Proxy не пускает HTTPS

randreevich

я у себя решил проблему мак = создал алиас на каждую сеть, например 192.168.0.0/24, правила - Source = название алиаса - Destination port range = https
и все гуууд.

yragan

@randreevich:

я у себя решил проблему мак = создал алиас на каждую сеть, например 192.168.0.0/24, правила - Source = название алиаса - Destination port range = https
и все гуууд.

Что то таже так не работает.

Может кто ещё знает как в обход squid пусть https, мне не нужно что он его фильтровал. Нужно чтоб хоть на https можно было зайти.

werter

Правило на LAN создайте и поставьте его выше блокирующих:

TCP LAN subnet * * HTTPS

Куда уж проще.

yragan

@werter:

Правило на LAN создайте и поставьте его выше блокирующих:

TCP LAN subnet * * HTTPS

Куда уж проще.

В этом та вся и проблема, не работает.

werter

Скрины правил покажите.

yragan

@werter:

Скрины правил покажите.

Пускает, только если прокси прописать

pfsense.JPG_thumb

werter

Что у людей на машинах шлюзом указано?
Правильные ли настройки DNS на машинах? nslookup что говорит у клиентов?
Настройки NAT - автоматом или вручную?

P.s. Если все плохо - выгружайте конфигурацию в файл, сбрасывайте настройки в дефолт и проверяйте, создав только одно проблемное правило.

yragan

@werter:

Что у людей на машинах шлюзом указано?
Правильные ли настройки DNS на машинах? nslookup что говорит у клиентов?
Настройки NAT - автоматом или вручную?

P.s. Если все плохо - выгружайте конфигурацию в файл, сбрасывайте настройки в дефолт и проверяйте, создав только одно проблемное правило.

Все раздается по DHCP
Шлюз Pfsense
DNS Шлюз Pfsense
nslookup показывает ip
NAT автоматически
Перестанавливал уже раз 5 всё с нуля, без толку с разными версиями squid
Пускает на https только когда прописать в настройка прокси.
При всё при этом есть сервер, который я давно настраивал и сейчас он успешно работает, и я ума не приложу в чём сейчас может быть проблема.

dvserg

В последнем сквиде могли начудить. Вроде что-то с HTTPS делали. Дамп правил можете показать?

yragan

@dvserg:

В последнем сквиде могли начудить. Вроде что-то с HTTPS делали. Дамп правил можете показать?

А это как достать?

dvserg

@yragan:

@dvserg:

В последнем сквиде могли начудить. Вроде что-то с HTTPS делали. Дамп правил можете показать?

А это как достать?

Файл /tmp/rules.debug. Вытащить, зазвездить концы реальных ИП, переименовать в rules.debug.txt и прикрепить здесь.

yragan

@dvserg:

@yragan:

@dvserg:

В последнем сквиде могли начудить. Вроде что-то с HTTPS делали. Дамп правил можете показать?

А это как достать?

Файл /tmp/rules.debug. Вытащить, зазвездить концы реальных ИП, переименовать в rules.debug.txt и прикрепить здесь.

rules.debug.txt

dvserg

На первый взгляд Ок - прозрачно на Squid редиректится только HTTP
Вам IPV6 нужен?
И попробуйте еще для теста WebGUI с HTTPS на HTTP переключить.

yragan

@dvserg:

На первый взгляд Ок - прозрачно на Squid редиректится только HTTP
Вам IPV6 нужен?
И попробуйте еще для теста WebGUI с HTTPS на HTTP переключить.

IPV6 я вроде везде отключил, кроме как в правил и оттуда тоже сейчас удалил.
WebGUI с HTTPS на HTTP перевел. Для эксперимента пробовал его включить.

dvserg

Включите логирование правил, чтобы собрать статистику.
Я вечером посмотрю Ваш дамп более подробно.

yragan

@dvserg:

Включите логирование правил, чтобы собрать статистику.
Я вечером посмотрю Ваш дамп более подробно.

А подскажите пожалуйста это включить?

werter

2 yragan

А у вас случаем HAVP не установлен или не был уставновлен? Если установлен - удалите его (толку немного , а вот проблемы создает). После удаления выполните :

http://forum.pfsense.org/index.php/topic,65810.msg359860.html#msg359860

Разобрался. Ещё заметил такую недоработку. Если был установлен и включен HAVP, а затем его выключили, то прокси перестанет работать. Нужно заходить в свойства squid и удалить 2 строчки перенаправления, которые создал HAVP при включении, в поле Custom options.

yragan

@werter:

2 yragan

А у вас случаем HAVP не установлен или не был уставновлен? Если установлен - удалите его (толку немного , а вот проблемы создает). После удаления выполните :

http://forum.pfsense.org/index.php/topic,65810.msg359860.html#msg359860

Разобрался. Ещё заметил такую недоработку. Если был установлен и включен HAVP, а затем его выключили, то прокси перестанет работать. Нужно заходить в свойства squid и удалить 2 строчки перенаправления, которые создал HAVP при включении, в поле Custom options.

И с ним и без него проблемы остаются, я в начале пробовал на чистой системе, только установлен squid, потом только поставил HAVP и squidGuard. Думал может хоть с ними как-то заработает, а нет, не работает.

werter

И с ним и без него проблемы остаются, я в начале пробовал на чистой системе, только установлен squid, потом только поставил HAVP и squidGuard. Думал может хоть с ними как-то заработает, а нет, не работает.

1. Поставьте pfsense вообще без каких либо пакетов и создайте одно разрешающее всё правило на LAN. Проверьте.
2. Создайте только правила, разрешающие DNS, icmp, http, https . Проверьте.
3. Установите squid 3.1 (или какой там сейчас stable из 3-ей ветки). Проверьте с ним.

Это наз-ся метод исключения.

yragan

1. Поставьте pfsense вообще без каких либо пакетов и создайте одно разрешающее всё правило на LAN. Проверьте.
2. Создайте только правила, разрешающие DNS, icmp, http, https . Проверьте.
3. Установите squid 3.1 (или какой там сейчас stable из 3-ей ветки). Проверьте с ним.

Это наз-ся метод исключения.

первые два пункта не работает, третий даже не стал пробовать
При этом скачивать пакеты я могу, значит и интернет есть.