Proxy Autenticado e Mult WAN
-
Consegue ver a comunicação via tcpdump entre o pfsense e o ad?
Tem alguma mensagem de erro no log do squid ou na interface web do pfsense?
no wireshark percebi o seguite:
No. Time Source Destination Protocol Length Info 1336 9.345176000 192.168.0.108 192.168.0.32 TCP 54 37781 > ndl-aas [FIN, ACK] Seq=552 Ack=1731 Win=65700 Len=0 Frame 1336: 54 bytes on wire (432 bits), 54 bytes captured (432 bits) on interface 0 Interface id: 0 Encapsulation type: Ethernet (1) Arrival Time: Sep 19, 2013 18:23:11.797016000 Hora oficial do Brasil [time] Epoch Time: 1379625791.797016000 seconds [time] [time] [time] Frame Number: 1336 Frame Length: 54 bytes (432 bits) Capture Length: 54 bytes (432 bits) [Frame is marked: False] [Frame is ignored: False] [Protocols in frame: eth:ip:tcp] [Coloring Rule Name: Checksum Errors] [Coloring Rule String: eth.fcs_bad==1 || ip.checksum_bad==1 || tcp.checksum_bad==1 || udp.checksum_bad==1 || sctp.checksum_bad==1 || mstp.checksum_bad==1 || cdp.checksum_bad==1 || edp.checksum_bad==1 || wlan.fcs_bad==1] Ethernet II, Src: Dell_b8:e2:9d (00:23:ae:b8:e2:9d), Dst: Cellport_10:d1:92 (00:e0:53:10:d1:92) Destination: Cellport_10:d1:92 (00:e0:53:10:d1:92) Address: Cellport_10:d1:92 (00:e0:53:10:d1:92) .... ..0\. .... .... .... .... = LG bit: Globally unique address (factory default) .... ...0 .... .... .... .... = IG bit: Individual address (unicast) Source: Dell_b8:e2:9d (00:23:ae:b8:e2:9d) Address: Dell_b8:e2:9d (00:23:ae:b8:e2:9d) .... ..0\. .... .... .... .... = LG bit: Globally unique address (factory default) .... ...0 .... .... .... .... = IG bit: Individual address (unicast) Type: IP (0x0800) Internet Protocol Version 4, Src: 192.168.0.108 (192.168.0.108), Dst: 192.168.0.32 (192.168.0.32) Version: 4 Header length: 20 bytes Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport)) 0000 00.. = Differentiated Services Codepoint: Default (0x00) .... ..00 = Explicit Congestion Notification: Not-ECT (Not ECN-Capable Transport) (0x00) Total Length: 40 Identification: 0x02dd (733) Flags: 0x02 (Don't Fragment) 0... .... = Reserved bit: Not set .1.. .... = Don't fragment: Set ..0\. .... = More fragments: Not set Fragment offset: 0 Time to live: 128 Protocol: TCP (6) Header checksum: 0x0000 [incorrect, should be 0x7616 (may be caused by "IP checksum offload"?)] [Good: False] [Bad: True] [Expert Info (Error/Checksum): Bad checksum] [Message: Bad checksum] [Severity level: Error] [Group: Checksum] Source: 192.168.0.108 (192.168.0.108) Destination: 192.168.0.32 (192.168.0.32) [Source GeoIP: Unknown] [Destination GeoIP: Unknown] Transmission Control Protocol, Src Port: 37781 (37781), Dst Port: ndl-aas (3128), Seq: 552, Ack: 1731, Len: 0 Source port: 37781 (37781) Destination port: ndl-aas (3128) [Stream index: 8] Sequence number: 552 (relative sequence number) Acknowledgment number: 1731 (relative ack number) Header length: 20 bytes Flags: 0x011 (FIN, ACK) 000\. .... .... = Reserved: Not set ...0 .... .... = Nonce: Not set .... 0... .... = Congestion Window Reduced (CWR): Not set .... .0.. .... = ECN-Echo: Not set .... ..0\. .... = Urgent: Not set .... ...1 .... = Acknowledgment: Set .... .... 0... = Push: Not set .... .... .0.. = Reset: Not set .... .... ..0\. = Syn: Not set .... .... ...1 = Fin: Set [Expert Info (Chat/Sequence): Connection finish (FIN)] [Message: Connection finish (FIN)] [Severity level: Chat] [Group: Sequence] Window size value: 16425 [Calculated window size: 65700] [Window size scaling factor: 4] Checksum: 0x81f7 [validation disabled] [Good Checksum: False] [Bad Checksum: False] acho que o mais importante a se pegar dessa linha é: [code] Header checksum: 0x0000 [incorrect, should be 0x7616 (may be caused by "IP checksum offload"?)] [Good: False] [Bad: True] [Expert Info (Error/Checksum): Bad checksum] [Message: Bad checksum] [Severity level: Error] [Group: Checksum] Source: 192.168.0.108 (192.168.0.108) Destination: 192.168.0.32 (192.168.0.32) [Source GeoIP: Unknown] [Destination GeoIP: Unknown] [/code] verifiquei as configurações do pfSense e realmente o hardware cheksum offload está ativado (acho que é o padrão é!?)! deveria eu desativá-lo e testar? ou eu estou enganado sobre tal possivel solução? (não vou fazer isso agora porque tenho que ir embora!) fora isso nenhum outro erro foi apresentado. os logs que verifiquei foram os logs do firewall e do squidguard, que são os que estão disponíveis na interface web. onde posso achar logs mais adequados?[/time][/time][/time][/time] -
Vamos em um nível mais simples, você vê em ambos os casos(vm e multiwan) o trafego entre o pfsense e o ad funcionando?
-
Verifique se as configurações do LDAP estão corretas. Você pode cadastrar o servidor em System > UserManager > Servers e depois testar a autenticação em Diagnostics > Authentication. Não sei como está a estrutura do seu LDAP mas eu uso uid=%s no LDAP search filter.
-
Verifique se as configurações do LDAP estão corretas. Você pode cadastrar o servidor em System > UserManager > Servers e depois testar a autenticação em Diagnostics > Authentication.
Fiz o teste. No início estava dando erro (acho que era a configuração), mas depois autenticou blz!
Não sei como está a estrutura do seu LDAP mas eu uso uid=%s no LDAP search filter.
Fiz desse jeito aí também, contudo ainda da erro!
Vamos em um nível mais simples, você vê em ambos os casos(vm e multiwan) o trafego entre o pfsense e o ad funcionando?
Eu não consegui identificar isso direito, mas parece que sim! E levando em conta que consegui autenticar no servidor, creio que isso mostra que há sim tráfego entre os dois! No entanto, ao autenticar no browser, continua dando erro. Verifiquei novamente no wireshark e está basicamente a mesma coisa!
Só pra constar também, eu desativei o checksum offload pra ver o que dava… Não deu em nada!
-
Você tem regras nas suas interfaces de rede forçando gateway?
Veja nos tutoriais aqui do fórum dicas sobre o tcpdump.
Monitorar na própria console/ssh é bem mais fácil e prático.
-
Você tem regras nas suas interfaces de rede forçando gateway?
Tenho sim. Tudo do jeito que mandam os tutoriais de multiwan + squid. Inclusive as regras flutuantes!
Veja nos tutoriais aqui do fórum dicas sobre o tcpdump.
Monitorar na própria console/ssh é bem mais fácil e prático.
Não vi os tutoriais ainda, vou dar uma olhada. Contudo eu usei o tcpdump pelo ssh diretamente o pfSense também!
Eu dei um tcpdump | grep 389 e variações afins pra tentar afinar a busca, mas os resultados não me mostraram muito. -
@UnDr3aD:
Tenho sim. Tudo do jeito que mandam os tutoriais de multiwan + squid. Inclusive as regras flutuantes!
Lembre de criar as regras que permitem a comunicação interna sem forçar um gateway.
uma regra * * * * * * gateway X pode acabar com sua comunicação interna.
-
Lembre de criar as regras que permitem a comunicação interna sem forçar um gateway.
uma regra * * * * * * gateway X pode acabar com sua comunicação interna.
Fiz um liberando geral aqui e coloquei como ultima opção, ficou assim:
IPv4 * * * * * LoadBalance none Controle de Banda IPv4 * * * * * * none Viva La Liberdad -
Essas regras vão te dar trabalho mais cedo ou mais tarde.
Crie uma antes do balanceamento liberando qualquer tráfego local. -
Essas regras vão te dar trabalho mais cedo ou mais tarde.
Crie uma antes do balanceamento liberando qualquer tráfego local.hmmm saquei agora.
fiz isso aqui antes do balanceamento.IPv4 * LAN net * LAN net * * none Viva La Liberdad -
Pessoal, continuei minha saga!
Resolvi fazer uma nova VM no XenServer pro pfSense.
Instalei o squid3-dev e o pacote squidguard-squid3.
Os testes de autenticação estão dando certo lá do menu de diagnósticos, contudo o novo problema:abro o browser (já configurado pra pegar o proxy) e o prompt para autenticação não aparece!!!!!!!!
ideias????
-
@UnDr3aD:
Abro o browser (já configurado pra pegar o proxy) e o prompt para autenticação não aparece!!!!!!!!
ideias????
Você já perguntou isso em outro tópico.
http://forum.pfsense.org/index.php/topic,62263.msg366962.html#msg366962 -
system.log
/pkg_edit.php: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure -f /usr/pbi/squid-amd64/etc/squid/squid.conf' returned exit code '1', the output was 'squid: ERROR: No running copy'Não estou conseguindo resolver isso.
-
@UnDr3aD:
system.log
/pkg_edit.php: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure -f /usr/pbi/squid-amd64/etc/squid/squid.conf' returned exit code '1', the output was 'squid: ERROR: No running copy'Não estou conseguindo resolver isso.
Isto só comunica que o serviço do Squid estava desativado quando você aplicou alguma alteração. Verifique linhas próximas a essa para erros apontando para o SQUID.
-
Isto só comunica que o serviço do Squid estava desativado quando você aplicou alguma alteração. Verifique linhas próximas a essa para erros apontando para o SQUID.
grep -i squid /var/log/system.log
Sep 24 14:57:50 medivh php: /pkg_edit.php: Reloading Squid for configuration sync Sep 24 14:57:50 medivh php: /pkg_edit.php: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure -f /usr/pbi/squid-amd64/etc/squid/squid.conf' returned exit code '1', the output was 'squid: ERROR: No running copy' Sep 24 15:09:45 medivh php: /pkg_edit.php: [Squid] - Squid_resync function call pr:1 bp: rpc:no Sep 24 15:09:46 medivh php: /pkg_edit.php: Reloading Squid for configuration sync Sep 24 15:09:46 medivh php: /pkg_edit.php: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure -f /usr/pbi/squid-amd64/etc/squid/squid.conf' returned exit code '1', the output was 'squid: ERROR: No running copy' Sep 24 15:09:46 medivh php: /pkg_edit.php: [Squid] - Squid_resync function call pr:1 bp: rpc:no Sep 24 15:09:47 medivh php: /pkg_edit.php: Reloading Squid for configuration sync Sep 24 15:09:47 medivh php: /pkg_edit.php: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure -f /usr/pbi/squid-amd64/etc/squid/squid.conf' returned exit code '1', the output was 'squid: ERROR: No running copy' Sep 24 15:12:23 medivh php: /pkg_edit.php: [Squid] - Squid_resync function call pr:1 bp: rpc:no Sep 24 15:12:24 medivh php: /pkg_edit.php: Reloading Squid for configuration sync Sep 24 15:12:24 medivh php: /pkg_edit.php: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure -f /usr/pbi/squid-amd64/etc/squid/squid.conf' returned exit code '1', the output was 'squid: ERROR: No running copy' Sep 24 15:12:24 medivh php: /pkg_edit.php: [Squid] - Squid_resync function call pr:1 bp: rpc:no Sep 24 15:12:25 medivh php: /pkg_edit.php: Reloading Squid for configuration sync Sep 24 15:12:25 medivh php: /pkg_edit.php: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure -f /usr/pbi/squid-amd64/etc/squid/squid.conf' returned exit code '1', the output was 'squid: ERROR: No running copy' Sep 24 15:13:14 medivh squid[15859]: Squid Parent: will start 1 kids Sep 24 15:13:14 medivh squid[15859]: Squid Parent: (squid-1) process 16319 started Sep 24 15:13:37 medivh php: /status_services.php: The command '/usr/local/etc/rc.d/squid.sh stop' returned exit code '1', the output was 'squid: No running copy' Sep 24 15:13:42 medivh php: /status_services.php: The command '/usr/local/etc/rc.d/squid.sh stop' returned exit code '1', the output was 'squid: No running copy' Sep 24 15:13:45 medivh squid[21886]: Squid Parent: will start 1 kids Sep 24 15:13:45 medivh squid[21886]: Squid Parent: (squid-1) process 22459 started Sep 24 15:15:46 medivh php: /status_services.php: The command '/usr/local/etc/rc.d/squid.sh stop' returned exit code '1', the output was 'squid: No running copy' Sep 24 15:16:26 medivh php: /status_services.php: The command '/usr/local/etc/rc.d/squid.sh stop' returned exit code '1', the output was 'squid: No running copy' Sep 24 15:16:28 medivh squid[73944]: Squid Parent: will start 1 kids Sep 24 15:16:28 medivh squid[73944]: Squid Parent: (squid-1) process 74581 startednão estou conseguindo identificar o porque de o prompt de autenticação não estar sendo apresentado no browser.
-
Só uma pergunta: Os Browsers que você testou estão com o Proxy configurado?
-
squid -k parse
tail -f /var/squid/logs/*log
-
squid -k parse
[2.1-RELEASE][root@medivh.ntu0]/root(6): squid -k parse 2013/09/24 16:58:35| Startup: Initializing Authentication Schemes ... 2013/09/24 16:58:35| Startup: Initialized Authentication Scheme 'basic' 2013/09/24 16:58:35| Startup: Initialized Authentication Scheme 'digest' 2013/09/24 16:58:35| Startup: Initialized Authentication Scheme 'negotiate' 2013/09/24 16:58:35| Startup: Initialized Authentication Scheme 'ntlm' 2013/09/24 16:58:35| Startup: Initialized Authentication. 2013/09/24 16:58:35| Processing Configuration File: /usr/pbi/squid-amd64/etc/squid/squid.conf (depth 0) 2013/09/24 16:58:35| Processing: http_port 192.168.0.50:3128 2013/09/24 16:58:35| Processing: icp_port 7 2013/09/24 16:58:35| Processing: dns_v4_first on 2013/09/24 16:58:35| Processing: pid_filename /var/run/squid.pid 2013/09/24 16:58:35| Processing: cache_effective_user proxy 2013/09/24 16:58:35| Processing: cache_effective_group proxy 2013/09/24 16:58:35| Processing: error_default_language pt-br 2013/09/24 16:58:35| Processing: icon_directory /usr/pbi/squid-amd64/etc/squid/icons 2013/09/24 16:58:35| Processing: visible_hostname proxyntu 2013/09/24 16:58:35| Processing: cache_mgr ni@ntu.org.br 2013/09/24 16:58:35| Processing: access_log /var/squid/logs/access.log 2013/09/24 16:58:35| Processing: cache_log /var/squid/logs/cache.log 2013/09/24 16:58:35| Processing: cache_store_log none 2013/09/24 16:58:35| Processing: logfile_rotate 0 2013/09/24 16:58:35| Processing: shutdown_lifetime 3 seconds 2013/09/24 16:58:35| Processing: acl localnet src 192.168.0.0/24 2013/09/24 16:58:35| Processing: httpd_suppress_version_string on 2013/09/24 16:58:35| Processing: uri_whitespace strip 2013/09/24 16:58:35| Processing: acl dynamic urlpath_regex cgi-bin \? 2013/09/24 16:58:35| Processing: cache deny dynamic 2013/09/24 16:58:35| Processing: cache_mem 128 MB 2013/09/24 16:58:35| Processing: maximum_object_size_in_memory 32 KB 2013/09/24 16:58:35| Processing: memory_replacement_policy heap GDSF 2013/09/24 16:58:35| Processing: cache_replacement_policy heap LFUDA 2013/09/24 16:58:35| Processing: cache_dir ufs /var/squid/cache 2048 16 256 2013/09/24 16:58:35| Processing: minimum_object_size 0 KB 2013/09/24 16:58:35| Processing: maximum_object_size 4000 KB 2013/09/24 16:58:35| Processing: offline_mode off 2013/09/24 16:58:35| Processing: cache_swap_low 90 2013/09/24 16:58:35| Processing: cache_swap_high 95 2013/09/24 16:58:35| Processing: cache allow all 2013/09/24 16:58:35| Processing: acl allsrc src all 2013/09/24 16:58:35| Processing: acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 3128 3127 1025-65535 2013/09/24 16:58:35| Processing: acl sslports port 443 563 2013/09/24 16:58:35| Processing: acl purge method PURGE 2013/09/24 16:58:35| Processing: acl connect method CONNECT 2013/09/24 16:58:35| Processing: acl HTTP proto HTTP 2013/09/24 16:58:35| Processing: acl HTTPS proto HTTPS 2013/09/24 16:58:35| Processing: http_access allow manager localhost 2013/09/24 16:58:35| Processing: http_access deny manager 2013/09/24 16:58:35| Processing: http_access allow purge localhost 2013/09/24 16:58:35| Processing: http_access deny purge 2013/09/24 16:58:35| Processing: http_access deny !safeports 2013/09/24 16:58:35| Processing: http_access deny CONNECT !sslports 2013/09/24 16:58:35| Processing: request_body_max_size 0 KB 2013/09/24 16:58:35| Processing: delay_pools 1 2013/09/24 16:58:35| Processing: delay_class 1 2 2013/09/24 16:58:35| Processing: delay_parameters 1 -1/-1 -1/-1 2013/09/24 16:58:35| Processing: delay_initial_bucket_level 100 2013/09/24 16:58:35| Processing: delay_access 1 allow allsrc 2013/09/24 16:58:35| Processing: auth_param basic program /usr/pbi/squid-amd64/libexec/squid/basic_ldap_auth -v 3 -b dc=ntu0,dc=local -D cn=Administrator,cn=Users,dc=ntu0,dc=local -w XXXXXXXXXXX -f "sAMAccountName=%s" -u uid -P 192.168.0.3:389 2013/09/24 16:58:35| Processing: auth_param basic children 5 2013/09/24 16:58:35| Processing: auth_param basic realm Please enter your credentials to access the proxy 2013/09/24 16:58:35| Processing: auth_param basic credentialsttl 60 minutes 2013/09/24 16:58:35| Processing: acl password proxy_auth REQUIRED 2013/09/24 16:58:35| Processing: http_access allow password localnet 2013/09/24 16:58:35| Processing: http_access deny allsrc 2013/09/24 16:58:35| Initializing https proxy contexttail -f /var/squid/logs/*log
[2.1-RELEASE][root@medivh.ntu0]/root(7): tail -f /var/squid/logs/*log ==> /var/squid/logs/access.log <== ==> /var/squid/logs/cache.log <== 2013/09/24 15:16:28 kid1| Max Mem size: 131072 KB 2013/09/24 15:16:28 kid1| Max Swap size: 2097152 KB 2013/09/24 15:16:28 kid1| Rebuilding storage in /var/squid/cache (no log) 2013/09/24 15:16:28 kid1| Using Least Load store dir selection 2013/09/24 15:16:28 kid1| Current Directory is /usr/local/www 2013/09/24 15:16:28 kid1| Loaded Icons. 2013/09/24 15:16:28 kid1| HTCP Disabled. 2013/09/24 15:16:28 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted 2013/09/24 15:16:28 kid1| sendto FD 25: (1) Operation not permitted 2013/09/24 15:16:28 kid1| ipcCreate: CHILD: hello write test failedSó uma pergunta: Os Browsers que você testou estão com o Proxy configurado?
Sim.
-
[2.1-RELEASE][root@medivh.ntu0]/root(1): squid -v Squid Cache: Version 3.3.8 configure options: '--with-default-user=squid' '--bindir=/usr/pbi/squid-amd64/sbin' '--sbindir=/usr/pbi/squid-amd64/sbin' '--datadir=/usr/pbi/squid-amd64/etc/squid' '--libexecdir=/usr/pbi/squid-amd64/libexec/squid' '--localstatedir=/var' '--sysconfdir=/usr/pbi/squid-amd64/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--with-swapdir=/var/squid/cache/squid' '--enable-auth' '--enable-build-info' '--enable-loadable-modules' '--enable-removal-policies=lru heap' '--disable-epoll' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-translation' '--enable-auth-basic=DB MSNT MSNT-multi-domain NCSA PAM POP3 RADIUS fake getpwnam LDAP SASL NIS' '--enable-auth-digest=file' '--enable-external-acl-helpers=file_userip time_quota unix_group LDAP_group kerberos_ldap_group' '--enable-auth-negotiate=kerberos wrapper' '--enable-auth-ntlm=fake smb_lm' '--enable-storeio=diskd rock ufs aufs' '--enable-disk-io=AIO Blocking DiskDaemon IpcIo Mmapped DiskThreads' '--enable-log-daemon-helpers=file' '--enable-url-rewrite-helpers=fake' '--enable-delay-pools' '--enable-ssl' '--with-openssl=/usr' '--enable-ssl-crtd' '--enable-icmp' '--enable-htcp' '--disable-forw-via-db' '--enable-cache-digests' '--enable-wccp' '--enable-wccpv2' '--enable-eui' '--disable-ipfw-transparent' '--enable-pf-transparent' '--disable-ipf-transparent' '--enable-follow-x-forwarded-for' '--disable-ecap' '--enable-icap-client' '--disable-esi' '--enable-kqueue' '--with-large-files' '--prefix=/usr/pbi/squid-amd64' '--mandir=/usr/pbi/squid-amd64/man' '--infodir=/usr/pbi/squid-amd64/info/' '--build=amd64-portbld-freebsd8.3' 'build_alias=amd64-portbld-freebsd8.3' 'CC=cc' 'CFLAGS=-O2 -pipe -I/usr/pbi/squid-amd64/include -I/usr/pbi/squid-amd64/include -I/usr/include -DLDAP_DEPRECATED -fno-strict-aliasing' 'LDFLAGS= -L/usr/pbi/squid-amd64/lib -L/usr/pbi/squid-amd64/lib -pthread -Wl,-rpath=/usr/lib:/usr/pbi/squid-amd64/lib -L/usr/lib' 'CPPFLAGS=-I/usr/pbi/squid-amd64/include' 'CXX=c++' 'CXXFLAGS=-O2 -pipe -I/usr/pbi/squid-amd64/include -I/usr/pbi/squid-amd64/include -I/usr/include -DLDAP_DEPRECATED -fno-strict-aliasing' 'CPP=cpp' --enable-ltdl-convenience[2.1-RELEASE][root@medivh.ntu0]/root(2): ls -l /var/squid/ total 8 drwxr-xr-x 2 proxy proxy 512 Sep 24 14:54 acl drwxr-xr-x 18 proxy proxy 512 Sep 25 00:00 cache drwxr-xr-x 3 proxy proxy 512 Sep 24 14:54 lib drwxr-xr-x 2 proxy proxy 512 Sep 24 15:16 logsPergunto: O usuário do squid não deveria ser "proxy"? Se eu não me engano é proxy na versão 2 disponível no repositório!
-
só pra constar aqui.
fiz essa vm com o pfsense e instalei o pacote squid (2). configurei e funcionou ok! está funcionando!
nem configurei multiwan nela, estou fazendo passo por passo.
tirei um snapshot dessa vm e a partir dele fiz uma nova vm, onde desinstalei o squid(2) e instalei o squid3. As configurações do squid(2) fora reconhecidas pelo squid3, ou seja, em teoria era pra funcionar também, contudo não está funcionando nem com reza "braba" e água benta! não está aparecendo o prompt de autenticação no navegador (que está configurado!).@UnDr3aD:
Pergunto: O usuário do squid não deveria ser "proxy"? Se eu não me engano é proxy na versão 2 disponível no repositório!
verifiquei na outra vm e é isso mesmo, o squid(2) usa o usuário proxy, mas o squid3 usa o usuário squid! poderia ser algo relacionado a isso?
