Proxy Autenticado e Mult WAN
-
Você tem regras nas suas interfaces de rede forçando gateway?
Veja nos tutoriais aqui do fórum dicas sobre o tcpdump.
Monitorar na própria console/ssh é bem mais fácil e prático.
-
Você tem regras nas suas interfaces de rede forçando gateway?
Tenho sim. Tudo do jeito que mandam os tutoriais de multiwan + squid. Inclusive as regras flutuantes!
Veja nos tutoriais aqui do fórum dicas sobre o tcpdump.
Monitorar na própria console/ssh é bem mais fácil e prático.
Não vi os tutoriais ainda, vou dar uma olhada. Contudo eu usei o tcpdump pelo ssh diretamente o pfSense também!
Eu dei um tcpdump | grep 389 e variações afins pra tentar afinar a busca, mas os resultados não me mostraram muito. -
@UnDr3aD:
Tenho sim. Tudo do jeito que mandam os tutoriais de multiwan + squid. Inclusive as regras flutuantes!
Lembre de criar as regras que permitem a comunicação interna sem forçar um gateway.
uma regra * * * * * * gateway X pode acabar com sua comunicação interna.
-
Lembre de criar as regras que permitem a comunicação interna sem forçar um gateway.
uma regra * * * * * * gateway X pode acabar com sua comunicação interna.
Fiz um liberando geral aqui e coloquei como ultima opção, ficou assim:
IPv4 * * * * * LoadBalance none Controle de Banda IPv4 * * * * * * none Viva La Liberdad -
Essas regras vão te dar trabalho mais cedo ou mais tarde.
Crie uma antes do balanceamento liberando qualquer tráfego local. -
Essas regras vão te dar trabalho mais cedo ou mais tarde.
Crie uma antes do balanceamento liberando qualquer tráfego local.hmmm saquei agora.
fiz isso aqui antes do balanceamento.IPv4 * LAN net * LAN net * * none Viva La Liberdad -
Pessoal, continuei minha saga!
Resolvi fazer uma nova VM no XenServer pro pfSense.
Instalei o squid3-dev e o pacote squidguard-squid3.
Os testes de autenticação estão dando certo lá do menu de diagnósticos, contudo o novo problema:abro o browser (já configurado pra pegar o proxy) e o prompt para autenticação não aparece!!!!!!!!
ideias????
-
@UnDr3aD:
Abro o browser (já configurado pra pegar o proxy) e o prompt para autenticação não aparece!!!!!!!!
ideias????
Você já perguntou isso em outro tópico.
http://forum.pfsense.org/index.php/topic,62263.msg366962.html#msg366962 -
system.log
/pkg_edit.php: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure -f /usr/pbi/squid-amd64/etc/squid/squid.conf' returned exit code '1', the output was 'squid: ERROR: No running copy'Não estou conseguindo resolver isso.
-
@UnDr3aD:
system.log
/pkg_edit.php: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure -f /usr/pbi/squid-amd64/etc/squid/squid.conf' returned exit code '1', the output was 'squid: ERROR: No running copy'Não estou conseguindo resolver isso.
Isto só comunica que o serviço do Squid estava desativado quando você aplicou alguma alteração. Verifique linhas próximas a essa para erros apontando para o SQUID.
-
Isto só comunica que o serviço do Squid estava desativado quando você aplicou alguma alteração. Verifique linhas próximas a essa para erros apontando para o SQUID.
grep -i squid /var/log/system.log
Sep 24 14:57:50 medivh php: /pkg_edit.php: Reloading Squid for configuration sync Sep 24 14:57:50 medivh php: /pkg_edit.php: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure -f /usr/pbi/squid-amd64/etc/squid/squid.conf' returned exit code '1', the output was 'squid: ERROR: No running copy' Sep 24 15:09:45 medivh php: /pkg_edit.php: [Squid] - Squid_resync function call pr:1 bp: rpc:no Sep 24 15:09:46 medivh php: /pkg_edit.php: Reloading Squid for configuration sync Sep 24 15:09:46 medivh php: /pkg_edit.php: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure -f /usr/pbi/squid-amd64/etc/squid/squid.conf' returned exit code '1', the output was 'squid: ERROR: No running copy' Sep 24 15:09:46 medivh php: /pkg_edit.php: [Squid] - Squid_resync function call pr:1 bp: rpc:no Sep 24 15:09:47 medivh php: /pkg_edit.php: Reloading Squid for configuration sync Sep 24 15:09:47 medivh php: /pkg_edit.php: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure -f /usr/pbi/squid-amd64/etc/squid/squid.conf' returned exit code '1', the output was 'squid: ERROR: No running copy' Sep 24 15:12:23 medivh php: /pkg_edit.php: [Squid] - Squid_resync function call pr:1 bp: rpc:no Sep 24 15:12:24 medivh php: /pkg_edit.php: Reloading Squid for configuration sync Sep 24 15:12:24 medivh php: /pkg_edit.php: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure -f /usr/pbi/squid-amd64/etc/squid/squid.conf' returned exit code '1', the output was 'squid: ERROR: No running copy' Sep 24 15:12:24 medivh php: /pkg_edit.php: [Squid] - Squid_resync function call pr:1 bp: rpc:no Sep 24 15:12:25 medivh php: /pkg_edit.php: Reloading Squid for configuration sync Sep 24 15:12:25 medivh php: /pkg_edit.php: The command '/usr/pbi/squid-amd64/sbin/squid -k reconfigure -f /usr/pbi/squid-amd64/etc/squid/squid.conf' returned exit code '1', the output was 'squid: ERROR: No running copy' Sep 24 15:13:14 medivh squid[15859]: Squid Parent: will start 1 kids Sep 24 15:13:14 medivh squid[15859]: Squid Parent: (squid-1) process 16319 started Sep 24 15:13:37 medivh php: /status_services.php: The command '/usr/local/etc/rc.d/squid.sh stop' returned exit code '1', the output was 'squid: No running copy' Sep 24 15:13:42 medivh php: /status_services.php: The command '/usr/local/etc/rc.d/squid.sh stop' returned exit code '1', the output was 'squid: No running copy' Sep 24 15:13:45 medivh squid[21886]: Squid Parent: will start 1 kids Sep 24 15:13:45 medivh squid[21886]: Squid Parent: (squid-1) process 22459 started Sep 24 15:15:46 medivh php: /status_services.php: The command '/usr/local/etc/rc.d/squid.sh stop' returned exit code '1', the output was 'squid: No running copy' Sep 24 15:16:26 medivh php: /status_services.php: The command '/usr/local/etc/rc.d/squid.sh stop' returned exit code '1', the output was 'squid: No running copy' Sep 24 15:16:28 medivh squid[73944]: Squid Parent: will start 1 kids Sep 24 15:16:28 medivh squid[73944]: Squid Parent: (squid-1) process 74581 startednão estou conseguindo identificar o porque de o prompt de autenticação não estar sendo apresentado no browser.
-
Só uma pergunta: Os Browsers que você testou estão com o Proxy configurado?
-
squid -k parse
tail -f /var/squid/logs/*log
-
squid -k parse
[2.1-RELEASE][root@medivh.ntu0]/root(6): squid -k parse 2013/09/24 16:58:35| Startup: Initializing Authentication Schemes ... 2013/09/24 16:58:35| Startup: Initialized Authentication Scheme 'basic' 2013/09/24 16:58:35| Startup: Initialized Authentication Scheme 'digest' 2013/09/24 16:58:35| Startup: Initialized Authentication Scheme 'negotiate' 2013/09/24 16:58:35| Startup: Initialized Authentication Scheme 'ntlm' 2013/09/24 16:58:35| Startup: Initialized Authentication. 2013/09/24 16:58:35| Processing Configuration File: /usr/pbi/squid-amd64/etc/squid/squid.conf (depth 0) 2013/09/24 16:58:35| Processing: http_port 192.168.0.50:3128 2013/09/24 16:58:35| Processing: icp_port 7 2013/09/24 16:58:35| Processing: dns_v4_first on 2013/09/24 16:58:35| Processing: pid_filename /var/run/squid.pid 2013/09/24 16:58:35| Processing: cache_effective_user proxy 2013/09/24 16:58:35| Processing: cache_effective_group proxy 2013/09/24 16:58:35| Processing: error_default_language pt-br 2013/09/24 16:58:35| Processing: icon_directory /usr/pbi/squid-amd64/etc/squid/icons 2013/09/24 16:58:35| Processing: visible_hostname proxyntu 2013/09/24 16:58:35| Processing: cache_mgr ni@ntu.org.br 2013/09/24 16:58:35| Processing: access_log /var/squid/logs/access.log 2013/09/24 16:58:35| Processing: cache_log /var/squid/logs/cache.log 2013/09/24 16:58:35| Processing: cache_store_log none 2013/09/24 16:58:35| Processing: logfile_rotate 0 2013/09/24 16:58:35| Processing: shutdown_lifetime 3 seconds 2013/09/24 16:58:35| Processing: acl localnet src 192.168.0.0/24 2013/09/24 16:58:35| Processing: httpd_suppress_version_string on 2013/09/24 16:58:35| Processing: uri_whitespace strip 2013/09/24 16:58:35| Processing: acl dynamic urlpath_regex cgi-bin \? 2013/09/24 16:58:35| Processing: cache deny dynamic 2013/09/24 16:58:35| Processing: cache_mem 128 MB 2013/09/24 16:58:35| Processing: maximum_object_size_in_memory 32 KB 2013/09/24 16:58:35| Processing: memory_replacement_policy heap GDSF 2013/09/24 16:58:35| Processing: cache_replacement_policy heap LFUDA 2013/09/24 16:58:35| Processing: cache_dir ufs /var/squid/cache 2048 16 256 2013/09/24 16:58:35| Processing: minimum_object_size 0 KB 2013/09/24 16:58:35| Processing: maximum_object_size 4000 KB 2013/09/24 16:58:35| Processing: offline_mode off 2013/09/24 16:58:35| Processing: cache_swap_low 90 2013/09/24 16:58:35| Processing: cache_swap_high 95 2013/09/24 16:58:35| Processing: cache allow all 2013/09/24 16:58:35| Processing: acl allsrc src all 2013/09/24 16:58:35| Processing: acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 3128 3127 1025-65535 2013/09/24 16:58:35| Processing: acl sslports port 443 563 2013/09/24 16:58:35| Processing: acl purge method PURGE 2013/09/24 16:58:35| Processing: acl connect method CONNECT 2013/09/24 16:58:35| Processing: acl HTTP proto HTTP 2013/09/24 16:58:35| Processing: acl HTTPS proto HTTPS 2013/09/24 16:58:35| Processing: http_access allow manager localhost 2013/09/24 16:58:35| Processing: http_access deny manager 2013/09/24 16:58:35| Processing: http_access allow purge localhost 2013/09/24 16:58:35| Processing: http_access deny purge 2013/09/24 16:58:35| Processing: http_access deny !safeports 2013/09/24 16:58:35| Processing: http_access deny CONNECT !sslports 2013/09/24 16:58:35| Processing: request_body_max_size 0 KB 2013/09/24 16:58:35| Processing: delay_pools 1 2013/09/24 16:58:35| Processing: delay_class 1 2 2013/09/24 16:58:35| Processing: delay_parameters 1 -1/-1 -1/-1 2013/09/24 16:58:35| Processing: delay_initial_bucket_level 100 2013/09/24 16:58:35| Processing: delay_access 1 allow allsrc 2013/09/24 16:58:35| Processing: auth_param basic program /usr/pbi/squid-amd64/libexec/squid/basic_ldap_auth -v 3 -b dc=ntu0,dc=local -D cn=Administrator,cn=Users,dc=ntu0,dc=local -w XXXXXXXXXXX -f "sAMAccountName=%s" -u uid -P 192.168.0.3:389 2013/09/24 16:58:35| Processing: auth_param basic children 5 2013/09/24 16:58:35| Processing: auth_param basic realm Please enter your credentials to access the proxy 2013/09/24 16:58:35| Processing: auth_param basic credentialsttl 60 minutes 2013/09/24 16:58:35| Processing: acl password proxy_auth REQUIRED 2013/09/24 16:58:35| Processing: http_access allow password localnet 2013/09/24 16:58:35| Processing: http_access deny allsrc 2013/09/24 16:58:35| Initializing https proxy contexttail -f /var/squid/logs/*log
[2.1-RELEASE][root@medivh.ntu0]/root(7): tail -f /var/squid/logs/*log ==> /var/squid/logs/access.log <== ==> /var/squid/logs/cache.log <== 2013/09/24 15:16:28 kid1| Max Mem size: 131072 KB 2013/09/24 15:16:28 kid1| Max Swap size: 2097152 KB 2013/09/24 15:16:28 kid1| Rebuilding storage in /var/squid/cache (no log) 2013/09/24 15:16:28 kid1| Using Least Load store dir selection 2013/09/24 15:16:28 kid1| Current Directory is /usr/local/www 2013/09/24 15:16:28 kid1| Loaded Icons. 2013/09/24 15:16:28 kid1| HTCP Disabled. 2013/09/24 15:16:28 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted 2013/09/24 15:16:28 kid1| sendto FD 25: (1) Operation not permitted 2013/09/24 15:16:28 kid1| ipcCreate: CHILD: hello write test failedSó uma pergunta: Os Browsers que você testou estão com o Proxy configurado?
Sim.
-
[2.1-RELEASE][root@medivh.ntu0]/root(1): squid -v Squid Cache: Version 3.3.8 configure options: '--with-default-user=squid' '--bindir=/usr/pbi/squid-amd64/sbin' '--sbindir=/usr/pbi/squid-amd64/sbin' '--datadir=/usr/pbi/squid-amd64/etc/squid' '--libexecdir=/usr/pbi/squid-amd64/libexec/squid' '--localstatedir=/var' '--sysconfdir=/usr/pbi/squid-amd64/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--with-swapdir=/var/squid/cache/squid' '--enable-auth' '--enable-build-info' '--enable-loadable-modules' '--enable-removal-policies=lru heap' '--disable-epoll' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-translation' '--enable-auth-basic=DB MSNT MSNT-multi-domain NCSA PAM POP3 RADIUS fake getpwnam LDAP SASL NIS' '--enable-auth-digest=file' '--enable-external-acl-helpers=file_userip time_quota unix_group LDAP_group kerberos_ldap_group' '--enable-auth-negotiate=kerberos wrapper' '--enable-auth-ntlm=fake smb_lm' '--enable-storeio=diskd rock ufs aufs' '--enable-disk-io=AIO Blocking DiskDaemon IpcIo Mmapped DiskThreads' '--enable-log-daemon-helpers=file' '--enable-url-rewrite-helpers=fake' '--enable-delay-pools' '--enable-ssl' '--with-openssl=/usr' '--enable-ssl-crtd' '--enable-icmp' '--enable-htcp' '--disable-forw-via-db' '--enable-cache-digests' '--enable-wccp' '--enable-wccpv2' '--enable-eui' '--disable-ipfw-transparent' '--enable-pf-transparent' '--disable-ipf-transparent' '--enable-follow-x-forwarded-for' '--disable-ecap' '--enable-icap-client' '--disable-esi' '--enable-kqueue' '--with-large-files' '--prefix=/usr/pbi/squid-amd64' '--mandir=/usr/pbi/squid-amd64/man' '--infodir=/usr/pbi/squid-amd64/info/' '--build=amd64-portbld-freebsd8.3' 'build_alias=amd64-portbld-freebsd8.3' 'CC=cc' 'CFLAGS=-O2 -pipe -I/usr/pbi/squid-amd64/include -I/usr/pbi/squid-amd64/include -I/usr/include -DLDAP_DEPRECATED -fno-strict-aliasing' 'LDFLAGS= -L/usr/pbi/squid-amd64/lib -L/usr/pbi/squid-amd64/lib -pthread -Wl,-rpath=/usr/lib:/usr/pbi/squid-amd64/lib -L/usr/lib' 'CPPFLAGS=-I/usr/pbi/squid-amd64/include' 'CXX=c++' 'CXXFLAGS=-O2 -pipe -I/usr/pbi/squid-amd64/include -I/usr/pbi/squid-amd64/include -I/usr/include -DLDAP_DEPRECATED -fno-strict-aliasing' 'CPP=cpp' --enable-ltdl-convenience[2.1-RELEASE][root@medivh.ntu0]/root(2): ls -l /var/squid/ total 8 drwxr-xr-x 2 proxy proxy 512 Sep 24 14:54 acl drwxr-xr-x 18 proxy proxy 512 Sep 25 00:00 cache drwxr-xr-x 3 proxy proxy 512 Sep 24 14:54 lib drwxr-xr-x 2 proxy proxy 512 Sep 24 15:16 logsPergunto: O usuário do squid não deveria ser "proxy"? Se eu não me engano é proxy na versão 2 disponível no repositório!
-
só pra constar aqui.
fiz essa vm com o pfsense e instalei o pacote squid (2). configurei e funcionou ok! está funcionando!
nem configurei multiwan nela, estou fazendo passo por passo.
tirei um snapshot dessa vm e a partir dele fiz uma nova vm, onde desinstalei o squid(2) e instalei o squid3. As configurações do squid(2) fora reconhecidas pelo squid3, ou seja, em teoria era pra funcionar também, contudo não está funcionando nem com reza "braba" e água benta! não está aparecendo o prompt de autenticação no navegador (que está configurado!).@UnDr3aD:
Pergunto: O usuário do squid não deveria ser "proxy"? Se eu não me engano é proxy na versão 2 disponível no repositório!
verifiquei na outra vm e é isso mesmo, o squid(2) usa o usuário proxy, mas o squid3 usa o usuário squid! poderia ser algo relacionado a isso?
-
Subi um squid3 sem problemas aqui.
Já seguiu as orientações do outro post? -
Subi um squid3 sem problemas aqui.
Já seguiu as orientações do outro post?sim. tenho feito várias pesquisas e segui aquele seu post do squid3.
vou fazer o seguinte:
mais uma vez,vou criar uma vm (com o .ova do pfSense 2.0.3 do repositório) e instalar do zero com o squid3 e testar. -
pois é…..
fiz o seguinte:instalei o pfSense 2.0.3 (appliance)
instalei os patches lá do post do squid3 (das outras vezes tinha instalado depois do squid3)
instalei o squid3-dev
configurei o squid para autenticar no AD e, ...
funcionou!!!!!
Eeeentretando...
atualizei o pfSense para a versão atual (2.1) (das outras vezes tinha atualizado primeiro de tudo) e, ...
o prompt para autenticação do proxy no navegador volta a NÃO aparecer.
(interessante que acessa a internet ok, até mesmo faz o log de acessos do squid, mas não abre janela de autenticação!)Logo, infere-se que há algum coisa
magia negra, omg!entre o squid3 e a versão do pfSense 2.1 que não estão se dando bem!
Ideias???? -
Estou falando deste tópico:
@marcelloc:http://forum.pfsense.org/index.php/topic,62263.msg366962.html#msg366962
onde diz:
Veja se o squid está escutando na porta que você configurou. Se não estiver, habilite o ipv6, mate todos os processos do squid e em seguida salve as configurações para iniciar o daemon novamente.
