[Solucionado] problema con cargar un sitio

falcom

da igual he utilizado los siguientes configuraciones en mi proxy.pac

function FindProxyForURL(url, host)
{
    if (
        localHostOrDomainIs(host, "sni.gob.ec") return "DIRECT";
)
    } else
{
  return "PROXY 192.168.0.7:8080";
}
}

function FindProxyForURL(url, host)
{
  if (host =="sni.gob.ec") return "DIRECT";
      else return "PROXY 192.168.0.7:8080; DIRECT";}

function FindProxyForURL(url, host) {
        // our local URLs from the domains below example.com don't need a proxy:
        if (shExpMatch(url, "http://www.sni.gob.ec")) return "DIRECT";
        return "PROXY 192.168.0.7:8080;";
}

y ninguna funciona, obviamente los clientes tienen acceso al file proxy.pac q esta ubicado en http://192.168.0.7/proxy.pac, alguna otra idea, siempre el mismo error

Se encontró el siguiente error al intentar recuperar la dirección URL: http://192.168.199.15:9090/mwg-internal/de5fs23hu73ds/plugin?

Conexión a 192.168.199.15 fallida.

El sistema ha devuelto: (110) Connection timed out

bellera

Prueba esto, a ver:

function FindProxyForURL(url, host) {
   if (shExpMatch(url,"*.gob.ec")) {return "DIRECT";}
   return "PROXY 192.168.0.7:8080; DIRECT";
}

falcom

Gracias pero tampoco funciona!! alguna otra idea?

falcom

aca puse en detalle el problema ? alguna otra idea?
http://www.ecualug.org/?q=20131205/redes/problema_acceso_snigobec_desde_una_lan_detras_de_un_proxy_squid

bellera

:( :( :(

Pues convencido de que funcionaría. Eso seguro que hace el acceso sin ir a usar el proxy…

¿Con qué navegador has probado?

Lo pregunto para asegurarnos de si pasa con distintos navegadores (IExplorer, Firefox, Chrome).

falcom

Estoy usando firefox 25 en mi fedora 19 x64, kernel: 3.11.10-200
tambien probe en mi g00gle chrome 31.0.1650.63, tampoco funciona siempre el mismo error
He puesto un mail a los administradores de los sitios hace algunos dias, pero hasta ahora ninguna respuesta  :'(

bellera

El problema parece relacionado con una configuración incorrecta de McAfee Web Gateway.

De ahí el nwg-internal de por medio.

Problemas parecidos consultando Google:

https://community.mcafee.com/message/294370

https://community.mcafee.com/thread/30942

falcom

Si tambien revise esos links anteriormente, pero los administradores nada que responden..jeje  :'(

LEPM

Los que no pueden ver el sitio usan squid 3.1?

bellera

@bellera:

Parece que esa página no tolera el uso de un proxy.

Puede ser un error de ellos o una seguridad impuesta por ellos.

Tengo un squid+squidGuard fuera de pfSense y el resultado es:

http://192.168.199.15:9090/mwg-internal/de5fs23hu73ds/plugin?target=Auth&reason=Auth&ClientID=1434568694&ttl=600&url=aHR0cDovL3d3dy5wbGFuaWZpY2FjaW9uLmdvYi5lYy8=&rnd=1386061578

Sin proxy se llega bien a la página. Tendreis que hacer que vaya directo.

Prueba hecha con squid 2.x, no con 3.x

LEPM

josep

Yo me refiero a los que instalan squid 2,7.x o 3.1.x desde el repositorio de pfsense

el gui tiene sus limitaciones….

falcom

@LEPM:

Los que no pueden ver el sitio usan squid 3.1?

Yo uso squid 3.1.10 en mi centos 6.4 x64 y por el momento no uso pfsense para probar!

bellera

function FindProxyForURL(url, host) {
   if (shExpMatch(url,"*.gob.ec/*")) {return "DIRECT";}
   return "PROXY 192.168.0.7:8080; DIRECT";
}

¡Mil perdones! Faltaba /* detrás de *.gob.ec

Es una URL, por tanto el código que te doy (¡ojo!) es para que se vaya directo a cualquier cosa que incluya .gob.ec/

Igual puedes optimizarlo tú mejor para tu uso. Por ejemplo:

://planificacion.gob.ec/

://www.planificacion.gob.ec/

Puedes meter tantas líneas como quieras en el JavaScript:

 if (shExpMatch(url,"*://planificacion.gob.ec/*")) {return "DIRECT";}
 if (shExpMatch(url,"*://www.planificacion.gob.ec/*")) {return "DIRECT";}

Con el ejemplo cubres http, https y servidor sin/con www. delante.

falcom

No amigo no funciona, en todo caso gracias por tu ayuda

Sigue saliendo el mismo error:

Se encontró el siguiente error al intentar recuperar la dirección URL: http://192.168.199.15:9090/mwg-internal/de5fs23hu73ds/plugin?

Conexión a 192.168.199.15 fallida.

El sistema ha devuelto: (110) Connection timed out

El host remoto o la red se ha caído. Por favor, inténtelo de nuevo la petición.

bellera

Aségurate de que tu navegador ha leído correctamente la última versión de tu proxy.pac

A mi me funcionó.

Si usas Firefox, puedes instalar la extensión Live HTTP headers para ver las peticiones y que se va directo.

falcom

si claro si coloco http://192.168.0.7/proxy.pac automaticamente me muestra los nuevos cambios
yo utilizo en mi firefox otra extension mucho mas interesante llamada httpfox, creo q hace lo mismo q tu dices…

00:22:30.067 0.067 314 4206 GET 302 Redirect to: http://192.168.199.15:9090/mwg-internal/de5fs23hu73ds/plugin?target=Auth&reason=Auth&ClientID=3801491143&ttl=600&url=aHR0cDovL3d3dy5zbmkuZ29iLmVjL3dlYi9ndWVzdA==&rnd=1386968616 http://www.sni.gob.ec/web/guest
00:22:30.180 * 435/435 * GET * * http://192.168.199.15:9090/mwg-internal/de5fs23hu73ds/plugin?target=Auth&reason=Auth&ClientID=3801491143&ttl=600&url=aHR0cDovL3d3dy5zbmkuZ29iLmVjL3dlYi9ndWVzdA==&rnd=1386968616

como ves el error persiste!

bellera

Ahí tienes una respuesta "normal", donde AAA.BBB.CCC.DDD es mi IP pública, es decir, cuando voy directo.

http://planificacion.gob.ec/

GET / HTTP/1.1
Host: planificacion.gob.ec
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:26.0) Gecko/20100101 Firefox/26.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ca,en-us;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: __utma=122735050.644630186.1386092121.1386092121.1386637217.2; __utmz=122735050.1386092121.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none)
Connection: keep-alive

HTTP/1.1 301 Moved Permanently
Via: 1.1 192.168.199.15 (McAfee Web Gateway 7.3.2.3.0.16052), 1.1 AAA.BBB.CCC.DDD
Date: Fri, 13 Dec 2013 20:55:15 GMT
Vary: User-Agent
Server: Apache
Location: http://www.planificacion.gob.ec/
X-Pingback: http://www.planificacion.gob.ec/xmlrpc.php
Content-Type: text/html; charset=UTF-8
X-Powered-By: W3 Total Cache/0.9.2.4
Content-Length: 0
Connection: Keep-Alive
Keep-Alive: timeout=60, max=8
----------------------------------------------------------
http://www.planificacion.gob.ec/

GET / HTTP/1.1
Host: www.planificacion.gob.ec
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:26.0) Gecko/20100101 Firefox/26.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ca,en-us;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: __utma=122735050.644630186.1386092121.1386092121.1386637217.2; __utmz=122735050.1386092121.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); _pk_id.52.772d=a400d07c2ab4134d.1386092123.2.1386638082.1386092123.
Connection: keep-alive

HTTP/1.1 200 OK
Via: 1.1 192.168.199.15 (McAfee Web Gateway 7.3.2.3.0.16052), 1.1 AAA.BBB.CCC.DDD
Date: Fri, 13 Dec 2013 20:55:17 GMT
Vary: User-Agent
Server: Apache
X-Pingback: http://www.planificacion.gob.ec/xmlrpc.php
Content-Type: text/html; charset=UTF-8
X-Powered-By: W3 Total Cache/0.9.2.4
Connection: Keep-Alive
Keep-Alive: timeout=60, max=8
Transfer-Encoding: chunked

Si no voy directo se produce el redireccionamiento problemático. En ese caso, en lugar de mi IP Pública hay la privada de mi servidor proxy (o su nombre DNS interno). Como que no existe en internet (pienso que) NWG deniega la petición.

Insisto en que a mi me funciona el proxy.pac con squid 2.x. ¿Cerraste el navegador y lo volviste a abrir para estar seguro del nuevo proxy.pac?

Ahora (22:17 en Europa continental) no puedo, pero mañana probaré con squid 3.x.

falcom

Si entiendo perfectamente el tema,  lo he probado con squid 3.1.10 q es la version que tengo en produccion, tambien la probe con la version squid 3.4.1.1 (q es la ultima) y tampoco funciona.
y claro cerre el browser y lo volvi a abrir y naaa
gracias por tu ayuda
PD: Usas ubuntu…..bueno... mientras sea un linux.. suficiente.. jeje ;)

bellera

mañana probaré con squid 3.x.

Después de escribir esto pensé que era una suma tontería, pues pasar o no pasar por el proxy depende del navegador si proxy.pac más las reglas de paso que tengamos actúan correctamente.

Sin embargo hice una prueba hace unos minutos:

• pfSense 2.1 en 192.168.1.1 (LAN)
• Regla por defecto en LAN que autoriza todo hacia internet
• squid 3.1 en pfSense, 192.168.1.1:3128
• Cliente Ubuntu en 192.168.1.2
• Firefox 26 en cliente, con 192.168.1.1:3128 -> no pasa
• Firefox 26 en cliente, con ecuador.pac -> pasa

Con Live HTTP Headers y Services - Proxy Server - Real time se puede ver con todo detalle qué pasa.

La diferencia esencial en la respuesta de MWG es:

CON PROXY

Via: 1.1 192.168.199.15 (McAfee Web Gateway 7.3.2.3.0.16052), 1.1 AAA.BBB.CCC.DDD, 1.0 localhost (squid/3.1.22)

DIRECTO (USANDO ECUADOR.PAC)

Via: 1.1 192.168.199.15 (McAfee Web Gateway 7.3.2.3.0.16052), 1.1 AAA.BBB.CCC.DDD

AAA.BBB.CCC.DDD es mi IP pública.

Como se puede ver MWG, detecta el uso de un proxy y es cuando "deniega" el acceso.

ecuador.pac

function FindProxyForURL(url, host) {
   if (shExpMatch(url,"*.gob.ec/*")) {return "DIRECT";}
   return "PROXY 192.168.1.1:3128; DIRECT";
}

Pienso que algo no va bien en las pruebas que hiciste, pues ya ves que me funciona. Además, me funciona en dos entornos distintos, el antes comentado y este otro (comentado hace unos días):

• Windows XP, con Firefox 25
• Squid 2.x externo a pfSense
• pfSense 2.0

LEPM

falcom

agrega en squid.conf (sin comillas):

"via off"
"request_header_access X-Forwarded-For deny all"

#############
squid -k reconfigure

###############

la primera linea para que no envíe que estas usando squid+version!
la segunda para que no envíe la ip de la maquina detrás del proxy;en pfsense,squid 3,1 no funciona al marcar la casilla: disable X-Forwarder
probado en squid 3.1 sobre centos 6.5
##############
will23b
si usas squid 3.1 sobre pfsense la segunda linea, la ingresas en custom option, en la pestaña general,via off desde el gui!
por favor comenta el resultado!