Https via squid3
-
Instala o firebug no firefox e veja se consegue descobrir alguma coisa na aba rede.
marcello … o primeiro cabeçalho é para o google agenda e o segundo para o gmail.....
Cabeçalhos de Respostaboa impressão
HTTP/1.0 503 Service Unavailable
Server: squid/3.1.19
Mime-Version: 1.0
Date: Sat, 16 Jun 2012 01:50:08 GMT
Content-Type: text/html
Content-Length: 3389
X-Squid-Error: ERR_CONNECT_FAIL 22
Proxy-Connection: CloseCabeçalhos de Solicitaçãoboa impressão
GET /accounts/CheckConnection?pmpo=https%3A%2F%2Faccounts.google.com&v=1643734519×tamp=1339811399305 HTTP/1.1
Host: accounts.youtube.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13 (.NET CLR 3.5.30729)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8
Accept-Language: pt-br,pt;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Connection: keep-alive
Referer: https://accounts.google.com/ServiceLogin?service=cl&passive=1209600&continue=https://www.google.com/calendar/render?tab%3Dnc&followup=https://www.google.com/calendar/render?tab%3Dnc&scc=1
Cookie: VISITOR_INFO1_LIVE=clx3TnHOkCo; PREF=f1=50000000&fv=11.2.202Cabeçalhos de Respostaboa impressão
HTTP/1.0 503 Service Unavailable
Server: squid/3.1.19
Mime-Version: 1.0
Date: Sat, 16 Jun 2012 01:53:39 GMT
Content-Type: text/html
Content-Length: 3374
X-Squid-Error: ERR_CONNECT_FAIL 22
Proxy-Connection: CloseCabeçalhos de Solicitaçãoboa impressão
GET /mail/?tab=wm HTTP/1.1
Host: mail.google.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13 (.NET CLR 3.5.30729)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8
Accept-Language: pt-br,pt;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Connection: keep-alive
Referer: http://www.google.com.br/
Cookie: PREF=ID=d7a0f6c765667ab0:TM=1298817641:LM=1337335013:S=UjiIc5wNmVdWegm6; NID=60=Je1kCZrHnH5lg_SfuDm9z_-W2KNNmUx_mMOZU886CUaWUIV8tn2tuWWHERgGYlO37Wm4U24oY8TQGOosKmnYgG3Ad8UMjoLSbcfP70IePokQkpcCDIVKo8Yg_JAr08jo -
já tentou liberar o accounts.google.com no squid? ???
-
já tentou liberar o accounts.google.com no squid? ???
já tentei de tudo quase… se tiro o proxy fica tudo normal..
notei que algumas paginas tbem não carregam como a do google... sempre paginas https...(uma delas foi a do proprio mozilla - https://addons.mozilla.org/pt-br/firefox/addon/firebug/)
a única que não era https foi a da caixa (caixa.gov.br) simplesmente abria ate a metade.. e travava o navegador por uns 50 segundos até carregar o restante da página....
:(ps: pessoal era mesmo o squid3.... desinstalei o pacote e instalei o squid2 stable e tudo está funcionando perfeitamente... vou tentar depois reinstalar novamente o squid3...
Posto aqui os resultados...obrigado a todos...
-
ps: pessoal era mesmo o squid3…. desinstalei o pacote e instalei o squid2 stable e tudo está funcionando perfeitamente... vou tentar depois reinstalar
Muito esquisito, uso o squid3 sem qualquer erro ou comportamento parecedido.
-
ps: pessoal era mesmo o squid3…. desinstalei o pacote e instalei o squid2 stable e tudo está funcionando perfeitamente... vou tentar depois reinstalar
Muito esquisito, uso o squid3 sem qualquer erro ou comportamento parecedido.
Tentei reinstalar o squid3 mas o erro persistiu… para acessar qualquer pagina https tenho que ficar dando ctrl f5 até conseguir carregar a pagina... (umas 5x no minimo)....
Não encontrei qualquer pista sobre o que poderia estar causando este comportamento. Olhei os logs do squid (cache.log) e achei estas linhas abaixo: (elas não existem no squid2)...2012/07/06 12:40:16| helperOpenServers: Starting 0/0 'ssl_crtd' processes
2012/07/06 12:40:16| helperOpenServers: No 'ssl_crtd' processes needed.??????
-
Marceloc,
Eu também estou com esse problema e não é só com o google, qualquer transmissão usando HTTPS pelo Squid 3 da esse problema. Não é constante, digamos que de 10 acessos a sites, 6 apresentam erro.
Estou obtendo as mesmas mensagens de erro do colega acima.
Tenho dois servidores em produção com o Squid 3 e neles não tive problema, esse que citei é o da empresa que trabalho.
-
Tenho dois servidores em produção com o Squid 3 e neles não tive problema, esse que citei é o da empresa que trabalho.
LFCavalcanti…
Ainda não consegui produzir nenhum servidor livre de quaisquer erros.... e olha que já tentei com uma infinidade de hardware e nas versoes 32 e 64 bits do pfsense...
Sempre esbarro em alguma funcionalidade que se nega a funcionar :) .... Na verdade o post certo seria https via squid3 já que o problema acontece mesmo com qualquer acesso https...
Outra coisa que ando notando é a impossibilidade de fazer certos serviços iniciarem pela GUI. Apenas consigo iniciá-los via Linha de comando...[]s
-
sosmicro,
Espero que não leve a mal, mas talvez o que esteja ocorrendo é que você está tentando implementar funções que não conheça completamente.
Quando comecei a trabalhar com o PFSense passei por dificuldades parecidas, por exemplo o squid, em outras distribuições como o IPCOP e o Smoothwall a implementação do Squid é mais "facil", já no PFSense você você tem uma implementação mais profissional e com opções mais otimizadas, então para quem nunca implementou um Squid "na unha" pode causar dificuldades.
No seu casso eu recomendo continuar a usar o Squid 2 no Servidor em Produção. Monte outro virtual ou em outro PC para você aprimorar no entendimento do PFSense.
Tenho mais de 40 servidores rodando PFSense hoje, alguns em ambientes de Serviço Crítico, mantendo Sistemas de PTT(Troca de Tráfego) para uma empresa de grande porte, com VPN e redundância de Hardware(CARP).
Estou verificando esse problema com o Squid3 aqui, se tiver alguma novidade posto aqui.
Eu vou formatar meu Servidor hoje e vejo se está ok.
-
Espero que não leve a mal, mas talvez o que esteja ocorrendo é que você está tentando implementar funções que não conheça completamente.
LFCavalcanti…
Este é um ambiente colaborativo, assim como as dicas nos ajudam, as críticas construtivas também... Não se preocupe.... Estou propenso a acreditar que o erro é mesmo entre a cadeira e o teclado... :)
Sempre usei distribuições como as citadas por vc (ipcop, smoothwall etc...), mas a implementação que tenho tentado no pfsense é bem simples (apenas com o squid3 instalado) sem nenhuma alteração dos parâmetros básicos da instalação.... o que me intriga é que não consigo visualizar quaisquer erros ( a não ser os TCP/MISS 503) que possam me ajudar a desvendar o mistério!!![]s
-
Outra coisa que ando notando é a impossibilidade de fazer certos serviços iniciarem pela GUI. Apenas consigo iniciá-los via Linha de comando…
Já consegui identificar este erro e já postei a solução para a versão 2.0.2 e 2.1
Aplique ela no seu pfsense.
https://github.com/bsdperimeter/pfsense/commit/6ae78f0808747893f30b867c51b744dfe39e2190
Na verdade o post certo seria https via squid3 já que o problema acontece mesmo com qualquer acesso https…
Tópico corrigido :)
Você está usando a última versão do pacote?
O jimp recentemente compilou a versão para o repositório oficial, você pode testar as diferentes versões do squid3 do meu repositório e do repositório oficial usando o pkg_del e pkg_add.
att,
Marcello Coutinho -
Update.
Eu coloquei a porta 443 como porta segura na config. do Squid 3 e o problema parece ter sido solucionado. Eu sei que por padrão a 80 e 443 são confiaveis, mas parece ter funcionado.
Vou fazer mais testes… estou testando se isso também não afetou a integração do Squid com o Squidguard.
-
Update.
Eu coloquei a porta 443 como porta segura na config. do Squid 3 e o problema parece ter sido solucionado. Eu sei que por padrão a 80 e 443 são confiaveis, mas parece ter funcionado.
Vou fazer mais testes… estou testando se isso também não afetou a integração do Squid com o Squidguard.
Tentei a mesma coisa, sem sucesso… desisti por enquanto do squid3... todos os servidores que montei (virtuais e reais) apresentaram o mesmo sintoma... testei outros pkgs tbem...
com o squid 2.791 vai sem problemas....o decepcionante é desistir sem ter pelo menos uma pista do que poderia causar o erro... :(
[]s -
O engraçado é que desisti do squid 2 pela infinidade de aborted durante a navegação. Vai entender…
-
Lei de Murphy? kkk
Complicado, eu só acho preocupante termos experiências tão opostas para o mesmo pacote.
Há algum outro fator que pode implicar nesse problema?
-
Há algum outro fator que pode implicar nesse problema?
Acredito que a utilização dele somando configurações com ele autenticado/ não autenticado e a utilização de parents.
Meu setup tem um dansguardian na frente.
att,
Marcello Coutinho -
Há algum outro fator que pode implicar nesse problema?
Acredito que a utilização dele somando configurações com ele autenticado/ não autenticado e a utilização de parents.
Meu setup tem um dansguardian na frente.
att,
Marcello CoutinhoMarcello.
Em todas as instalações que fiz, bastava instalar o squid3 (autenticado, sem autenticacao, transparente ou não). Não instalava mais nada… apenas configurava o acesso a internet (ppoe, statico ou dhcp) e instalava o squid3...
achei apenas este erro no log do system.. alguem pode me dizer o que é ??? [squid:(The ssl_crtd helpers are crashing too rapidly, need help!)]
[]s -
alguem pode me dizer o que é ??? [squid:(The ssl_crtd helpers are crashing too rapidly, need help!)]
Olha o cache.log na console/ssh usando o tail -f para a informação completa do erro.
ex: tail -f /var/squid/logs/cache.log
att,
Marcello Coutinho -
Também estou tendo problemas com o squid3 ao tentar acesso https ao gmail por exmplo… mas o hotmail e outros que testei passaram normal.
Acabei de fazer novamente uma instalação limpa para descartar problemas com o SquidGuard, mas acabou dando o mesmo problema. O Gmail só acessa depois de um refresh na página e mesmo assim depois de um tempo de logado no email ele acaba perdendo a conexão. -
O Gmail só acessa depois de um refresh na página e mesmo assim depois de um tempo de logado no email ele acaba perdendo a conexão.
Aparece algum erro no cache.log?
-
Aparece algum erro no cache.log?
Pior que não… no cache.log ao meu ver não aparece nada de anormal...
- A única coisa que aperece de "estranho" é:
2012/07/17 15:17:14| helperOpenServers: Starting 0/0 'ssl_crtd' processes
2012/07/17 15:17:14| helperOpenServers: No 'ssl_crtd' processes needed.- Olhando com tail -f access.log quando eu tento acessar ele apenas mostra as duas linhas abaixo e para:
1342548732.062 350 10.2.1.200 TCP_MISS/302 993 GET http://mail.google.com/mail/ - DIRECT/74.125.234.53 text/html
1342548732.066 0 10.2.1.200 TCP_MISS/503 0 CONNECT accounts.google.com:443 - DIRECT/- -- Já olhando através do firebug ele mostra um breve carregamento da página e some o resultado gerado pelo firebug e aparece uma página em branco com o erro apresentado:
Unable to connect
Firefox can't establish a connection to the server at accounts.google.comMas se insistir com refresh na página ele abre normalmente... mais depois de um tempo ele perde a conexão de novo. Ainda não coloquei em produção este squid3 devido os emails da empresa serem hospedados no proprio Google (contas corporativas) e alem dos outros clientes que possuem suas contas de Gmail normal.
Os testes realizados foram em cima de uma instalação limpa contendo apenas o squid3 instalado. Já criei regra de no_cache pra ver se influenciaria em algo e nada.
-
1342548732.062 350 10.2.1.200 TCP_MISS/302 993 GET http://mail.google.com/mail/ - DIRECT/74.125.234.53 text/html
1342548732.066 0 10.2.1.200 TCP_MISS/503 0 CONNECT accounts.google.com:443 - DIRECT/- -Um detalhe que pode não significar nada, mas parece que o erro ocorrido foi de resolução de dns.
Já tentou desabilitar o dns forwarder do pfsense e usar somente o dns do ad e/ou do google(8.8.8.8)? -
marcelloc,
A principio eu também achei que era problema de resolução dns… tanto que já tinha desabilitado e mudado o dns dos dcs para os do google somente para teste. Tenho outros servidores utilizando o squid2 funcionam normal com os mesmos endereços dns.
-
Eu também estou tendo o mesmo problema que os colegas utilizando o squid 3, até mesmo quando tentava postar algum topico o squid dava um erro se não me engano de página não encontrada.
No gmail as vezes a tela fica em branco.
Utilizando o squid 2 nunca aconteceu isso. -
Tópico morreu? ninguem da noticia da solução do problema?
ja tentei colocar a porta 443 na safe ports, tentei colocar o dominio do gmail para não fazer cache, ainda sim, não resolveu.
A tela fica branca e so aparece o site depois de um refresh na pagina, no primeiro refresh a codificação da pagina parece estar errada, aparece caracteres errados, depois do segundo refresh a pagina abre normal. -
Façam o teste:
Desabilitem a administração https do pfsense (passem para http)Limpem o cache tanto do PC como do Squid e vejam se o problema persiste!
-
Tirar o HTTPS da WebGUI do PFSense não é uma opção. Implica demais na segurança.
Se alguém puder testar isso em AMBIENTE DE TESTES, ok.. mas se o servidor estiver em produção, deixe o HTTPS ativado.
-
O pfsense vem com squid3.1.19, ele dá o problema em navegações https da google.
Já atualizei pra versão 3.1.20, problema persiste.
Estou achando que pode ser problema com DNS.
Porque o ipv6 está ativado.
Se alguem puder me ajudar? Versões mais novas deveriam resolver esse tipo de coisa.Obs: Uma coisa se deixarem o HTTPS para WEbgui, não funciona a autenticação utilizando Wpad.
Tive que deixar HTTP, mesmo. -
Cristiano se você passar para o squid2 o wpad funciona com o HTTPS ativado?
[]´s
-
o problema que a opção forward_for do squid3.1 não funciona nessa versão.
Até porque uso o dansguardian na frente.
A opção do forward_for serve pra pegar o ip real do usuário repassado do dansguardian. -
Cristiano se você passar para o squid2 o wpad funciona com o HTTPS ativado?
A gui do pfsense só permite um protocolo, por questões de segurança, usamos o https. Porem você pode fazer uma "adaptação técnica" para deixar a gui com http(para funcionar o wpad) e quando você precisar acessar a gui, faça via túnel ssh.
Não é a melhor solução, mas é uma solução com quase nenhuma customização ou configuração de daemons extra.att,
Marcello Coutinho -
Alguém conseguiu algum êxito no problema do https com gmail?
-
Instale o squid2, que resolve seu problema.
Certeza; -
Instale o squid2, que resolve seu problema.
e infelizmente insere outros… :( (connection aborted)
-
Srs,
Solução para o problema de SQUID3 com o sites vinculados ao Google, tenho vários firewalls recentemente apresentando esse problema.
Minhas Versões:
2.0.1-RELEASE (i386) built on Mon Dec 12 19:00:03 EST 2011 FreeBSD 8.1-RELEASE-p6
Installed: 3.1.20 pkg 2.0.5_2Não tenho dansguardian, ou squidguardian.
Pelas pesquisas que fiz, a partir da versão do squid 3.1.9 o Ipv6 já vem ativo por padrão no SQUID e caso o SO tenha compatibilidade com o IPv6 ele ira tentar trabalhar com IPv6, detalhe, não tenho configuração de IPs em IPv6 nos meus firewalls.
Verifiquei também que ao resolver o nome accounts.google.com não retorna IPv6 nenhuma vez.
Porem no access.log apresenta o erro:
1345732006.156 20 192.168.0.101 TCP_MISS/503 0 CONNECT accounts.google.com:443 - DIRECT/- -Podem ver que não aprece o IP após o directy vejam como fica quando funciona:
1345732738.458 1026 192.168.0.160 TCP_MISS/200 15489 CONNECT accounts.google.com:443 - DIRECT/74.125.137.84 -SOLUÇÃO:
Não temos como recompilar o squid3 desabilitando o suporte a IPv6 que vem habilitado por padrão.
Tentei alterar as configurações de sysctl do FreeBSD desabilitando também o reconhecimento de IPv6 pelo squid.Por último o que resolveu meu problema e validei, foi adicionar a seguinte configuração em Custom Options do squid:
dns_v4_first onBom isso foi o suficiente para não ter mais o erro ao logar e deslogar do GMAIL,GLOBO e IG.
Espero ter ajudado.
Abs
-
Excelente dica filipisilva! Pelos testes iniciais que fiz… resolveu o problema. :D
Obrigado pela dica.
-
Excelente! Parabéns Felipesilva!!!
Até agora funcionando corretamente aqui.
-
nos meus testes ainda aparece tcp_miss/503 algumas vezes no gmail.com por exemplo, mas o problema da tela branca parece ter sido resolvido.
Porém surgiu um outro problema que pode ser minha instalação, mas, quando dou um ctrl+f5 no gmail não abre a página, da erro como se não tivesse conexão, mas volta a funcionar depois de outro refresh. Aconteceu tb com play.google.com e o proprio google. Outro dominio não da problema.
Google Zicado ") -
SOLUÇÃO:
Não temos como recompilar o squid3 desabilitando o suporte a IPv6 que vem habilitado por padrão.
Tentei alterar as configurações de sysctl do FreeBSD desabilitando também o reconhecimento de IPv6 pelo squid.Por último o que resolveu meu problema e validei, foi adicionar a seguinte configuração em Custom Options do squid:
dns_v4_first onPrimeiramente, bem vindo ao fórum! :)
Excelente contribuição. Assim que tiver tempo, vou incluir esta opção na gui do pacote.
Realmente não temos como desabilitar o ipv6 do squid, a versão 2.1 do pfsense tem suporte nativo a ele.Obrigado pela ajuda, coloquei seu post nos tutoriais para proxy.
-
filipisilva,
Parabéns fera !!!!
;D -
Marcelloc,
Tem como jogar uma versão com essa opção compilada no seu repositório?
Sei que com o IPv6 logo teremos que escolher entre endereços das duas versões do IP, mas pra agora seria muito útil.
Isso se você tiver tempo… ;D