Proxy Autenticado e Mult WAN
-
Hello folks.
O negócio é o seguinte: tenho o pfSense configurado com MultiWAN e proxy transparente funcionando ok. Contudo agora preciso de fazer o proxy autenticar, contudo não tem dado certo!
Eu configuro tudo de acordo com os tutoriais. Abro o navegador e a janela de autenticação aparece, contudo não está autenticando!
Eu fiz um teste com uma VM do pfSense (sem multiWAN) e funcionou ok nela, mas no meu server mesmo não funfa!Eu procurei logs acerca do possível problema, contudo não achei logs
nem o arquivo de log certo, eu acho!Teria alguma configuração do squid para funcionar autenticado com multiWAN?
-
A autenticação deve funcionar independente da quantidade de WANs. Qual a base de autenticação que está usando?
-
A autenticação deve funcionar independente da quantidade de WANs. Qual a base de autenticação que está usando?
To usando ldap
é bem estranho isso.
ele abre a tela de autenticação, eu coloco usuário e senha corretos, e ele volta para a tela de autenticação! -
Consegue ver a comunicação via tcpdump entre o pfsense e o ad?
Tem alguma mensagem de erro no log do squid ou na interface web do pfsense?
-
Consegue ver a comunicação via tcpdump entre o pfsense e o ad?
Tem alguma mensagem de erro no log do squid ou na interface web do pfsense?
no wireshark percebi o seguite:
No. Time Source Destination Protocol Length Info 1336 9.345176000 192.168.0.108 192.168.0.32 TCP 54 37781 > ndl-aas [FIN, ACK] Seq=552 Ack=1731 Win=65700 Len=0 Frame 1336: 54 bytes on wire (432 bits), 54 bytes captured (432 bits) on interface 0 Interface id: 0 Encapsulation type: Ethernet (1) Arrival Time: Sep 19, 2013 18:23:11.797016000 Hora oficial do Brasil [time] Epoch Time: 1379625791.797016000 seconds [time] [time] [time] Frame Number: 1336 Frame Length: 54 bytes (432 bits) Capture Length: 54 bytes (432 bits) [Frame is marked: False] [Frame is ignored: False] [Protocols in frame: eth:ip:tcp] [Coloring Rule Name: Checksum Errors] [Coloring Rule String: eth.fcs_bad==1 || ip.checksum_bad==1 || tcp.checksum_bad==1 || udp.checksum_bad==1 || sctp.checksum_bad==1 || mstp.checksum_bad==1 || cdp.checksum_bad==1 || edp.checksum_bad==1 || wlan.fcs_bad==1] Ethernet II, Src: Dell_b8:e2:9d (00:23:ae:b8:e2:9d), Dst: Cellport_10:d1:92 (00:e0:53:10:d1:92) Destination: Cellport_10:d1:92 (00:e0:53:10:d1:92) Address: Cellport_10:d1:92 (00:e0:53:10:d1:92) .... ..0\. .... .... .... .... = LG bit: Globally unique address (factory default) .... ...0 .... .... .... .... = IG bit: Individual address (unicast) Source: Dell_b8:e2:9d (00:23:ae:b8:e2:9d) Address: Dell_b8:e2:9d (00:23:ae:b8:e2:9d) .... ..0\. .... .... .... .... = LG bit: Globally unique address (factory default) .... ...0 .... .... .... .... = IG bit: Individual address (unicast) Type: IP (0x0800) Internet Protocol Version 4, Src: 192.168.0.108 (192.168.0.108), Dst: 192.168.0.32 (192.168.0.32) Version: 4 Header length: 20 bytes Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport)) 0000 00.. = Differentiated Services Codepoint: Default (0x00) .... ..00 = Explicit Congestion Notification: Not-ECT (Not ECN-Capable Transport) (0x00) Total Length: 40 Identification: 0x02dd (733) Flags: 0x02 (Don't Fragment) 0... .... = Reserved bit: Not set .1.. .... = Don't fragment: Set ..0\. .... = More fragments: Not set Fragment offset: 0 Time to live: 128 Protocol: TCP (6) Header checksum: 0x0000 [incorrect, should be 0x7616 (may be caused by "IP checksum offload"?)] [Good: False] [Bad: True] [Expert Info (Error/Checksum): Bad checksum] [Message: Bad checksum] [Severity level: Error] [Group: Checksum] Source: 192.168.0.108 (192.168.0.108) Destination: 192.168.0.32 (192.168.0.32) [Source GeoIP: Unknown] [Destination GeoIP: Unknown] Transmission Control Protocol, Src Port: 37781 (37781), Dst Port: ndl-aas (3128), Seq: 552, Ack: 1731, Len: 0 Source port: 37781 (37781) Destination port: ndl-aas (3128) [Stream index: 8] Sequence number: 552 (relative sequence number) Acknowledgment number: 1731 (relative ack number) Header length: 20 bytes Flags: 0x011 (FIN, ACK) 000\. .... .... = Reserved: Not set ...0 .... .... = Nonce: Not set .... 0... .... = Congestion Window Reduced (CWR): Not set .... .0.. .... = ECN-Echo: Not set .... ..0\. .... = Urgent: Not set .... ...1 .... = Acknowledgment: Set .... .... 0... = Push: Not set .... .... .0.. = Reset: Not set .... .... ..0\. = Syn: Not set .... .... ...1 = Fin: Set [Expert Info (Chat/Sequence): Connection finish (FIN)] [Message: Connection finish (FIN)] [Severity level: Chat] [Group: Sequence] Window size value: 16425 [Calculated window size: 65700] [Window size scaling factor: 4] Checksum: 0x81f7 [validation disabled] [Good Checksum: False] [Bad Checksum: False] acho que o mais importante a se pegar dessa linha é: [code] Header checksum: 0x0000 [incorrect, should be 0x7616 (may be caused by "IP checksum offload"?)] [Good: False] [Bad: True] [Expert Info (Error/Checksum): Bad checksum] [Message: Bad checksum] [Severity level: Error] [Group: Checksum] Source: 192.168.0.108 (192.168.0.108) Destination: 192.168.0.32 (192.168.0.32) [Source GeoIP: Unknown] [Destination GeoIP: Unknown] [/code] verifiquei as configurações do pfSense e realmente o hardware cheksum offload está ativado (acho que é o padrão é!?)! deveria eu desativá-lo e testar? ou eu estou enganado sobre tal possivel solução? (não vou fazer isso agora porque tenho que ir embora!) fora isso nenhum outro erro foi apresentado. os logs que verifiquei foram os logs do firewall e do squidguard, que são os que estão disponíveis na interface web. onde posso achar logs mais adequados?[/time][/time][/time][/time]
-
Vamos em um nível mais simples, você vê em ambos os casos(vm e multiwan) o trafego entre o pfsense e o ad funcionando?
-
Verifique se as configurações do LDAP estão corretas. Você pode cadastrar o servidor em System > UserManager > Servers e depois testar a autenticação em Diagnostics > Authentication. Não sei como está a estrutura do seu LDAP mas eu uso uid=%s no LDAP search filter.
-
Verifique se as configurações do LDAP estão corretas. Você pode cadastrar o servidor em System > UserManager > Servers e depois testar a autenticação em Diagnostics > Authentication.
Fiz o teste. No início estava dando erro (acho que era a configuração), mas depois autenticou blz!
Não sei como está a estrutura do seu LDAP mas eu uso uid=%s no LDAP search filter.
Fiz desse jeito aí também, contudo ainda da erro!
Vamos em um nível mais simples, você vê em ambos os casos(vm e multiwan) o trafego entre o pfsense e o ad funcionando?
Eu não consegui identificar isso direito, mas parece que sim! E levando em conta que consegui autenticar no servidor, creio que isso mostra que há sim tráfego entre os dois! No entanto, ao autenticar no browser, continua dando erro. Verifiquei novamente no wireshark e está basicamente a mesma coisa!
Só pra constar também, eu desativei o checksum offload pra ver o que dava… Não deu em nada!
-
Você tem regras nas suas interfaces de rede forçando gateway?
Veja nos tutoriais aqui do fórum dicas sobre o tcpdump.
Monitorar na própria console/ssh é bem mais fácil e prático.
-
Você tem regras nas suas interfaces de rede forçando gateway?
Tenho sim. Tudo do jeito que mandam os tutoriais de multiwan + squid. Inclusive as regras flutuantes!
Veja nos tutoriais aqui do fórum dicas sobre o tcpdump.
Monitorar na própria console/ssh é bem mais fácil e prático.
Não vi os tutoriais ainda, vou dar uma olhada. Contudo eu usei o tcpdump pelo ssh diretamente o pfSense também!
Eu dei um tcpdump | grep 389 e variações afins pra tentar afinar a busca, mas os resultados não me mostraram muito. -
@UnDr3aD:
Tenho sim. Tudo do jeito que mandam os tutoriais de multiwan + squid. Inclusive as regras flutuantes!
Lembre de criar as regras que permitem a comunicação interna sem forçar um gateway.
uma regra * * * * * * gateway X pode acabar com sua comunicação interna.
-
Lembre de criar as regras que permitem a comunicação interna sem forçar um gateway.
uma regra * * * * * * gateway X pode acabar com sua comunicação interna.
Fiz um liberando geral aqui e coloquei como ultima opção, ficou assim:
IPv4 * * * * * LoadBalance none Controle de Banda IPv4 * * * * * * none Viva La Liberdad
-
Essas regras vão te dar trabalho mais cedo ou mais tarde.
Crie uma antes do balanceamento liberando qualquer tráfego local. -
Essas regras vão te dar trabalho mais cedo ou mais tarde.
Crie uma antes do balanceamento liberando qualquer tráfego local.hmmm saquei agora.
fiz isso aqui antes do balanceamento.IPv4 * LAN net * LAN net * * none Viva La Liberdad
-
Pessoal, continuei minha saga!
Resolvi fazer uma nova VM no XenServer pro pfSense.
Instalei o squid3-dev e o pacote squidguard-squid3.
Os testes de autenticação estão dando certo lá do menu de diagnósticos, contudo o novo problema:abro o browser (já configurado pra pegar o proxy) e o prompt para autenticação não aparece!!!!!!!!
ideias????
-
@UnDr3aD:
Abro o browser (já configurado pra pegar o proxy) e o prompt para autenticação não aparece!!!!!!!!
ideias????
Você já perguntou isso em outro tópico.
http://forum.pfsense.org/index.php/topic,62263.msg366962.html#msg366962 -
system.log
/pkg_edit.php: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure -f /usr/pbi/squid-amd64/etc/squid/squid.conf' returned exit code '1', the output was 'squid: ERROR: No running copy'
Não estou conseguindo resolver isso.
-
@UnDr3aD:
system.log
/pkg_edit.php: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure -f /usr/pbi/squid-amd64/etc/squid/squid.conf' returned exit code '1', the output was 'squid: ERROR: No running copy'
Não estou conseguindo resolver isso.
Isto só comunica que o serviço do Squid estava desativado quando você aplicou alguma alteração. Verifique linhas próximas a essa para erros apontando para o SQUID.
-
Isto só comunica que o serviço do Squid estava desativado quando você aplicou alguma alteração. Verifique linhas próximas a essa para erros apontando para o SQUID.
grep -i squid /var/log/system.log
Sep 24 14:57:50 medivh php: /pkg_edit.php: Reloading Squid for configuration sync Sep 24 14:57:50 medivh php: /pkg_edit.php: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure -f /usr/pbi/squid-amd64/etc/squid/squid.conf' returned exit code '1', the output was 'squid: ERROR: No running copy' Sep 24 15:09:45 medivh php: /pkg_edit.php: [Squid] - Squid_resync function call pr:1 bp: rpc:no Sep 24 15:09:46 medivh php: /pkg_edit.php: Reloading Squid for configuration sync Sep 24 15:09:46 medivh php: /pkg_edit.php: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure -f /usr/pbi/squid-amd64/etc/squid/squid.conf' returned exit code '1', the output was 'squid: ERROR: No running copy' Sep 24 15:09:46 medivh php: /pkg_edit.php: [Squid] - Squid_resync function call pr:1 bp: rpc:no Sep 24 15:09:47 medivh php: /pkg_edit.php: Reloading Squid for configuration sync Sep 24 15:09:47 medivh php: /pkg_edit.php: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure -f /usr/pbi/squid-amd64/etc/squid/squid.conf' returned exit code '1', the output was 'squid: ERROR: No running copy' Sep 24 15:12:23 medivh php: /pkg_edit.php: [Squid] - Squid_resync function call pr:1 bp: rpc:no Sep 24 15:12:24 medivh php: /pkg_edit.php: Reloading Squid for configuration sync Sep 24 15:12:24 medivh php: /pkg_edit.php: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure -f /usr/pbi/squid-amd64/etc/squid/squid.conf' returned exit code '1', the output was 'squid: ERROR: No running copy' Sep 24 15:12:24 medivh php: /pkg_edit.php: [Squid] - Squid_resync function call pr:1 bp: rpc:no Sep 24 15:12:25 medivh php: /pkg_edit.php: Reloading Squid for configuration sync Sep 24 15:12:25 medivh php: /pkg_edit.php: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure -f /usr/pbi/squid-amd64/etc/squid/squid.conf' returned exit code '1', the output was 'squid: ERROR: No running copy' Sep 24 15:13:14 medivh squid[15859]: Squid Parent: will start 1 kids Sep 24 15:13:14 medivh squid[15859]: Squid Parent: (squid-1) process 16319 started Sep 24 15:13:37 medivh php: /status_services.php: The command '/usr/local/etc/rc.d/squid.sh stop' returned exit code '1', the output was 'squid: No running copy' Sep 24 15:13:42 medivh php: /status_services.php: The command '/usr/local/etc/rc.d/squid.sh stop' returned exit code '1', the output was 'squid: No running copy' Sep 24 15:13:45 medivh squid[21886]: Squid Parent: will start 1 kids Sep 24 15:13:45 medivh squid[21886]: Squid Parent: (squid-1) process 22459 started Sep 24 15:15:46 medivh php: /status_services.php: The command '/usr/local/etc/rc.d/squid.sh stop' returned exit code '1', the output was 'squid: No running copy' Sep 24 15:16:26 medivh php: /status_services.php: The command '/usr/local/etc/rc.d/squid.sh stop' returned exit code '1', the output was 'squid: No running copy' Sep 24 15:16:28 medivh squid[73944]: Squid Parent: will start 1 kids Sep 24 15:16:28 medivh squid[73944]: Squid Parent: (squid-1) process 74581 started
não estou conseguindo identificar o porque de o prompt de autenticação não estar sendo apresentado no browser.
-
Só uma pergunta: Os Browsers que você testou estão com o Proxy configurado?