Proxy Autenticado e Mult WAN
-
Verifique se as configurações do LDAP estão corretas. Você pode cadastrar o servidor em System > UserManager > Servers e depois testar a autenticação em Diagnostics > Authentication.
Fiz o teste. No início estava dando erro (acho que era a configuração), mas depois autenticou blz!
Não sei como está a estrutura do seu LDAP mas eu uso uid=%s no LDAP search filter.
Fiz desse jeito aí também, contudo ainda da erro!
Vamos em um nível mais simples, você vê em ambos os casos(vm e multiwan) o trafego entre o pfsense e o ad funcionando?
Eu não consegui identificar isso direito, mas parece que sim! E levando em conta que consegui autenticar no servidor, creio que isso mostra que há sim tráfego entre os dois! No entanto, ao autenticar no browser, continua dando erro. Verifiquei novamente no wireshark e está basicamente a mesma coisa!
Só pra constar também, eu desativei o checksum offload pra ver o que dava… Não deu em nada!
-
Você tem regras nas suas interfaces de rede forçando gateway?
Veja nos tutoriais aqui do fórum dicas sobre o tcpdump.
Monitorar na própria console/ssh é bem mais fácil e prático.
-
Você tem regras nas suas interfaces de rede forçando gateway?
Tenho sim. Tudo do jeito que mandam os tutoriais de multiwan + squid. Inclusive as regras flutuantes!
Veja nos tutoriais aqui do fórum dicas sobre o tcpdump.
Monitorar na própria console/ssh é bem mais fácil e prático.
Não vi os tutoriais ainda, vou dar uma olhada. Contudo eu usei o tcpdump pelo ssh diretamente o pfSense também!
Eu dei um tcpdump | grep 389 e variações afins pra tentar afinar a busca, mas os resultados não me mostraram muito. -
@UnDr3aD:
Tenho sim. Tudo do jeito que mandam os tutoriais de multiwan + squid. Inclusive as regras flutuantes!
Lembre de criar as regras que permitem a comunicação interna sem forçar um gateway.
uma regra * * * * * * gateway X pode acabar com sua comunicação interna.
-
Lembre de criar as regras que permitem a comunicação interna sem forçar um gateway.
uma regra * * * * * * gateway X pode acabar com sua comunicação interna.
Fiz um liberando geral aqui e coloquei como ultima opção, ficou assim:
IPv4 * * * * * LoadBalance none Controle de Banda IPv4 * * * * * * none Viva La Liberdad
-
Essas regras vão te dar trabalho mais cedo ou mais tarde.
Crie uma antes do balanceamento liberando qualquer tráfego local. -
Essas regras vão te dar trabalho mais cedo ou mais tarde.
Crie uma antes do balanceamento liberando qualquer tráfego local.hmmm saquei agora.
fiz isso aqui antes do balanceamento.IPv4 * LAN net * LAN net * * none Viva La Liberdad
-
Pessoal, continuei minha saga!
Resolvi fazer uma nova VM no XenServer pro pfSense.
Instalei o squid3-dev e o pacote squidguard-squid3.
Os testes de autenticação estão dando certo lá do menu de diagnósticos, contudo o novo problema:abro o browser (já configurado pra pegar o proxy) e o prompt para autenticação não aparece!!!!!!!!
ideias????
-
@UnDr3aD:
Abro o browser (já configurado pra pegar o proxy) e o prompt para autenticação não aparece!!!!!!!!
ideias????
Você já perguntou isso em outro tópico.
http://forum.pfsense.org/index.php/topic,62263.msg366962.html#msg366962 -
system.log
/pkg_edit.php: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure -f /usr/pbi/squid-amd64/etc/squid/squid.conf' returned exit code '1', the output was 'squid: ERROR: No running copy'
Não estou conseguindo resolver isso.
-
@UnDr3aD:
system.log
/pkg_edit.php: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure -f /usr/pbi/squid-amd64/etc/squid/squid.conf' returned exit code '1', the output was 'squid: ERROR: No running copy'
Não estou conseguindo resolver isso.
Isto só comunica que o serviço do Squid estava desativado quando você aplicou alguma alteração. Verifique linhas próximas a essa para erros apontando para o SQUID.
-
Isto só comunica que o serviço do Squid estava desativado quando você aplicou alguma alteração. Verifique linhas próximas a essa para erros apontando para o SQUID.
grep -i squid /var/log/system.log
Sep 24 14:57:50 medivh php: /pkg_edit.php: Reloading Squid for configuration sync Sep 24 14:57:50 medivh php: /pkg_edit.php: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure -f /usr/pbi/squid-amd64/etc/squid/squid.conf' returned exit code '1', the output was 'squid: ERROR: No running copy' Sep 24 15:09:45 medivh php: /pkg_edit.php: [Squid] - Squid_resync function call pr:1 bp: rpc:no Sep 24 15:09:46 medivh php: /pkg_edit.php: Reloading Squid for configuration sync Sep 24 15:09:46 medivh php: /pkg_edit.php: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure -f /usr/pbi/squid-amd64/etc/squid/squid.conf' returned exit code '1', the output was 'squid: ERROR: No running copy' Sep 24 15:09:46 medivh php: /pkg_edit.php: [Squid] - Squid_resync function call pr:1 bp: rpc:no Sep 24 15:09:47 medivh php: /pkg_edit.php: Reloading Squid for configuration sync Sep 24 15:09:47 medivh php: /pkg_edit.php: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure -f /usr/pbi/squid-amd64/etc/squid/squid.conf' returned exit code '1', the output was 'squid: ERROR: No running copy' Sep 24 15:12:23 medivh php: /pkg_edit.php: [Squid] - Squid_resync function call pr:1 bp: rpc:no Sep 24 15:12:24 medivh php: /pkg_edit.php: Reloading Squid for configuration sync Sep 24 15:12:24 medivh php: /pkg_edit.php: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure -f /usr/pbi/squid-amd64/etc/squid/squid.conf' returned exit code '1', the output was 'squid: ERROR: No running copy' Sep 24 15:12:24 medivh php: /pkg_edit.php: [Squid] - Squid_resync function call pr:1 bp: rpc:no Sep 24 15:12:25 medivh php: /pkg_edit.php: Reloading Squid for configuration sync Sep 24 15:12:25 medivh php: /pkg_edit.php: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure -f /usr/pbi/squid-amd64/etc/squid/squid.conf' returned exit code '1', the output was 'squid: ERROR: No running copy' Sep 24 15:13:14 medivh squid[15859]: Squid Parent: will start 1 kids Sep 24 15:13:14 medivh squid[15859]: Squid Parent: (squid-1) process 16319 started Sep 24 15:13:37 medivh php: /status_services.php: The command '/usr/local/etc/rc.d/squid.sh stop' returned exit code '1', the output was 'squid: No running copy' Sep 24 15:13:42 medivh php: /status_services.php: The command '/usr/local/etc/rc.d/squid.sh stop' returned exit code '1', the output was 'squid: No running copy' Sep 24 15:13:45 medivh squid[21886]: Squid Parent: will start 1 kids Sep 24 15:13:45 medivh squid[21886]: Squid Parent: (squid-1) process 22459 started Sep 24 15:15:46 medivh php: /status_services.php: The command '/usr/local/etc/rc.d/squid.sh stop' returned exit code '1', the output was 'squid: No running copy' Sep 24 15:16:26 medivh php: /status_services.php: The command '/usr/local/etc/rc.d/squid.sh stop' returned exit code '1', the output was 'squid: No running copy' Sep 24 15:16:28 medivh squid[73944]: Squid Parent: will start 1 kids Sep 24 15:16:28 medivh squid[73944]: Squid Parent: (squid-1) process 74581 started
não estou conseguindo identificar o porque de o prompt de autenticação não estar sendo apresentado no browser.
-
Só uma pergunta: Os Browsers que você testou estão com o Proxy configurado?
-
squid -k parse
tail -f /var/squid/logs/*log
-
squid -k parse
[2.1-RELEASE][root@medivh.ntu0]/root(6): squid -k parse 2013/09/24 16:58:35| Startup: Initializing Authentication Schemes ... 2013/09/24 16:58:35| Startup: Initialized Authentication Scheme 'basic' 2013/09/24 16:58:35| Startup: Initialized Authentication Scheme 'digest' 2013/09/24 16:58:35| Startup: Initialized Authentication Scheme 'negotiate' 2013/09/24 16:58:35| Startup: Initialized Authentication Scheme 'ntlm' 2013/09/24 16:58:35| Startup: Initialized Authentication. 2013/09/24 16:58:35| Processing Configuration File: /usr/pbi/squid-amd64/etc/squid/squid.conf (depth 0) 2013/09/24 16:58:35| Processing: http_port 192.168.0.50:3128 2013/09/24 16:58:35| Processing: icp_port 7 2013/09/24 16:58:35| Processing: dns_v4_first on 2013/09/24 16:58:35| Processing: pid_filename /var/run/squid.pid 2013/09/24 16:58:35| Processing: cache_effective_user proxy 2013/09/24 16:58:35| Processing: cache_effective_group proxy 2013/09/24 16:58:35| Processing: error_default_language pt-br 2013/09/24 16:58:35| Processing: icon_directory /usr/pbi/squid-amd64/etc/squid/icons 2013/09/24 16:58:35| Processing: visible_hostname proxyntu 2013/09/24 16:58:35| Processing: cache_mgr ni@ntu.org.br 2013/09/24 16:58:35| Processing: access_log /var/squid/logs/access.log 2013/09/24 16:58:35| Processing: cache_log /var/squid/logs/cache.log 2013/09/24 16:58:35| Processing: cache_store_log none 2013/09/24 16:58:35| Processing: logfile_rotate 0 2013/09/24 16:58:35| Processing: shutdown_lifetime 3 seconds 2013/09/24 16:58:35| Processing: acl localnet src 192.168.0.0/24 2013/09/24 16:58:35| Processing: httpd_suppress_version_string on 2013/09/24 16:58:35| Processing: uri_whitespace strip 2013/09/24 16:58:35| Processing: acl dynamic urlpath_regex cgi-bin \? 2013/09/24 16:58:35| Processing: cache deny dynamic 2013/09/24 16:58:35| Processing: cache_mem 128 MB 2013/09/24 16:58:35| Processing: maximum_object_size_in_memory 32 KB 2013/09/24 16:58:35| Processing: memory_replacement_policy heap GDSF 2013/09/24 16:58:35| Processing: cache_replacement_policy heap LFUDA 2013/09/24 16:58:35| Processing: cache_dir ufs /var/squid/cache 2048 16 256 2013/09/24 16:58:35| Processing: minimum_object_size 0 KB 2013/09/24 16:58:35| Processing: maximum_object_size 4000 KB 2013/09/24 16:58:35| Processing: offline_mode off 2013/09/24 16:58:35| Processing: cache_swap_low 90 2013/09/24 16:58:35| Processing: cache_swap_high 95 2013/09/24 16:58:35| Processing: cache allow all 2013/09/24 16:58:35| Processing: acl allsrc src all 2013/09/24 16:58:35| Processing: acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 3128 3127 1025-65535 2013/09/24 16:58:35| Processing: acl sslports port 443 563 2013/09/24 16:58:35| Processing: acl purge method PURGE 2013/09/24 16:58:35| Processing: acl connect method CONNECT 2013/09/24 16:58:35| Processing: acl HTTP proto HTTP 2013/09/24 16:58:35| Processing: acl HTTPS proto HTTPS 2013/09/24 16:58:35| Processing: http_access allow manager localhost 2013/09/24 16:58:35| Processing: http_access deny manager 2013/09/24 16:58:35| Processing: http_access allow purge localhost 2013/09/24 16:58:35| Processing: http_access deny purge 2013/09/24 16:58:35| Processing: http_access deny !safeports 2013/09/24 16:58:35| Processing: http_access deny CONNECT !sslports 2013/09/24 16:58:35| Processing: request_body_max_size 0 KB 2013/09/24 16:58:35| Processing: delay_pools 1 2013/09/24 16:58:35| Processing: delay_class 1 2 2013/09/24 16:58:35| Processing: delay_parameters 1 -1/-1 -1/-1 2013/09/24 16:58:35| Processing: delay_initial_bucket_level 100 2013/09/24 16:58:35| Processing: delay_access 1 allow allsrc 2013/09/24 16:58:35| Processing: auth_param basic program /usr/pbi/squid-amd64/libexec/squid/basic_ldap_auth -v 3 -b dc=ntu0,dc=local -D cn=Administrator,cn=Users,dc=ntu0,dc=local -w XXXXXXXXXXX -f "sAMAccountName=%s" -u uid -P 192.168.0.3:389 2013/09/24 16:58:35| Processing: auth_param basic children 5 2013/09/24 16:58:35| Processing: auth_param basic realm Please enter your credentials to access the proxy 2013/09/24 16:58:35| Processing: auth_param basic credentialsttl 60 minutes 2013/09/24 16:58:35| Processing: acl password proxy_auth REQUIRED 2013/09/24 16:58:35| Processing: http_access allow password localnet 2013/09/24 16:58:35| Processing: http_access deny allsrc 2013/09/24 16:58:35| Initializing https proxy context
tail -f /var/squid/logs/*log
[2.1-RELEASE][root@medivh.ntu0]/root(7): tail -f /var/squid/logs/*log ==> /var/squid/logs/access.log <== ==> /var/squid/logs/cache.log <== 2013/09/24 15:16:28 kid1| Max Mem size: 131072 KB 2013/09/24 15:16:28 kid1| Max Swap size: 2097152 KB 2013/09/24 15:16:28 kid1| Rebuilding storage in /var/squid/cache (no log) 2013/09/24 15:16:28 kid1| Using Least Load store dir selection 2013/09/24 15:16:28 kid1| Current Directory is /usr/local/www 2013/09/24 15:16:28 kid1| Loaded Icons. 2013/09/24 15:16:28 kid1| HTCP Disabled. 2013/09/24 15:16:28 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted 2013/09/24 15:16:28 kid1| sendto FD 25: (1) Operation not permitted 2013/09/24 15:16:28 kid1| ipcCreate: CHILD: hello write test failed
Só uma pergunta: Os Browsers que você testou estão com o Proxy configurado?
Sim.
-
[2.1-RELEASE][root@medivh.ntu0]/root(1): squid -v Squid Cache: Version 3.3.8 configure options: '--with-default-user=squid' '--bindir=/usr/pbi/squid-amd64/sbin' '--sbindir=/usr/pbi/squid-amd64/sbin' '--datadir=/usr/pbi/squid-amd64/etc/squid' '--libexecdir=/usr/pbi/squid-amd64/libexec/squid' '--localstatedir=/var' '--sysconfdir=/usr/pbi/squid-amd64/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--with-swapdir=/var/squid/cache/squid' '--enable-auth' '--enable-build-info' '--enable-loadable-modules' '--enable-removal-policies=lru heap' '--disable-epoll' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-translation' '--enable-auth-basic=DB MSNT MSNT-multi-domain NCSA PAM POP3 RADIUS fake getpwnam LDAP SASL NIS' '--enable-auth-digest=file' '--enable-external-acl-helpers=file_userip time_quota unix_group LDAP_group kerberos_ldap_group' '--enable-auth-negotiate=kerberos wrapper' '--enable-auth-ntlm=fake smb_lm' '--enable-storeio=diskd rock ufs aufs' '--enable-disk-io=AIO Blocking DiskDaemon IpcIo Mmapped DiskThreads' '--enable-log-daemon-helpers=file' '--enable-url-rewrite-helpers=fake' '--enable-delay-pools' '--enable-ssl' '--with-openssl=/usr' '--enable-ssl-crtd' '--enable-icmp' '--enable-htcp' '--disable-forw-via-db' '--enable-cache-digests' '--enable-wccp' '--enable-wccpv2' '--enable-eui' '--disable-ipfw-transparent' '--enable-pf-transparent' '--disable-ipf-transparent' '--enable-follow-x-forwarded-for' '--disable-ecap' '--enable-icap-client' '--disable-esi' '--enable-kqueue' '--with-large-files' '--prefix=/usr/pbi/squid-amd64' '--mandir=/usr/pbi/squid-amd64/man' '--infodir=/usr/pbi/squid-amd64/info/' '--build=amd64-portbld-freebsd8.3' 'build_alias=amd64-portbld-freebsd8.3' 'CC=cc' 'CFLAGS=-O2 -pipe -I/usr/pbi/squid-amd64/include -I/usr/pbi/squid-amd64/include -I/usr/include -DLDAP_DEPRECATED -fno-strict-aliasing' 'LDFLAGS= -L/usr/pbi/squid-amd64/lib -L/usr/pbi/squid-amd64/lib -pthread -Wl,-rpath=/usr/lib:/usr/pbi/squid-amd64/lib -L/usr/lib' 'CPPFLAGS=-I/usr/pbi/squid-amd64/include' 'CXX=c++' 'CXXFLAGS=-O2 -pipe -I/usr/pbi/squid-amd64/include -I/usr/pbi/squid-amd64/include -I/usr/include -DLDAP_DEPRECATED -fno-strict-aliasing' 'CPP=cpp' --enable-ltdl-convenience
[2.1-RELEASE][root@medivh.ntu0]/root(2): ls -l /var/squid/ total 8 drwxr-xr-x 2 proxy proxy 512 Sep 24 14:54 acl drwxr-xr-x 18 proxy proxy 512 Sep 25 00:00 cache drwxr-xr-x 3 proxy proxy 512 Sep 24 14:54 lib drwxr-xr-x 2 proxy proxy 512 Sep 24 15:16 logs
Pergunto: O usuário do squid não deveria ser "proxy"? Se eu não me engano é proxy na versão 2 disponível no repositório!
-
só pra constar aqui.
fiz essa vm com o pfsense e instalei o pacote squid (2). configurei e funcionou ok! está funcionando!
nem configurei multiwan nela, estou fazendo passo por passo.
tirei um snapshot dessa vm e a partir dele fiz uma nova vm, onde desinstalei o squid(2) e instalei o squid3. As configurações do squid(2) fora reconhecidas pelo squid3, ou seja, em teoria era pra funcionar também, contudo não está funcionando nem com reza "braba" e água benta! não está aparecendo o prompt de autenticação no navegador (que está configurado!).@UnDr3aD:
Pergunto: O usuário do squid não deveria ser "proxy"? Se eu não me engano é proxy na versão 2 disponível no repositório!
verifiquei na outra vm e é isso mesmo, o squid(2) usa o usuário proxy, mas o squid3 usa o usuário squid! poderia ser algo relacionado a isso?
-
Subi um squid3 sem problemas aqui.
Já seguiu as orientações do outro post? -
Subi um squid3 sem problemas aqui.
Já seguiu as orientações do outro post?sim. tenho feito várias pesquisas e segui aquele seu post do squid3.
vou fazer o seguinte:
mais uma vez,vou criar uma vm (com o .ova do pfSense 2.0.3 do repositório) e instalar do zero com o squid3 e testar. -
pois é…..
fiz o seguinte:instalei o pfSense 2.0.3 (appliance)
instalei os patches lá do post do squid3 (das outras vezes tinha instalado depois do squid3)
instalei o squid3-dev
configurei o squid para autenticar no AD e, ...
funcionou!!!!!
Eeeentretando...
atualizei o pfSense para a versão atual (2.1) (das outras vezes tinha atualizado primeiro de tudo) e, ...
o prompt para autenticação do proxy no navegador volta a NÃO aparecer.
(interessante que acessa a internet ok, até mesmo faz o log de acessos do squid, mas não abre janela de autenticação!)Logo, infere-se que há algum coisa
magia negra, omg!entre o squid3 e a versão do pfSense 2.1 que não estão se dando bem!
Ideias????