Conectividade social

Itg

Há, entendi.

Bem, marquei lá o campo "Bypass proxy for Private Address Space (RFC 1918) destination" e coloquei os IPS no campo "Bypass proxy for these destination IPs".

Mandei um e-mail para o cliente pedindo para ele testar, estou aguardando, ja ja digo algo aqui.

Valeu !

Itg

Não deu certo :( Continua dando erro, mas especificamente "Erro na troca da chave com o Gateway", bem, algo assim.

O que pode ser ?

Valeu !

sachelaride

Tem relatos no forum que funciona

nao testei, da uma verificada

http://forum.pfsense.org/index.php/topic,9586.0.html

Att.

German Sachelaride

JackL

@sachelaride:

Tem relatos no forum que funciona
nao testei, da uma verificada
http://forum.pfsense.org/index.php/topic,9586.0.html

Você pode fazer exatamente como o colega @sachelaride sugeriu. Pode tentar colocar as redes citadas no post em questão no byproxy destination também (não sou fã nem aconselho a mexer diretamente em arquivos de conf. no PFSense).

Outra solução é cadastrar os IPs das máquinas clientes que precisam acessar a Conectividade Social em "Bypass proxy for these source IPs".

Abraços!
Jack

Itg

É, também não quero mexer no conf, ainda mais que estou mexendo remotamente no pfsense do cliente, se der pau eu teria que correr até lá, quero não :)

Bem, mantive os IPS da conectividade social em "Bypass proxy for these destination IPs" e adicionei das máquinas LAN que usam a conectividade em "Bypass proxy for these source IPs"

Antes tinha pedido ao cliente para ir no internet explorer, conexões e marcar aquela opção "não usar proxy para endereços que começam com" mandei colocar os IPS da caixa, será que isso seria também uma solução ?

Obrigado senhores !

JackL

@ivanildogalvao:

É, também não quero mexer no conf, ainda mais que estou mexendo remotamente no pfsense do cliente, se der pau eu teria que correr até lá, quero não :)
Bem, mantive os IPS da conectividade social em "Bypass proxy for these destination IPs" e adicionei das máquinas LAN que usam a conectividade em "Bypass proxy for these source IPs"
Antes tinha pedido ao cliente para ir no internet explorer, conexões e marcar aquela opção "não usar proxy para endereços que começam com" mandei colocar os IPS da caixa, será que isso seria também uma solução ?

A priori, colocando os ips das máquinas clientes em "Bypass proxy for these source IPs" este problema está resolvido. But, esta é uma solução "emergencial", já que estes clientes não passarão mais pelo proxy - logo, não terão restrições para navegação HTTP também (imagino que não seja o que vc quer, né?).

Abraços!
Jack

Itg

Pois é, mas como são apenas duas máquinas não será muito problema, até porque não tem outro jeito.
Mas, infelizmente o cliente me ligou informando que o problema persiste, agora estou ficando encabulado, pois ja botei os IPS da LAN no By-pass, tudo direitinho. O fato do proxy está marcado como transparente interfere ?

Valeu !

JackL

@ivanildogalvao:

Pois é, mas como são apenas duas máquinas não será muito problema, até porque não tem outro jeito.
Mas, infelizmente o cliente me ligou informando que o problema persiste, agora estou ficando encabulado, pois ja botei os IPS da LAN no By-pass, tudo direitinho. O fato do proxy está marcado como transparente interfere ?

Se você colocou os IPs das máquinas clientes no "Bypass proxy for these source IPs" (veja que é no source, não no destination) e tem a porta 80 liberada em "Firewall->Rules->Lan", com o squid no modo transparent, não se preocupe… vai dar certo!

Nota importante: O Conectividade Social tem disso… as vezes (períodos do dia e do mês), o sistema simplesmente não funciona. Peça para o pessoal esperar um pouco e tentar mais tarde.

Abraços!
Jack

Itg

Ôpa, acabaram de me ligar dizendo que deu certo :) :) :), fiz conforme está nesta imagem http://twitpic.com/6e3p4i

Bem, desta forma estas máquinas agora acessam a internet se qualquer restrição, correto ? Como remediar isso, ehehhehhee, la vem mais bronca, ajeita uma coisa e aleija outra.

Mas porque colocando somente os IPS da conectividade social em "Bypass proxy for these destination IPs" não deu certo ? Seria melhor, pois não liberaria as máquinas para passar fora do Proxy.

Valeu, obrigadão pelo apoio.

JackL

@ivanildogalvao:

Bem, desta forma estas máquinas agora acessam a internet se qualquer restrição, correto ? Como remediar isso, ehehhehhee, la vem mais bronca, ajeita uma coisa e aleija outra.

É isso mesmo… estas máquinas, a partir de agora, estão livre, leve e soltas na internet! :S

Mas porque colocando somente os IPS da conectividade social em "Bypass proxy for these destination IPs" não deu certo ? Seria melhor, pois não liberaria as máquinas para passar fora do Proxy.

Coloque na configuração "Bypass proxy for these destination IPs" as redes:

200.201.173.0/24;200.201.174.0/24

Crie uma regra no seu "Firewall->Rules->Lan", ANTES da regra em que libera o acesso HTTP (de preferência como a primeira regra) liberando qualquer conexão (qualquer protocolo) com destino as redes citadas acima. Isso deve resolver!

Nota: Não esqueça de marcar "Do NOT proxy Private Address Space (RFC 1918)"

Abraços!
Jack

Itg

Beleza Jack, irei deixar quieto por enquanto, mas em firewall rule eu não estou liberando a internet por portas, está tudo liberado "Protocol ANY, Source = LAN Subnet, Destination = ANY". Está assim desde o inicio, pois na empresa não existe bloqueio de portas e sim de sites, por isso os devidos filtros são feitos pelo SquidGuard.
Sendo assim aquela sua dica para por os IPS da caixa em um alias e publicar em firewall rules, neste cenário não faz sentido, ok ?

Se eu colocar apenas:

**Coloque na configuração "Bypass proxy for these destination IPs" as redes:

200.201.173.0/24;200.201.174.0/24**

E remover os IPS das máquinas "Bypass proxy for these source IPs", resolve ? Antes testei e não funcionou, mas posso tentar de novo.

Valeu !

klamath

Estou acompanhando o tópico, tenho um cliente com esse aplicativo online da caixa e ele me relata que está funcionando normal!
uso as blacklists do SquidGuard r não fiz qq modificação nas regras do proxy ou firewall!
pq com uns funcionam e outros não?

JackL

@ivanildogalvao:

Beleza Jack, irei deixar quieto por enquanto, mas em firewall rule eu não estou liberando a internet por portas, está tudo liberado "Protocol ANY, Source = LAN Subnet, Destination = ANY". Está assim desde o inicio, pois na empresa não existe bloqueio de portas e sim de sites, por isso os devidos filtros são feitos pelo SquidGuard.
Sendo assim aquela sua dica para por os IPS da caixa em um alias e publicar em firewall rules, neste cenário não faz sentido, ok ?
Se eu colocar apenas:
Coloque na configuração "Bypass proxy for these destination IPs" as redes:
200.201.173.0/24;200.201.174.0/24
E remover os IPS das máquinas "Bypass proxy for these source IPs", resolve ? Antes testei e não funcionou, mas posso tentar de novo.

Sim… Basicamente seria isso!
Aliás, isso vai ao encontro do que o colega @sachelaride te sugeriu e está descrito neste post: http://forum.pfsense.org/index.php/topic,9586.msg55700.html#msg55700

Em teoria, ao fazer o ByPass Destination, o PFSense escreveria dentro do arquivo "squid.inc" conforme proposto no link acima. Contudo, não sei como isso está no update do teu PFSense. Seria bacana testar (ver o conteúdo do arquivos "squid.inc" depois de vc realizar o ByPass Destination).

Abraços!
Jack