Https via squid3
-
Olá a todos.
Habilitei e configurei o squid3 no pfsense. Está em modo não transparente e sem autenticação (por enquanto!!!)…
Criei uma regra direcionando todo o trafego para a porta 3128 e bloqueando tudo nas portas 80 e 443...
Estou navegando normalmente em todo tipo de site http... Mas..... quanto é qualquer um site https do google aí fica estranho...
o primeiro erro é de dns (esta pagina nao pode ser exibida)... aí dou um ctrl F5 e vem um erro do squid (conexao para [unknown] falhou : erro 22 - invalid argument)…
geralmente no terceiro F5 a pagina carrega normalmente... e as vezes carrega de primeira tbem?!?!?!?!?!
Em qualquer outro htps que testei (bancos, hotmail, etc...) funcionou de primeira... só nos do google dá esse erro estranho...Alguem já passou (ou está passando) pelo mesmo problema??
[]s
Oswaldo Romano
tenta apontar seu dns pro dns do google (8.8.8.8 e 8.8.4.4)
-
tenta apontar seu dns pro dns do google (8.8.8.8 e 8.8.4.4)
Synap..
Já tentei mudar o dns… fica a mesma coisa... já tentei do OpenDns tbem...
[]s
-
Em um computador tente acessar os serviços gerando esses erros, depois vá no PFSense no "System Logs" clique na aba Firewall e depois no campo de pesquisa, coloque o IP da maquina que acabou de gerar os erros.
Nisso você tem como saber melhor o que pode ser.
Outra possibilidade é cache. Tente colocar o dominio todo da google para não fazer cache.
-
O log do squid mostra algum erro?
Sua configuração parece estar correta.
Como tentativa, desabilite o dns forwarder no menu services(e talvez um boot).
att,
Marcello Coutinho -
Outra possibilidade é cache. Tente colocar o dominio todo da google para não fazer cache.
FLCavalcanti…
coloquei o dominio do google para nao fazer cache... mas mesmo assim veja os logs do real time do squid3.
Date IP Status Address User Destination
14.06.2012 17:14:35 192.168.0.1 TCP_MISS/200 accounts.youtube.com:443 - 74.125.234.197
14.06.2012 17:14:35 192.168.0.1 TCP_MISS/200 ssl.gstatic.com:443 - 74.125.234.207
14.06.2012 17:13:40 192.168.0.1 TCP_MISS/503 mail.google.com:443 - -
14.06.2012 17:13:40 192.168.0.1 TCP_MISS/200 www.google.com:443 - 74.125.234.209
14.06.2012 17:13:39 192.168.0.1 TCP_MISS/204 http://www.google.com.br/csi? - 74.125.234.223
14.06.2012 17:13:38 192.168.0.1 TCP_MISS/200 http://www.google.com.br/ - 74.125.234.223
14.06.2012 17:13:38 192.168.0.1 TCP_MISS/200 www.google.com:443 - 74.125.234.209 -
O TCP_MISS/200 significa acesso sem cache ;)
TCP_HIT e TCP_MEM_HIT são os logs de cache.
-
O TCP_MISS/200 significa acesso sem cache ;)
TCP_HIT e TCP_MEM_HIT são os logs de cache.
Marcelloc…
os logs que postei foram depois que retirei os endereços do google da opcão de não fazer cache...
O que notei foi que mesmo com o cache habilitado, só tenho TCP_MISS/200 ... ou seja ... será que o cache então não está funcionando???
notei que para cada 100 TCP_MISS/200 tenho apenas 3 TCP_HIT.. é normal??? -
notei que para cada 100 TCP_MISS/200 tenho apenas 3 TCP_HIT.. é normal???
Se o seu acesso é basicamente conteúdo dinâmico, então sim é normal.
-
Acho que entendi o seu problema.
Você disse que está redirecionando todo o trafego para a porta do Squid, até ai correto, mas você configurou os navegadores para usarem o Proxy?
Pois serviços que usam conexão segura vão tentar conectar pela porta 443 mesmo se tiver algum NAT(Redirect) pelo caminho. Colocando o Proxy no navegador(IE, FF, Chrome, etc) você faz o navegador entender que os pacotes HTTPS precisam ser encapsulados pelo Proxy.
Coloque o Proxy nos navegadores, isso deve resolver.
-
Acho que entendi o seu problema.
Você disse que está redirecionando todo o trafego para a porta do Squid, até ai correto, mas você configurou os navegadores para usarem o Proxy?
Pois serviços que usam conexão segura vão tentar conectar pela porta 443 mesmo se tiver algum NAT(Redirect) pelo caminho. Colocando o Proxy no navegador(IE, FF, Chrome, etc) você faz o navegador entender que os pacotes HTTPS precisam ser encapsulados pelo Proxy.
Coloque o Proxy nos navegadores, isso deve resolver.
LFCavalcanti.
Os navegadores estão com o proxy configurado. (estou usando o squid3 + dansguardian + autenticação local). Já testei com o opera, chrome e IE… Hoje estou direcionando o tráfego todo para o Dansguardian (porta 8080) e o problema persistiu (antes era só para o squid3 sem autenticação).. se tiro o proxy fica normal... com proxy dá o erro.... como já disse é só com os dominios https do google, qualquer outra página https carrega normalmente....
[]s
-
sosmicro,
Se me lembro bem, existe uma configuração/patch a aplicar na maquina para o google funcionar via proxy(não acontece em todas as redes/maquinas).
Não me lembro de cabeça o que é, mas o google deve lembrar :)
veja se o gmail em modo básico abre, se abrir, estamos falando do mesmo problema.
att,
Marcello Coutinho -
sosmicro,
Se me lembro bem, existe uma configuração/patch a aplicar na maquina para o google funcionar via proxy(não acontece em todas as redes/maquinas).
Não me lembro de cabeça o que é, mas o google deve lembrar :)
veja se o gmail em modo básico abre, se abrir, estamos falando do mesmo problema.
att,
Marcello CoutinhoMarcello.
O patch é exclusivo para o squid3 ou é para o pfsense???
veja que consigo abrir as paginas mas somente depois de uns 4x ctrl F5…
veja as mensagens do proxy quando tento abrir a pagina (estou na pagina do google e clico em agenda por exemplo:) E quase sempre sao os mesmos erros. qdo clico em agenda dá uma tela de erro de dns (esta pagina nao pode ser exibida etc.... ). no primeiro ctrl F5 aparece uma tela de erro do squid (conexao para [unknown] falhou : erro 22 - invalid argument). no terceiro ctrl F5 algumas imagens não carregam, aí no quarto ctrl F5 a página é corretamente exibida…...Date IP Status Address User Destination
15.06.2012 18:22:58 192.168.0.254 TCP_HIT/200 http://www.squid-cache.org/Artwork/SN.png teste1 -
15.06.2012 18:22:58 192.168.0.254 TCP_MISS/503 accounts.google.com:443 teste1 -
15.06.2012 18:22:55 192.168.0.254 TCP_MISS/503 www.google.com:443 teste1 -
15.06.2012 18:22:53 192.168.0.254 TCP_MISS/204 http://www.google.com.br/csi? teste1 74.125.234.223
15.06.2012 18:22:53 192.168.0.254 TCP_MISS/200 http://www.google.com.br/ teste1 74.125.234.223
15.06.2012 18:19:27 192.168.0.254 TCP_MISS/200 mail.google.com:443veja os TCP_MISS/503 (TCP_MISS/503 The dnsserver returned:Refused: The name server refuses)
-
-
O patch é para o windows.
vixi… procurei ate cansar os dedos... achei coisas sobre winhttp, netsh, ipconfig... fiz todas mas nenhuma adiantou...
pensei entao em testar com outra versão do windows (estava com o xp sp3 em uma maquina virtual), então criei mais 3 vms (seven, window8, ubuntu)... e nada..
o mesmo erro apenas nos https do google!!!!!!!!!!!!!e tome ctrl F5 :)idéias???? pode ser um erro do proxy (squid3)????
-
Instala o firebug no firefox e veja se consegue descobrir alguma coisa na aba rede.
-
Instala o firebug no firefox e veja se consegue descobrir alguma coisa na aba rede.
marcello … o primeiro cabeçalho é para o google agenda e o segundo para o gmail.....
Cabeçalhos de Respostaboa impressão
HTTP/1.0 503 Service Unavailable
Server: squid/3.1.19
Mime-Version: 1.0
Date: Sat, 16 Jun 2012 01:50:08 GMT
Content-Type: text/html
Content-Length: 3389
X-Squid-Error: ERR_CONNECT_FAIL 22
Proxy-Connection: CloseCabeçalhos de Solicitaçãoboa impressão
GET /accounts/CheckConnection?pmpo=https%3A%2F%2Faccounts.google.com&v=1643734519×tamp=1339811399305 HTTP/1.1
Host: accounts.youtube.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13 (.NET CLR 3.5.30729)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8
Accept-Language: pt-br,pt;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Connection: keep-alive
Referer: https://accounts.google.com/ServiceLogin?service=cl&passive=1209600&continue=https://www.google.com/calendar/render?tab%3Dnc&followup=https://www.google.com/calendar/render?tab%3Dnc&scc=1
Cookie: VISITOR_INFO1_LIVE=clx3TnHOkCo; PREF=f1=50000000&fv=11.2.202Cabeçalhos de Respostaboa impressão
HTTP/1.0 503 Service Unavailable
Server: squid/3.1.19
Mime-Version: 1.0
Date: Sat, 16 Jun 2012 01:53:39 GMT
Content-Type: text/html
Content-Length: 3374
X-Squid-Error: ERR_CONNECT_FAIL 22
Proxy-Connection: CloseCabeçalhos de Solicitaçãoboa impressão
GET /mail/?tab=wm HTTP/1.1
Host: mail.google.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13 (.NET CLR 3.5.30729)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8
Accept-Language: pt-br,pt;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Connection: keep-alive
Referer: http://www.google.com.br/
Cookie: PREF=ID=d7a0f6c765667ab0:TM=1298817641:LM=1337335013:S=UjiIc5wNmVdWegm6; NID=60=Je1kCZrHnH5lg_SfuDm9z_-W2KNNmUx_mMOZU886CUaWUIV8tn2tuWWHERgGYlO37Wm4U24oY8TQGOosKmnYgG3Ad8UMjoLSbcfP70IePokQkpcCDIVKo8Yg_JAr08jo -
já tentou liberar o accounts.google.com no squid? ???
-
já tentou liberar o accounts.google.com no squid? ???
já tentei de tudo quase… se tiro o proxy fica tudo normal..
notei que algumas paginas tbem não carregam como a do google... sempre paginas https...(uma delas foi a do proprio mozilla - https://addons.mozilla.org/pt-br/firefox/addon/firebug/)
a única que não era https foi a da caixa (caixa.gov.br) simplesmente abria ate a metade.. e travava o navegador por uns 50 segundos até carregar o restante da página....
:(ps: pessoal era mesmo o squid3.... desinstalei o pacote e instalei o squid2 stable e tudo está funcionando perfeitamente... vou tentar depois reinstalar novamente o squid3...
Posto aqui os resultados...obrigado a todos...
-
ps: pessoal era mesmo o squid3…. desinstalei o pacote e instalei o squid2 stable e tudo está funcionando perfeitamente... vou tentar depois reinstalar
Muito esquisito, uso o squid3 sem qualquer erro ou comportamento parecedido.
-
ps: pessoal era mesmo o squid3…. desinstalei o pacote e instalei o squid2 stable e tudo está funcionando perfeitamente... vou tentar depois reinstalar
Muito esquisito, uso o squid3 sem qualquer erro ou comportamento parecedido.
Tentei reinstalar o squid3 mas o erro persistiu… para acessar qualquer pagina https tenho que ficar dando ctrl f5 até conseguir carregar a pagina... (umas 5x no minimo)....
Não encontrei qualquer pista sobre o que poderia estar causando este comportamento. Olhei os logs do squid (cache.log) e achei estas linhas abaixo: (elas não existem no squid2)...2012/07/06 12:40:16| helperOpenServers: Starting 0/0 'ssl_crtd' processes
2012/07/06 12:40:16| helperOpenServers: No 'ssl_crtd' processes needed.??????
