Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

    Scheduled Pinned Locked Moved Portuguese
    593 Posts 129 Posters 402.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • L
      lorigas
      last edited by

      @marcelloc:

      @LCantano:

      Os repositórios do marcelo estão ok. Através da web consigo baixar os pbi.
      Teria outro comando para usar no lugar do fetch ou eu que estou realmente fazendo coisa errada?

      veja se o seu pfsense esta resolvendo nomes dns corretamente.

      nslookup e-sac.siteseguro.ws

      Sim

      Name: e-sac.siteseguro.ws
      address: 187.xx.xxx.xxxx

      Lourivaldo Cantano
      Administrador de Redes

      1 Reply Last reply Reply Quote 0
      • marcellocM
        marcelloc
        last edited by

        @fabianoheringer:

        Sim atualizei ,conforme as instruções.

        Acabei de testar aqui na 2.1-RC0 e funcinou perfeitamente.

        Pode verificar o que voce tem nestes diretorios?

        • ls /usr/local/share/certs/

        • ls /usr/pbi/squid-amd64/share/certs/

        Segue print de um site com erro no certificado e outro site com certificado ok.
        Testei no firefox depois de instalar o CRT da CA do pfsense.
        O squid repassa a informação de site não confiável que ele econtrou, incluindo o texto "not trusted by" e o nome da CA configurada no squid.
        O segundo print mostra o site do google sem qualquer alerta por parte do browser, afinal ele confia na "Internal-ca".

        site_sem_erro_de_certificado.png
        site_sem_erro_de_certificado.png_thumb
        site_com_erro_de_certificado.png
        site_com_erro_de_certificado.png_thumb

        Treinamentos de Elite: http://sys-squad.com

        Help a community developer! ;D

        1 Reply Last reply Reply Quote 0
        • F
          fabianoheringer
          last edited by

          @marcelloc:

          @fabianoheringer:

          Sim atualizei ,conforme as instruções.

          Acabei de testar aqui na 2.1-RC0 e funcinou perfeitamente.

          Pode verificar o que voce tem nestes diretorios?

          • ls /usr/local/share/certs/

          • ls /usr/pbi/squid-amd64/share/certs/

          Segue print de um site com erro no certificado e outro site com certificado ok.
          Testei no firefox depois de instalar o CRT da CA do pfsense.
          O squid repassa a informação de site não confiável que ele econtrou, incluindo o texto "not trusted by" e o nome da CA configurada no squid.
          O segundo print mostra o site do google sem qualquer alerta por parte do browser, afinal ele confia na "Internal-ca".

          O meu caso está dando exatamente este erro "Not Trusted", o mais estranho que é só em alguns sites, por exemplo: hotmail, facebook e gmail, acessam normalmente, mas sites de bancos, receita e outros dá esse erro…

          No meu nao existe nenhum destes diretorios, isso é normal?

          Abracos.

          1 Reply Last reply Reply Quote 0
          • L
            lorigas
            last edited by

            @LCantano:

            @marcelloc:

            @LCantano:

            Os repositórios do marcelo estão ok. Através da web consigo baixar os pbi.
            Teria outro comando para usar no lugar do fetch ou eu que estou realmente fazendo coisa errada?

            veja se o seu pfsense esta resolvendo nomes dns corretamente.

            nslookup e-sac.siteseguro.ws

            Sim

            Name: e-sac.siteseguro.ws
            address: 187.xx.xxx.xxxx

            Boa noite Marcelo

            Não consegui rodar o fetch mais efetuei o download pelo navegador e copiei os arquivos para o pf através do winscp.

            Continuei com o procedimento. E consegui instalar o pacote.

            As libs tive que copiar conforme inicio do post através do seu repositório.
            Reinicie o PFSense e o squid subiu. Efetuei as configurações do squid e squidguard. Instalei o certificado gerado no pfsense na maquina de teste e aparentemente está tudo ok.
            Vou efetuar mais testes amanhã.

            Obrigado

            Lourivaldo Cantano
            Administrador de Redes

            1 Reply Last reply Reply Quote 0
            • G
              gst.freitas
              last edited by

              Não consigo acessar o gmail usando a SSL habilitada

              "O certificado de segurança do site não é confiável." e não dar opção para aceitar.. coloquei em writelist "*.gmail.com" e nada..

              1 Reply Last reply Reply Quote 0
              • marcellocM
                marcelloc
                last edited by

                @fabianoheringer:

                No meu nao existe nenhum destes diretorios, isso é normal?

                Não, eles deveriam existir.

                É neste diretório que ficam os certificados das CAS confiáveis do mundo inteiro.

                Treinamentos de Elite: http://sys-squad.com

                Help a community developer! ;D

                1 Reply Last reply Reply Quote 0
                • marcellocM
                  marcelloc
                  last edited by

                  @gst.freitas:

                  Não consigo acessar o gmail usando a SSL habilitada

                  Confere os diretorios que postei logo acima.

                  @gst.freitas:

                  "O certificado de segurança do site não é confiável." e não dar opção para aceitar.. coloquei em writelist "*.gmail.com" e nada..

                  A whitelist do squid não tem *, só o .gmail.com

                  Treinamentos de Elite: http://sys-squad.com

                  Help a community developer! ;D

                  1 Reply Last reply Reply Quote 0
                  • marcellocM
                    marcelloc
                    last edited by

                    O mantenedor finalmente atualizou o squid 3.3.5 no ports do freebsd e hoje o jimp disponibilizou-o no repositório oficial.

                    Atualizei o procedimento de instalação no primerio post deste tópico.

                    Treinamentos de Elite: http://sys-squad.com

                    Help a community developer! ;D

                    1 Reply Last reply Reply Quote 0
                    • T
                      thiagomespb
                      last edited by

                      Marcelo,

                      não tenho esse diretório na versão 2.1

                      ls /usr/local/share/certs/
                      

                      apesar de usar certificados para o openvpn.

                      1 Reply Last reply Reply Quote 0
                      • marcellocM
                        marcelloc
                        last edited by

                        @thiagomespb:

                        não tenho esse diretório na versão 2.1

                        Veja se não está em /usr/pbi/squid-amd64/share/certs

                        ou um find / -name certs

                        Treinamentos de Elite: http://sys-squad.com

                        Help a community developer! ;D

                        1 Reply Last reply Reply Quote 0
                        • T
                          thiagomespb
                          last edited by

                          sim..

                          eles estão no diretorio

                          /usr/pbi/squid-i386/share/certs
                          

                          mas o erro continua.. não consigo usar o gmail..

                          1 Reply Last reply Reply Quote 0
                          • marcellocM
                            marcelloc
                            last edited by

                            @thiagomespb:

                            sim..

                            eles estão no diretorio

                            /usr/pbi/squid-i386/share/certs
                            

                            veja no squid.conf qual pasta certs está configurada.

                            no meu está apontando para a pasta correta:

                            http_port 172.xx:3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=10MB cert=/usr/pbi/squid-amd64/etc/squid/serverkey.pem capath=/usr/pbi/squid-amd64/share/certs/
                            
                            00673b5b.0      1e8e7201.0      3e7271e8.0      5e4e69e7.0      7a481e66.0      95aff9e3.0      bc3f2570.0      d16a5865.0      ee7cd6fb.0
                            02b73561.0      1eb37bdf.0      40dc992e.0      5f47b495.0      7a819ef2.0      9685a493.0      bcdd5959.0      d537fba6.0      ee90b008.0
                            052e396b.0      219d9499.0      418595b9.0      60afe812.0      7d3cd826.0      9772ca32.0      bda4cc84.0      d59297b8.0      f4996e82.0
                            08aef7bb.0      23f4c490.0      46b2fd3b.0      635ccfd5.0      7d453d8f.0      9d6523ce.0      bdacca6f.0      d64f06f3.0      f559733c.0
                            0d188d89.0      27af790d.0      48a195d8.0      67495436.0      81b9768f.0      9dbefe7b.0      bf64f35b.0      d78a75c7.0      f58a60fe.0
                            10531352.0      2afc57aa.0      4d654d1d.0      69105f4f.0      82223c44.0      9ec3a561.0      c19d42c7.0      d8274e24.0      f61bff45.0
                            111e6273.0      2d9dafe4.0      4e18c148.0      6adf0799.0      8317b10c.0      9f533518.0      c215bc69.0      dbc54cab.0      f80cc7f6.0
                            1155c94b.0      2edf7016.0      4fbd6bfa.0      6e8bf996.0      8470719d.0      a0bc6fbb.0      c33a80d4.0      ddc328ff.0      fac084d7.0
                            119afc2e.0      2fa87019.0      5021a0a2.0      6fcc125d.0      84cba82f.0      a15b3b6b.0      c3a6a9ad.0      e268a4c5.0      facacbc6.0
                            11a09b38.0      2fb1850a.0      5046c355.0      72f369af.0      85cde254.0      a2df7ad7.0      c51c224c.0      e48193cf.0      fb126c6d.0
                            11f154d6.0      33815e15.0      524d9b43.0      72fa7371.0      86212b19.0      a3896b44.0      c527e4ab.0      e60bf0c0.0      fde84897.0
                            124bbd54.0      343eb6cb.0      56b8a0b6.0      74c26bd0.0      87753b0d.0      a7605362.0      c7e2a638.0      e775ed2d.0      ff588423.0
                            12d55845.0      399e7759.0      57692373.0      755f7420.0      882de061.0      a7d2cf64.0      c8763593.0      e7b8d656.0      ff783690.0
                            17b51fe6.0      3a3b02ce.0      58a44af1.0      75680d2e.0      895cad1a.0      ab5346f4.0      ca-root-nss.crt e8651083.0
                            1dac3003.0      3ad48a91.0      594f1775.0      7651b327.0      89c02a45.0      add67345.0      ccb919f9.0      ea169617.0
                            1dcd6f4c.0      3c58f906.0      5a3f0ff8.0      76579174.0      8f7b96c4.0      aeb67534.0      ccc52f49.0      eb375c3e.0
                            1df5ec47.0      3c860d51.0      5a5372fc.0      7672ac4b.0      91739615.0      b0f3e76e.0      cdaebb72.0      ed524cf5.0
                            1e1eab7c.0      3d441de8.0      5cf9d536.0      7999be0d.0      9339512a.0      b7db1890.0      cf701eeb.0      ed62f4e3.0
                            
                            

                            Treinamentos de Elite: http://sys-squad.com

                            Help a community developer! ;D

                            1 Reply Last reply Reply Quote 0
                            • T
                              thiagomespb
                              last edited by

                              veja aqui

                              # This file is automatically generated by pfSense
                              # Do not edit manually !
                              
                              http_port 192.168.1.1:3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=10MB cert=/usr/pbi/squid-i386/etc/squid/serverkey.pem capath=/usr/pbi/squid-i386/share/certs/
                              
                              http_port 127.0.0.1:3128 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=10MB cert=/usr/pbi/squid-i386/etc/squid/serverkey.pem capath=/usr/pbi/squid-i386/share/certs/
                              
                              https_port 127.0.0.1:3127 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=10MB cert=/usr/pbi/squid-i386/etc/squid/serverkey.pem capath=/usr/pbi/squid-i386/share/certs/
                              
                              

                              veja o erro do google e o tweetdesk não conecta..

                              errocertificado.jpg
                              errocertificado.jpg_thumb

                              1 Reply Last reply Reply Quote 0
                              • marcellocM
                                marcelloc
                                last edited by

                                Tem certeza que você instalou o CRT da CA nesta máquina como unidade certificadora confiável?

                                certificado_instalado.png
                                certificado_instalado.png_thumb

                                Treinamentos de Elite: http://sys-squad.com

                                Help a community developer! ;D

                                1 Reply Last reply Reply Quote 0
                                • T
                                  thiagomespb
                                  last edited by

                                  desculpe,

                                  mas tenho que ter um CA de uma autoridade certificadora ?? eu usei o mesmo que faço para o openvpn
                                  que criei no pfsense.

                                  1 Reply Last reply Reply Quote 0
                                  • marcellocM
                                    marcelloc
                                    last edited by

                                    Você precisa de uma CA configurada no pfSense MaS enquanto você não instalar o certificado desta CA no seu browser/computador como CA confiável, seu browser não vai confiar nela.

                                    Este procedimento esta descrito no primeiro post.

                                    Treinamentos de Elite: http://sys-squad.com

                                    Help a community developer! ;D

                                    1 Reply Last reply Reply Quote 0
                                    • T
                                      thiagomespb
                                      last edited by

                                      instalei..o certificado

                                      funcionou somente no IE.. no chrome não.. ainda apresenta a mensagem..
                                      exclui até o cache do navegador e no squid

                                      aproveitando a deixa.. pq não cria uma opção para que o usuario limpar o cache do squid
                                      sem ser via console.. não seria uma boa ideia ?

                                      1 Reply Last reply Reply Quote 0
                                      • L
                                        lorigas
                                        last edited by

                                        Bom dia

                                        Efetuei a ativação do squid3-dev com filtro https. Porém mesmo com o certificado instalado na pasta de autoridades de certificação raiz confiáveis apresenta está mensagem de erro que está em anexo.

                                        Algumas maquinas o certificado instala mais não aparece na pasta.

                                        Já coloquei os sites na whitelist porém continua a mensagem de erro.

                                        Tive que desabilitar o filtro https para conseguir usar o exchange pois a mensagem aparecia de 5 em 5 min.

                                        Alguém teve este problema?

                                        ![erro Certificado.JPG_thumb](/public/imported_attachments/1/erro Certificado.JPG_thumb)
                                        ![erro Certificado.JPG](/public/imported_attachments/1/erro Certificado.JPG)

                                        Lourivaldo Cantano
                                        Administrador de Redes

                                        1 Reply Last reply Reply Quote 0
                                        • marcellocM
                                          marcelloc
                                          last edited by

                                          @LCantano:

                                          Tive que desabilitar o filtro https para conseguir usar o exchange pois a mensagem aparecia de 5 em 5 min.

                                          Alguém teve este problema?

                                          O erro diz que o certificado do seu exchange não é confiável.

                                          Você pode marcar a opção de ignorar erros de certificado na configuração do squid. Não é recomendado, mas resolve seu problema.

                                          Veja se a url de acesso do exchange esta correta na whitelist.

                                          Treinamentos de Elite: http://sys-squad.com

                                          Help a community developer! ;D

                                          1 Reply Last reply Reply Quote 0
                                          • L
                                            lorigas
                                            last edited by

                                            @marcelloc:

                                            O erro diz que o certificado do seu exchange não é confiável.

                                            Você pode marcar a opção de ignorar erros de certificado na configuração do squid. Não é recomendado, mas resolve seu problema.

                                            Veja se a url de acesso do exchange esta correta na whitelist.

                                            Bom dia

                                            Referente ao erro no certificado do exchange não consigo tornar ele confiável importando o mesmo de alguma maneira para o pf?

                                            Marcar a opção de ignorar erros só vai ocultar o problema não é isso? Fiz o procedimento porém o exchange não consegue ficar conectado. Fica perdendo conexão constantemente. Qual seria a maneira correta para resolver essa situação?

                                            As URLs tanto do exchange como do site da prefeitura que neste casso precisa usar certificado digital também consta na whitelist tanto do squid como no squidguard e mesmo assim apresenta erro no acesso. Ao colocar o site na whitelist do squid a mesma não deveria mais apresentar erros de certificado correto?

                                            Lourivaldo Cantano
                                            Administrador de Redes

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.