Problema para acceder a paginas https tipo index.jsp

Nicolas · Oct 14, 2009, 4:46 PM

Buenas tardes despues de algun tiempo de estudio ya tengo funcionando en produccion un pfsense. La version es
-1.2.2
built on Thu Jan 8 22:30:24 EST 2009
FreeBSD 7.0-RELEASE-p8 i386
-tiene dos lan y 3 wan
-hace balanceo de carga
-tiene squid para una de las lan
-esta funcionando perfectamente lo que es reglas, alias y nat (tanto outbound como port forward).

el unico problema que estoy teniendo es el siguiente:
puedo navegar ciertas paginas https y otras no, las que no se pueden navegar son las tipo .jsp y .asp (no agregue ninguna regla que bloquee esto a menos que venga por defecto no existe ninguna)
no puedo encontrar una explicacion a esto, el resultado es que puedo navegar algunas paginas bancarias y otras no, lamentablemente las que no puedo navegar son las que mas se usan.
El error que da generalmente es un aviso de sesion expirada, ni bien se loguean.

desde ya gracias por los aportes que puedan hacer

saludos
Nicolas

johnnatan · Oct 14, 2009, 4:58 PM

Usa el netstat en la estacion con la que quieres acceder al sitio web para ver que puerto usa el mismo… y lo agregas a tu lista de alias y lo dejas pasar en las reglas de la red que quieres usarla.....

Nicolas · Oct 14, 2009, 6:44 PM

gracias por la respuesta pero sigue igual

el puerto es el 443 tiene salida, el error es aleatorio en el sentido que llega a ingresar a la pagina pero antes de terminar la carga del formulario vence el tiempo de la sesion y al querer volver a ingresar da un error de usuario deslogueado o time out de la sesion pese a que se vuelve a ingresar desde el principio (cerrando el explorador y volviendolo a abrir). Existe alguna configuracion dentro del pfsense que maneje tiempos de conexion a paginas seguras?

saludos

salvador · Oct 14, 2009, 7:00 PM

No creo que sea una regla default, ya que yo lo tengo instalado con las configuraciones de faultd. No le he movido nada por que no son muchos mis requerimientos. Y yo si puedo ver todo tipo de Web. he probado los protocolas y las paginas js. y no he tenido problemas con ella. Deveria revisar tus rules.

Nicolas · Oct 15, 2009, 5:19 PM

revise las reglas de firewall y no hay nada que impida la llegada a las paginas seguras, son muy pocas. llego a algunas https pero hay otras a las que no puedo acceder.

johnnatan · Oct 16, 2009, 1:43 PM

Puedes mencionar cuales sitios para probar?….. no hay nada que limite el tiempo deacuerdo a conexiones seguras...

Nicolas · Oct 16, 2009, 3:59 PM

www.e-galicia.com.ar seccion homebanking
www.afip.gov.ar seccion de facturacion electronica

el tema es que el error ocurre despues del login, por eso no creo que sirva saber los sitios. Otros homebanking y paginas seguras funcionan bien.

Por ahora pude resolver que algunas maquinas salgan por una de las wan y tengan acceso a esas webs pero no puedo sacar a toda la empresa por la misma wan.
Intente una regla de nat outbound para que el protocolo 443 salga por esa wan y puse una regla de firewall para que las conecciones al puerto 443 de todas las maquinas salgan por esa wan pero tampoco me dio resultado. En teoria esta solucion deberia funcionar no? quizas me este olvidando algo obvio de tanto dar vuelta sobre lo mismo. Alguna idea ??

saludos y muchas gracias a todos por los aportes

bellera · Oct 17, 2009, 5:52 PM

¡Hola!

Intente una regla de nat outbound para que el protocolo 443 salga por esa wan y puse una regla de firewall para que las conecciones al puerto 443 de todas las maquinas salgan por esa wan pero tampoco me dio resultado.

Hay que olvidarse de hacer balanceo con https (443) de entidades bancarias y similares …

Para ello hay dos soluciones:

**** Activar Sticky Connections en [System] [Advanced functions].

**** Crear una regla de tráfico en la LAN (no un NAT outobound) para destino TCP 443 que emplee una puerta concreta, por delante de la regla del balanceo. La puerta puede ser cualquiera de las gateway que tenemos e incluso un pool de failover, pero nunca de balanceo.

http://doc.pfsense.org/index.php/MultiWanVersion1.2#Setting_up_Load_Balancing_pools

¿Qué opción elegir? Depende del entorno …

Seguir leyendo en post de ayer sobre el tema:

http://forum.pfsense.org/index.php/topic,19778.msg102156.html#msg102156

Saludos,

Josep Pujadas

Nicolas · Oct 19, 2009, 1:52 PM

Gracias Josep por la respuesta
por lo pronto no tengo opcion para sticky connections me dice que es por el uso de PPPoE.
Volvi a armar la regla de firewall ya la habia armado anteriormente pero quizas habia puesto mal el dedo al crearla pero por ahora nada cambio.
Realmente es muy raro y de tanto dar vueltas sobre el mismo tema ya intento resolverlo siempre igual, si alguien tiene una idea al respecto mi cabeza se lo va a agradecer ;)

saludos