Problema con SSL en Squid y Tarjeta Virtual
-
Les comento mi cas:
Tengo una PC con PF Sense instalado, esta PC tiene 3 tarjetas de red, 1 para WAN, 1 para LAN y otra que designe para conectar el Acces Point Inalambrico.
Como la PC no tiene otro slot para conectar una cuarta tarjeta que necesito para conectar la red de los Centro de Computo en mi institucion, me decidi a emular una tarjeta dentro de otra, es decir, hacer una interfaz virtual colocando esto dentro del archivo de respaldo:
<shellcmd>ifconfig rl1 inet 192.168.2.254 netmask 255.255.255.0 alias</shellcmd>
*Nota.- Eso lo coloque antes de de modo que cuando arranque el servidor automaticamente se ejecute el comando
De esta forma tengo las interfaces:
rl2 - WAN
rl0 - LAN
rl1 - WiFi (con su respectiva interfaz virtual que seria algo asi como un rl1:1 en linux, obvio aqui en freebsd es un alias simplemente)ok, hasta este punto todo funciona como deseo, la interfaz WAN se conecta a internet, la interfaz LAN tambien, la WiFi en la red original tambien, todas funcionando con squid de manera perfecta, sine mbargo cuando intento conectarme a hotmail en la tarjeta virtual que tiene la interfaz WiFi no me da acceso a hotmail, estuve investigando y me encontre con que pueden ser problemas de SSL, sin embargo cuando me puse a analizar el esquema la tarjeta original WiFi si puede navegar en hotmail, solo el "clon" es el que no puede hacerlo, ignoro por que, ya agregue al control de acceso la subred de la interfaz virtual y todo pero no funciona aun asi especificamente para MSN y Hotmail, ya puse tambien los dominios en white list y ni asi… ignoro que sucede. Si pueden auxiliarme se los agradecere
-
Hola, puedes probar esto:
Poner todo el rango de IPs de Microsoft en un alias (llamado "microsoft" en este ejemplo):
207.46.0.0/16
64.4.0.0/18
65.52.0.0/14y hacer una regla de F/W que sea:
TCP * * microsoft * * * No limitar accesos a Microsoft
UDP * * microsoft * * * No limitar accesos a MicrosoftNo se si a nivel de Firewall figura esta interfaz virtual, pero de ser así allí deberías poner estas reglas.
Suerte!
-
no he logrado nada con este metodo, sigo investigando al respecto…
La tarjeta propiamente al ser un alias de ifconfig no aparece como interfaz en la lista del pfsense, de hecho ese es precisamente el gran problema, dado que el proxy no la reconoce como interfaz y solo puedo agregar la "network" en las reglas de control de acceso, de esa manera salgo a internet por la interfaz virtual pero persiste el problema de que no puedo entrar a hotmail o msn, aprentemente esto se debe al problema con el ssl del squid que no me deja pasar, lo que no entiendo es que tipo de regla puedo habilitar si la interfaz virtual no existe, solo me queda habilitar reglas sobre la interfaz real (WiFI) que es donde esta la interfaz virtual fisicamente, no se me ocurre nada mas :S, alguna otra sugerencia? se me ocurrio el nat pero apenas voy a probar que onda :S
-
¿Has probado a utilizar una tarjeta de red que se conecta al puerto USB?
http://www.dlink.es/cs/Satellite?c=Product_C&childpagename=DLinkEurope-ES%2FDLProductCarousel&cid=1197319472321&p=1197318960661&packedargs=ParentPageID%3D1197318960640%26TopLevelPageProduct%3DConsumer%26locale%3D1195806681347%26packedargs%3DProductParentID%253D1197318745468&pagename=DLinkEurope-ES%2FDLWrapper
Te sale mas caro pero es una tarjeta de red física, que nunca será igual que una virtualizada.
No he probado si funciona pero puedo hacerlo porque tengo una, ya postearé si la reconoce.Saludos…
-
No la reconoce… :-\
-
Fijense que se me ha ocurrido una idea… Derivada de otra necesidad que tengo...
Tomando en cuenta que se tiene:
rl2 - WAN
rl0 - LAN
rl1 - WiFi (con su respectiva interfaz virtual 192.168.2.254 para servir como puerta de enlace de 192.168.2.0/24 haciendo las veces de un rl1:1 en linux, obvio aqui en freebsd es un alias simplemente)Donde las redes son:
rl2 = 189.x.x.x (WAN propiamente, no pongo la direccion por seguridad)
rl0 = 192.168.1.0/24 (con direccion especifica 192.168.1.254 orientada a ser la puerta de enlace la la red LAN para navegacion con todo el ancho de banda disponible y con proxy)
rl1 = 172.16.0.0/22 (con direccion especifica 172.16.3.254 orientada a ser la puerta de enlace de la red WiFi y direccion virtual 192.168.2.254 orientada a ser puerta de enlace de los centros de computo, ambas para navegacion con ancho de banda controlado y con proxy)Ahora, compliquemos el asunto: supongan que tienen conectada a rl1 (originalmente para manejar las Wifi y Centros de computo) unas PCs pertenecientes a la red 192.168.1.0/24 (que es la LAN de rl0), la pregunta seria:
¿como hacer que estas maquinas conectadas a rl1 compartan recursos con las maquinas conectadas a rl0 las cuales tienen la misma subred (192.168.1.0/24) pero que estan fisicamente en dos tarjetas diferentes?
Si existe solucion a eso entonces tambien podria tener solucion mi problematica de la interfaz virtual en rl1 por que haria funcionar como gateway a una direccion de la interfaz real... ¿Ideas? Senzei Bellera Helpme!!!!
-
no entiendo mucho tu configuracion…
si tu ya agregaste reglas y permitiste el acceso en squid, creo que va mas por la onda de hardware o de como configuraste la interface virtual o el aliasestas usando VLANs configuradas en Interfaces/assign?
si no, seria mejor usar VLANs para poder hacer lo que necesitas pero necesitarias tener un switch inteligente(Cisco, 3com, Netgear) que soporte trunking para que pfsense te la vea como una interface real o cuantas interfaces requieras, ejemplo:rl0: LAN - 192.168.1.0/24
rl1:VLAN 55 - WiFi - 172.16.0.0/22
rl1:VLAN 56 - LAN2 - 192.168.1.1/24
rl2: WAN - 189.166.254.251y dependiendo de ellos solo agregarias reglas para verse entre las Redes(el tutorial de Bellera te ayudara mucho en ello)
ahora regresando a la onda de hardware yo uso tarjetas intel en pfsense porque las Realtek me han dado muchos problemillas de errores in/out y de perdida de paquetes, al menos que estes usando un alix o un soekris con pfsense ahi no hay de otra, si no yo te recomendaria que cambiaras tu hardware a intel(mejor soportado y con menos riesgos de perdida de paquetes)
saludos.
-
algo mas que se me ocurre es que podrias usar rutas estaticas para conectar la rl1 Wifi con la IP 172.16.0.0/22 con la rl0 LAN 192.168.1.0/24, sin embargo no siento que sea una configuracion correcta, al igual estoy mal.
saludos.