Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

lorigas

@LCantano:

Boa tarde galera

Estou efetuando a instalação do squid-dev conforme receita mais ao usar este comando no shell do pfsense fetch http://e-sac.siteseguro.ws/packages/8/All/squid-3.3.5-i386.pbi aparece a mensagem "not found"

O que estou fazendo errado?

A versão do PFSense é a 2.1 RC0 instalação nova
Efetuei somente a instalação do squidguard e logo após o squid3-dev através do system/packages

Comecei o procedimento de alteração do squid através do shell:

pbi_delete squid-3.3.4-i386 comando ok
fetch http://e-sac.siteseguro.ws/packages/8/All/squid-3.3.5-i386.pbi not found

Agradeço a todos a ajuda

Os repositórios do marcelo estão ok. Através da web consigo baixar os pbi.
Teria outro comando para usar no lugar do fetch ou eu que estou realmente fazendo coisa errada?

fabianoheringer

@marcelloc:

@fabianoheringer:

Estou usando a 2.1-RC0

Atualizou o pbi do meu repositório?

Sim atualizei ,conforme as instruções.

marcelloc

@LCantano:

Os repositórios do marcelo estão ok. Através da web consigo baixar os pbi.
Teria outro comando para usar no lugar do fetch ou eu que estou realmente fazendo coisa errada?

veja se o seu pfsense esta resolvendo nomes dns corretamente.

nslookup e-sac.siteseguro.ws

lorigas

@marcelloc:

@LCantano:

Os repositórios do marcelo estão ok. Através da web consigo baixar os pbi.
Teria outro comando para usar no lugar do fetch ou eu que estou realmente fazendo coisa errada?

veja se o seu pfsense esta resolvendo nomes dns corretamente.

nslookup e-sac.siteseguro.ws

Sim

Name: e-sac.siteseguro.ws
address: 187.xx.xxx.xxxx

marcelloc

@fabianoheringer:

Sim atualizei ,conforme as instruções.

Acabei de testar aqui na 2.1-RC0 e funcinou perfeitamente.

Pode verificar o que voce tem nestes diretorios?

ls /usr/local/share/certs/
ls /usr/pbi/squid-amd64/share/certs/

Segue print de um site com erro no certificado e outro site com certificado ok.
Testei no firefox depois de instalar o CRT da CA do pfsense.
O squid repassa a informação de site não confiável que ele econtrou, incluindo o texto "not trusted by" e o nome da CA configurada no squid.
O segundo print mostra o site do google sem qualquer alerta por parte do browser, afinal ele confia na "Internal-ca".

site_sem_erro_de_certificado.png_thumb

site_com_erro_de_certificado.png_thumb

fabianoheringer

@marcelloc:

@fabianoheringer:

Sim atualizei ,conforme as instruções.

Acabei de testar aqui na 2.1-RC0 e funcinou perfeitamente.

Pode verificar o que voce tem nestes diretorios?

ls /usr/local/share/certs/

ls /usr/pbi/squid-amd64/share/certs/

Segue print de um site com erro no certificado e outro site com certificado ok.
Testei no firefox depois de instalar o CRT da CA do pfsense.
O squid repassa a informação de site não confiável que ele econtrou, incluindo o texto "not trusted by" e o nome da CA configurada no squid.
O segundo print mostra o site do google sem qualquer alerta por parte do browser, afinal ele confia na "Internal-ca".

O meu caso está dando exatamente este erro "Not Trusted", o mais estranho que é só em alguns sites, por exemplo: hotmail, facebook e gmail, acessam normalmente, mas sites de bancos, receita e outros dá esse erro…

No meu nao existe nenhum destes diretorios, isso é normal?

Abracos.

lorigas

@LCantano:

@marcelloc:

@LCantano:

Os repositórios do marcelo estão ok. Através da web consigo baixar os pbi.
Teria outro comando para usar no lugar do fetch ou eu que estou realmente fazendo coisa errada?

veja se o seu pfsense esta resolvendo nomes dns corretamente.

nslookup e-sac.siteseguro.ws

Sim

Name: e-sac.siteseguro.ws
address: 187.xx.xxx.xxxx

Boa noite Marcelo

Não consegui rodar o fetch mais efetuei o download pelo navegador e copiei os arquivos para o pf através do winscp.

Continuei com o procedimento. E consegui instalar o pacote.

As libs tive que copiar conforme inicio do post através do seu repositório.
Reinicie o PFSense e o squid subiu. Efetuei as configurações do squid e squidguard. Instalei o certificado gerado no pfsense na maquina de teste e aparentemente está tudo ok.
Vou efetuar mais testes amanhã.

Obrigado

gst.freitas

Não consigo acessar o gmail usando a SSL habilitada

"O certificado de segurança do site não é confiável." e não dar opção para aceitar.. coloquei em writelist "*.gmail.com" e nada..

marcelloc

@fabianoheringer:

No meu nao existe nenhum destes diretorios, isso é normal?

Não, eles deveriam existir.

É neste diretório que ficam os certificados das CAS confiáveis do mundo inteiro.

marcelloc

@gst.freitas:

Não consigo acessar o gmail usando a SSL habilitada

Confere os diretorios que postei logo acima.

@gst.freitas:

"O certificado de segurança do site não é confiável." e não dar opção para aceitar.. coloquei em writelist "*.gmail.com" e nada..

A whitelist do squid não tem *, só o .gmail.com

marcelloc

O mantenedor finalmente atualizou o squid 3.3.5 no ports do freebsd e hoje o jimp disponibilizou-o no repositório oficial.

Atualizei o procedimento de instalação no primerio post deste tópico.

thiagomespb

Marcelo,

não tenho esse diretório na versão 2.1

ls /usr/local/share/certs/

apesar de usar certificados para o openvpn.

marcelloc

@thiagomespb:

não tenho esse diretório na versão 2.1

Veja se não está em /usr/pbi/squid-amd64/share/certs

ou um find / -name certs

thiagomespb

sim..

eles estão no diretorio

/usr/pbi/squid-i386/share/certs

mas o erro continua.. não consigo usar o gmail..

marcelloc

@thiagomespb:

sim..

eles estão no diretorio
/usr/pbi/squid-i386/share/certs

veja no squid.conf qual pasta certs está configurada.

no meu está apontando para a pasta correta:

http_port 172.xx:3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=10MB cert=/usr/pbi/squid-amd64/etc/squid/serverkey.pem capath=/usr/pbi/squid-amd64/share/certs/

00673b5b.0      1e8e7201.0      3e7271e8.0      5e4e69e7.0      7a481e66.0      95aff9e3.0      bc3f2570.0      d16a5865.0      ee7cd6fb.0
02b73561.0      1eb37bdf.0      40dc992e.0      5f47b495.0      7a819ef2.0      9685a493.0      bcdd5959.0      d537fba6.0      ee90b008.0
052e396b.0      219d9499.0      418595b9.0      60afe812.0      7d3cd826.0      9772ca32.0      bda4cc84.0      d59297b8.0      f4996e82.0
08aef7bb.0      23f4c490.0      46b2fd3b.0      635ccfd5.0      7d453d8f.0      9d6523ce.0      bdacca6f.0      d64f06f3.0      f559733c.0
0d188d89.0      27af790d.0      48a195d8.0      67495436.0      81b9768f.0      9dbefe7b.0      bf64f35b.0      d78a75c7.0      f58a60fe.0
10531352.0      2afc57aa.0      4d654d1d.0      69105f4f.0      82223c44.0      9ec3a561.0      c19d42c7.0      d8274e24.0      f61bff45.0
111e6273.0      2d9dafe4.0      4e18c148.0      6adf0799.0      8317b10c.0      9f533518.0      c215bc69.0      dbc54cab.0      f80cc7f6.0
1155c94b.0      2edf7016.0      4fbd6bfa.0      6e8bf996.0      8470719d.0      a0bc6fbb.0      c33a80d4.0      ddc328ff.0      fac084d7.0
119afc2e.0      2fa87019.0      5021a0a2.0      6fcc125d.0      84cba82f.0      a15b3b6b.0      c3a6a9ad.0      e268a4c5.0      facacbc6.0
11a09b38.0      2fb1850a.0      5046c355.0      72f369af.0      85cde254.0      a2df7ad7.0      c51c224c.0      e48193cf.0      fb126c6d.0
11f154d6.0      33815e15.0      524d9b43.0      72fa7371.0      86212b19.0      a3896b44.0      c527e4ab.0      e60bf0c0.0      fde84897.0
124bbd54.0      343eb6cb.0      56b8a0b6.0      74c26bd0.0      87753b0d.0      a7605362.0      c7e2a638.0      e775ed2d.0      ff588423.0
12d55845.0      399e7759.0      57692373.0      755f7420.0      882de061.0      a7d2cf64.0      c8763593.0      e7b8d656.0      ff783690.0
17b51fe6.0      3a3b02ce.0      58a44af1.0      75680d2e.0      895cad1a.0      ab5346f4.0      ca-root-nss.crt e8651083.0
1dac3003.0      3ad48a91.0      594f1775.0      7651b327.0      89c02a45.0      add67345.0      ccb919f9.0      ea169617.0
1dcd6f4c.0      3c58f906.0      5a3f0ff8.0      76579174.0      8f7b96c4.0      aeb67534.0      ccc52f49.0      eb375c3e.0
1df5ec47.0      3c860d51.0      5a5372fc.0      7672ac4b.0      91739615.0      b0f3e76e.0      cdaebb72.0      ed524cf5.0
1e1eab7c.0      3d441de8.0      5cf9d536.0      7999be0d.0      9339512a.0      b7db1890.0      cf701eeb.0      ed62f4e3.0

thiagomespb

veja aqui

# This file is automatically generated by pfSense
# Do not edit manually !

http_port 192.168.1.1:3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=10MB cert=/usr/pbi/squid-i386/etc/squid/serverkey.pem capath=/usr/pbi/squid-i386/share/certs/

http_port 127.0.0.1:3128 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=10MB cert=/usr/pbi/squid-i386/etc/squid/serverkey.pem capath=/usr/pbi/squid-i386/share/certs/

https_port 127.0.0.1:3127 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=10MB cert=/usr/pbi/squid-i386/etc/squid/serverkey.pem capath=/usr/pbi/squid-i386/share/certs/

veja o erro do google e o tweetdesk não conecta..

errocertificado.jpg_thumb

marcelloc

Tem certeza que você instalou o CRT da CA nesta máquina como unidade certificadora confiável?

certificado_instalado.png_thumb

thiagomespb

desculpe,

mas tenho que ter um CA de uma autoridade certificadora ?? eu usei o mesmo que faço para o openvpn
que criei no pfsense.

marcelloc

Você precisa de uma CA configurada no pfSense MaS enquanto você não instalar o certificado desta CA no seu browser/computador como CA confiável, seu browser não vai confiar nela.

Este procedimento esta descrito no primeiro post.

thiagomespb

instalei..o certificado

funcionou somente no IE.. no chrome não.. ainda apresenta a mensagem..
exclui até o cache do navegador e no squid

aproveitando a deixa.. pq não cria uma opção para que o usuario limpar o cache do squid
sem ser via console.. não seria uma boa ideia ?