso pero el detallé es que cuando son páginas de Google y Hotmail me sale en el squid próxy error 409 y también me sigue saliendo el problema de conección cuando intento ingresar que se podría hacer, de casualidad tienes un video de como configurar los dns y como configurar el ntp
Con el vídeo demostré que no dió problemas con las páginas y servicios de Google. Con Hotmail no hice ninguna prueba pero estoy seguro que no debería de dar problemas. Un día de estos me pondré a probar con Hotmail y sus servicios. ¿Qué problemas tienes con DNS y NTP? Si tengo vídeo o vídeos acerca de la configuración DNS y NTP.
@@RobertoMurillo Buen día, espero que esté bien. Pudo ser por caché que abrieran las páginas, ya que el día de hoy intenté ingresar de nuevo a las páginas pero todas las herramientas de gmail salen con el mensaje "No se puede acceder a este sitio web". Muchas gracias
@@bernardocuellar8989 Ok, tiene lógica que el problema sea problema de cache. Si se fija en mi vídeo, varias veces tuve que borrar el historial (cache y cookies) del navegador para asegurarme que todo funcione bien o para ver si me daba algún error como lo de su caso. Hága las pruebas con algún ordenador que no te afecte con borrar el historial de los navegadores y al mismo tiempo borre el cache del lado del servidor. Hága las pruebas de forma aislada antes de ponerlo en producción para el resto de los demás usuarios y clientes.
@@RobertoMurillo Muy buen día, intenté nuevamente el proceso, baje otro navegador e ingresé con modo incógnito, pero sigue apareciendo el problema al ingresar a algunas páginas. Le agradecería mucho su ayuda en este caso. Por otro lado, haz realizado activación y configuración de OpenVPN en PfSense? Muchas gracias
@@RobertoMurillo funciona bien en caso la mayoría de las páginas, inclusive en páginas de bancos, Pero no funciona cuando uno quiere accesar al correo de Microsoft o de Google, probe con páginas e-commerce y Amazon no la garga bien, es como sible faltaran css.
Buena noche. Muchas muchas gracias por la ayuda, funcionó correctamente. Además puedo bloquear páginas desde la blacklist. Tienes tu like y un nuevo suscriptor. 🙏🦾
Recomiendo usar la última versión del PfSense para que no tengan errores, en mi caso la 2.7.1.
Me alegra mucho que mi vídeo le haya ayudado para que le funcione correctamente el squid proxy transparente con ssl/mitm y ahorita la última versión de pfsense es la 2.7.2 pero entiendo que con la versión anterior le funciona muy bien. Muchas gracias por el like y por la suscripción. Saludos.
Saludos cordiales, una consulta tengo un servidor con pfsense 2.7.2 configurado una WAN en una interfaz fisica de red gigabit y unaLAN y 10 VLANs en otra interfaz fisica de red gigabit, una consulta en e caso de la configuracion de la regla NAT tendria que primero crear un alias para poder incluir las VLANs que deben pasar por el proxy o se debe hacer una regla expecifica para cada VLAN en el NAT. gracias por compartir sus conocimientos con la comunidad.
Si se puede gestionarlo mediante alias para simplificar las reglas del NAT, en tu caso procure usar el alias de tipo network para definir las CIDRS de cada VLAN.. Saludos.
Buenos dias Roberto, antes que nada agradezco el conocimiento que compartes a todos y tu esfuerzo por tu gran contenido, tengo una duda, si se tiene el modo splice whitelist, bump otherwise, hay forma de que con acme o otro metodo se pueda renovar de forma automatica el certificado, en un escenario donde se tienen muchas computadoras y no se tenga que instalar el certificado en cada una?, saludos desde México y muchas gracias
Hola, en primer lugar con SSL/TLS de MITM con Squid Proxy NO se recomienda usar Certificados SSL de Let's Encrypt, esto no lo digo yo, esto lo dice las documentaciones oficiales del SquidProxy y Netgate, ahí explican las razones del porque no recomendan usar Certificados de Let's Encript. Te sugiero que busque esas documentaciones para que lo lea.
En segundo lugar, lo recomendo es usar Certificados Auto-Firmados y con el Gestor de la Certificadora con pfSense puedes renovar los Certificados SSL vencidos o los que están por vencer. Lo recomendado es renovar antes de que lleguen a sus fechas de vencimiento y no dejarlos vencer.
En tercer lugar, con el modo Splice Whitelist, Bump Otherwise, si o si se requiere instalar el certificado manualmente en cada PC, así que en tu escenario tienes dos opciones: 1. Si las computadoras están unidos a un Dominio con AD (Directorio Activo) con Windows Server o con Samba4 de GNU/Linux o simplemente con Zentyal, lo que puedes hacer es crear una política GPO para automatizar la instalación del certificado para todas las Computadoras que forman parte del Dominio. 2. En caso contrario, si no disponen de un Dominio con Windows Server o con Zentyal (GNU/Linux), para evitar instalar el certificado en cada PC, el cual es una tarea engorroso, lo que puedes hacer es usar el modo Splice All, esto lo expliqué en el vídeo.
@@RobertoMurillo te agradezco mucho Roberto por tu pronta respuesta, iré por el camino de instalar por el AD, muchas gracias un abrazo desde México 👋
Hola hice todo, pero no puedo entrar a ninguna pagina. veo en las reglas de la lan que si hay trafico en el nat al 3129. pero no me deja navegara internet
Si siguió paso por paso las configuraciones que mostré en el vídeo, pues debería de funcionar ya que varios usuarios me comprobaron que si funciona. Te sugiero borrar el historial (cache, cookies, etc.) de tus navegadores y repetir las configuraciones que muestro en el vídeo.
@@RobertoMurillo Afecta en algo si mi equipo esta con dchp?, si o si tengo que hacer esas reglas nat?.
@@renzocamara7282 No afecta si el equipo está con DHCP y No, tampoco es obligatorio crear las reglas NAT. Las reglas NAT las hice por dos razónes: 1. La dirección ip para Squid Proxy lo pusé con Loopback (Localhost) y 2. Para obligar a TODA la red local pasar si o si por Squid Proxy para salir a Internet.
@@RobertoMurillo si no ponia la interfaz loopback no creaba ninguna regla nat?
Si seleccionas otra interfaz que no sea loopback pues no hace falta crear reglas nat.
cual tarjeta de red funciona mejor con pfsense? excelente video.
Hola, no entiendo a qué se debe su pregunta pero tratando de responder su pregunta pues creo que la tarjeta de red ideal para pfsense es aquella que no sea de la familia realtek o tp-link. Saludos.
Hola, Roberto, me parece excelente tu video. Me parece que tenías un video de squid + squidguard con MITM SSL, y el problema que yo he visto es con páginas bancarias o al momento de usar Zoom.
@@orochi12 Me parece que si tuve un video similar con SquidGuard + SSL MITM o pueda que ese video está en el primer curso que hice hace años y ese curso aun se mantiene en el canal. Honestamente yo evitaría el uso de Squid Proxy + SSL MITM ya que a pesar que esto esté configurado de la mejor manera, siempre puede presentar fallos de apretón de manos con certificados SSL de otros sitios web. Muchas gracias por tu mensaje.
Excelente. muchas gracias. Amigo, tengo un PFsense que uso con squid y squidguard + dhcp. Me gustaría implementar Portal Cautivo para perfimitir navegar sólo a las MAC que yo indique. Es sin usuarios locales o Radius, sólo MACs. El problema es que a pesar de mostrar bien el web del portal cautivo, incluso el ícono de windows indica conexión limitada, abro una nueva pestaña y navego igual. Sé que con una regla en el cortafuegos puedo obligar a pasar por el portal cautivo antes del squid pero lamentablemente no sé cómo hacerlo. Si tienes alguna pista de qué hacer, te lo agradecería.
1. Yo no mezclaría Squid Proxy + Portal Cautivo por tema de compatibilidad, es decir, Squid Proxy no es 100% compatible con el Portal Cautivo de pfSense.
2. Cuando habilitas el Portal Cautivo, por defecto siempre la conexión será limitada pero según recuerdo mediante MACs puedes hacer que la conexión sea ilimitada indefinidamente para la MAC del cliente.
3. Si dejas al cliente con conexión ilimitada mediante la MAC del portal cautivo, lo que quieres hacer con el cortafuego no tiene sentido o lógica, además que no se puede obligar pasar por el Portal Cautivo antes del Squid Proxy con el Firewall. Podes obligar pasar por el Squid Proxy antes del Internet con el Firewall pero no el Portal Cautivo antes del Squid Proxy.
4. Recuerdo que hace años tenía un vídeo en el cual mostraba la configuración de la MACs con el Portal Cautivo, no recuerdo si ese vídeo accidentalmente o deliberadamente lo borré o simplemente lo perdí cuando me robaron mi primer canal (canal que RUclips jamás me ayudaron con recuperarlo). El vídeo tampoco lo encuentro en mi canal de Rumble ni tampoco dónde tengo todos mis vídeos almacenados localmente. Simplemente y lamentablemente el vídeo se perdió para siempre.
@@RobertoMurillo Te agradezco mucho por dedicar tiempo para responderme. En efecto tienes toda la razón. Finalmente optaré por dejar el portal cautivo y controlaré con reglas ACL las MAC. Y que lástima que te robaran tu canal. Aprendí mucho con un video tuyo hace 2 años. Configuré squid en aquel entonces. Mil gracias nuevamente.
Hi!! un salu2 desde cuba.. Trate de llevar acabo estas configuraciones y para cualquier unterface me sale el siguiente error: The submitted interface does not support the 'Any' destination type with enabled NAT reflection. y no me deja guardar la regla Nat.
Por lo que puedo entender el error para empezar no tiene nada que ver con un Squid Proxy, sin embargo, si es un error de la reflexión del NAT. Puedo entender que el NAT lo usaste para crear reglas con la finalidad de forzar a los clientes pasar por el Proxy PERO en el vídeo nunca dijé que se debe aplicar la Reflexión del NAT porque esta función se utiliza para otros propósitos del NAT y no para la aplicación de la redirección del Proxy.
@@RobertoMurillo bueno trate de hacer lo mismo que usted explica en el minuto 21 del video ...
Buena tarde, espero que esté bien. Una consulta, a todos los equipos y celulares que requieran navegar se les debe cargar el certificado firmado, de lo contrario puede generarse un bloqueo? Gracias
Si el modo SSL/MITM es Splica All no se ocupa cargar o instalar el certificado firmado en los navegadores o sistemas de los clientes y de ésta forma no debería de generar bloqueos al menos que usted como administrador del proxy genere los bloqueos explícitamente con ACLs y Políticas (Permisos).
@@RobertoMurillo Buen día, espero que esté bien. Realicé la configuración con Splice All, sin embargo me bloquea lo que tenga que ver con Gmail, se me cae la página, con las demás no sucede esto. Muchas gracias.
@@andreswolf4376 Algo más ha de estar generando ese problema de bloqueo porque si revisa el vídeo, a mi en lo personal no tuve problemas de bloqueo.
Roberto....cómo se puede configurar squid en debuan con autenticación y pfsense sólo como puerta de enlace
Se debe configurar algunos parámetros para la autenticación del squid.conf. Los parámetros de autenticación son muchos y todos dependen del tipo de autenticación (NTLM, LDAP, Kerberos, etc.). Te sugiero ver estas series de vídeos en dónde explico algunos detalles acerca del tema que usted está buscando. ruclips.net/p/PLeGyTBGBixv3QDCtla2XQ9j_fDyQi32Ad
Hola. Al aplicar la configuracion mostrada en el minuto 23:28 Port Fordward para el puerto 80 y 443, empieza a filtrar el squidguard, sin embargo las paginas ssl de una vpn ipsec a las que accedo con frecuencia me muestra error y no me cargan, como hago para que salten estas conexiones. de antemano muchas gracias
Hola, mil disculpas por el atraso para responder su mensaje. Asumo que usted ingresa a la red local atravesando el firewall de pfsense mediante vpn con ipsec, y que una vez adentro, empiezas a navegar, ¿estoy en lo correcto?. Si es así como lo asumo el salto puedes hacerlo con reglas del firewall para la vpn de tu ipsec, así de simple. Espero de su respuesta y saludos.
Hola Roberto, gracias por el aporte, está muy bien explicado. ¿Hay alguna forma de obtener reportes como los que proporciona Lightsquid estando el proxy configurado en modo transparente? Un saludo.
Hola, la única forma que yo conozco para generar reportes es con lightsquid y lightsquid es el único paquete oficial que existe dentro del manejador de paquetes que tiene pfsense para generar reportes del squid proxy. Me parece que existe otro paquete para generar reportes pero no recuerdo de su nombre y para conseguirlo debes configurar pfsense para obtener paquetes no-oficiales, el cual personalmente es algo que no recomiendo que lo haga si su pfsense está en producción. Si usted decide configurar pfsense para obtener paquetes no-oficiales, es su propia responsabilidad. ruclips.net/video/AdCZnrdghQ0/видео.html
y cual seria la configuracion para hacerlo sin necesidad de instalar el certificado en los navegadores de los equipos
Con el modo Splice All del MITM SSL/TLS , saludos.
@@RobertoMurillo hice todo tal cual y me no me deja navegar a través del proxy
Antes de ponerme a elaborar el vídeo + todo lo que muestro en el vídeo, pues me aseguré que todos los navegadores estuviesen limpios de cache y cookies. Quizas tienes que borrar todo el historial, cookies y cache (desde siempre) antes de ponerse a configurar todo lo que muestro en el vídeo. Procure de usar navegadores actualizados.
Segundo, que extraño que no te funcione cuando yo si pude hacerlo funcionar, quizas algo hizo mal o quizas omitió algún pequeño detalle de configuración. A lo que voy es que si a mi me funcionó, pues a cualquiera que siga los pasos al pie de la letra tal como muestro en el vídeo tiene que funcionar. Ahora, si después de seguir los pasos aún sigue sin funcionar, pues algo ha de estar pasando y hay que revisar los registros del proxy, los registros del sistema, y/o el consumo de ram.
@@RobertoMurillo ya me funcionó hasta esta al 100 y con lista negra de squid guard eso sin utilizar las reglas nat. En split
@@Juanjemr1989 Ah perfecto, las reglas NAT lo hice por dos razones: 1. Porque el puerto de escucha del Squid Proxy lo dejé escuchando por la dirección del Loopback y 2. Para obligar a toda la red local pasar por el proxy.
Cuando se deja escuchando el puerto de Squid Proxy por la dirección ip de la interfaz LAN, no es necesario crear reglas del NAT. Me alegra mucho que al fin logró hacerlo funcionar. Saludos.
Hola, gracias por los videos que nos ayudan mucho a los que estamos comenzando.🙂
Tengo todo funcionando pero la navegacion es super lenta con SQUIDGUARD...
Cuando lo deshabilito la velocidad se normaliza. No encuentro porque pasa esto.
Mi configuracion es MIKROTIK -->>PFSENSE como Proxy
Si pueden orientarme, muy agradecido
A ver, en primer lugar recuerda que pfSense por defecto es un Firewall Server y no un Proxy Server. Sin embargo, si tu Firewall de Frontera es Mikrotik y no pfSense, lo que debes hacer es deshabilitar los Filtros del Firewall incluyendo el NAT de pfSense y al deshabilitar esas funciones primordiales de pfSense, lo conviertes en un Router (no Firewall). En segundo lugar, recuerda que SquidGuard es solo un complemento de ayuda del Squid Proxy y por énde el SquidGuard no puede funcionar por cuenta propia sin la ejecución del Squid Proxy. Revise en cómo se comporta el consumo de los recursos (RAM + CPU) de pfSense cuando se tiene habilitado el SquidGuard. A veces es mejor configurar y ejecutar SquidProxy + SquidGuard en un GNU/Linux (Sin Iptables) en lugar de ejecutarlo en pfSense por el primer punto que acabo de explicar.
Saludos Roberto que posibilidad tienes de realizar un tutorial de squid proxy reverso como acelerador web con cacheo
Nunca he tenido la necesidad de usar el squid proxy reverso porque para eso suelo utilizar por custumbre el HA Proxy. Voy a probarlo y si funciona sin problemas entonces me atreveré con hacer el video. Saludos.
Y analizando bien tu comentario, un proxy reverso teóricamente no es un acelerador web. El cache lo hace un servidor proxy, no un proxy reverso.
Buen tutorial Roberto, una de las funciones del proxy reverso es una forma de securizar una página web. El proxy reverso se coloca delante se los servidores. Entoces todas las consultas desde internet va dirigido al proxy reverso, y el proxy reverso va y consulta el servidor web interno y esto sirve como una protección para el servidor web
@@ERolando78 Exactamente así es y muchos gracias por su comentario. Saludos.
Actualmente segui todos los paso pero el detallé es que cuando son páginas de Google y Hotmail me sale en el squid próxy error 409 y también me sigue saliendo el problema de conección cuando intento ingresar que se podría hacer, de casualidad tienes un video de como configurar los dns y como configurar el ntp
Con el vídeo demostré que no dió problemas con las páginas y servicios de Google. Con Hotmail no hice ninguna prueba pero estoy seguro que no debería de dar problemas. Un día de estos me pondré a probar con Hotmail y sus servicios. ¿Qué problemas tienes con DNS y NTP? Si tengo vídeo o vídeos acerca de la configuración DNS y NTP.
En el siguiente playlist vas a encontrar los vídeos para configurar DNS y NTP. ruclips.net/p/PL71fhkRaMiF7s0pIE3ciE42Wott6K7mIB
@@RobertoMurillo Buen día, espero que esté bien. Pudo ser por caché que abrieran las páginas, ya que el día de hoy intenté ingresar de nuevo a las páginas pero todas las herramientas de gmail salen con el mensaje "No se puede acceder a este sitio web".
Muchas gracias
@@bernardocuellar8989 Ok, tiene lógica que el problema sea problema de cache. Si se fija en mi vídeo, varias veces tuve que borrar el historial (cache y cookies) del navegador para asegurarme que todo funcione bien o para ver si me daba algún error como lo de su caso. Hága las pruebas con algún ordenador que no te afecte con borrar el historial de los navegadores y al mismo tiempo borre el cache del lado del servidor. Hága las pruebas de forma aislada antes de ponerlo en producción para el resto de los demás usuarios y clientes.
@@RobertoMurillo Muy buen día, intenté nuevamente el proceso, baje otro navegador e ingresé con modo incógnito, pero sigue apareciendo el problema al ingresar a algunas páginas. Le agradecería mucho su ayuda en este caso.
Por otro lado, haz realizado activación y configuración de OpenVPN en PfSense?
Muchas gracias
no funciona bien! no puedo acceder a google o correo electronicos de microsoft o google. a algunas otras páginas si y las mas importamtes no!
Te tiene que funcionar si sigue los pasos al pie de la letra, respalde todo y pruebe rehacer todo desde cero. Saludos.
@@RobertoMurillo funciona bien en caso la mayoría de las páginas, inclusive en páginas de bancos, Pero no funciona cuando uno quiere accesar al correo de Microsoft o de Google, probe con páginas e-commerce y Amazon no la garga bien, es como sible faltaran css.
@@hadesinfraworld5030 Tambien me sale lo mismo. ya limpie cache de todo y el problema sigue