[SOLUCIONADO] Problemas con squid3-dev - 3.3.10 pkg 2.2 lo instalo y no inicia

bellera

@ marcelloc,

Thanks. I'll translate your answer to Spanish….

bellera

@marcelloc:

remove/comment these X509_V_ERR_DIFFERENT_CRL_SCOPE options on squid.conf/squid.inc

It may fix package startup.

I'll fix it on next package update as soon as possible.

Thanks for the feedback.

_Quitar/comentar las opciones X509_V_ERR_DIFFERENT_CRL_SCOPE  en squid.conf/squid.inc

De esto modo quedará corregido el arranque del paquete.

Incluiré esta modificación en la próxima actualización del paquete, lo más pronto que pueda.

Gracias por el testeo.

marcelloc (desarrollador de los paquetes pfSense para squid)_

**En cuanto pueda, probaré lo dicho con mi pfSense de pruebas en VirtualBox…

Josep (moderador)**

bellera

@marcelloc:

remove/comment these X509_V_ERR_DIFFERENT_CRL_SCOPE options on squid.conf/squid.inc

It may fix package startup.

I'll fix it on next package update as soon as possible.

Thanks for the feedback.

I had to modify /usr/pbi/squid-i386/etc/squid/errors/en/error-details.txt

[2.1-RELEASE][admin@pfSense.localdomain]/usr/pbi/squid-i386/etc/squid/errors/en(61): diff error-details.txt error-details.txt-original 
176a177,184
> name: X509_V_ERR_DIFFERENT_CRL_SCOPE
> detail: "%ssl_error_descr: %ssl_subject"
> descr: "Different CRL scope"
> 
> name: X509_V_ERR_UNSUPPORTED_EXTENSION_FEATURE
> detail: "%ssl_error_descr: %ssl_subject"
> descr: "Unsupported extension feature"
> 
180a189,216
> name: X509_V_ERR_PERMITTED_VIOLATION
> detail: "%ssl_error_descr: %ssl_subject"
> descr: "permitted subtree violation"
> 
> name: X509_V_ERR_EXCLUDED_VIOLATION
> detail: "%ssl_error_descr: %ssl_subject"
> descr: "excluded subtree violation"
> 
> name: X509_V_ERR_SUBTREE_MINMAX
> detail: "%ssl_error_descr: %ssl_subject"
> descr: "name constraints minimum and maximum not supported"
> 
> name: X509_V_ERR_UNSUPPORTED_CONSTRAINT_TYPE
> detail: "%ssl_error_descr: %ssl_subject"
> descr: "unsupported name constraint type"
> 
> name: X509_V_ERR_UNSUPPORTED_CONSTRAINT_SYNTAX
> detail: "%ssl_error_descr: %ssl_subject"
> descr: "unsupported or invalid name constraint syntax"
> 
> name: X509_V_ERR_UNSUPPORTED_NAME_SYNTAX
> detail: "%ssl_error_descr: %ssl_subject"
> descr: "unsupported or invalid name syntax"
> 
> name: X509_V_ERR_CRL_PATH_VALIDATION_ERROR
> detail: "%ssl_error_descr: %ssl_subject"
> descr: "CRL path validation error"
>

but still not working:

2014/03/12 22:55:21 kid1| Starting Squid Cache version 3.3.10 for i386-portbld-freebsd8.3...
2014/03/12 22:55:21 kid1| Process ID 50666
2014/03/12 22:55:21 kid1| Process Roles: worker
2014/03/12 22:55:21 kid1| With 11095 file descriptors available
2014/03/12 22:55:21 kid1| Initializing IP Cache...
2014/03/12 22:55:21 kid1| DNS Socket created at [::], FD 12
2014/03/12 22:55:21 kid1| DNS Socket created at 0.0.0.0, FD 14
2014/03/12 22:55:21 kid1| Adding domain localdomain from /etc/resolv.conf
2014/03/12 22:55:21 kid1| Adding nameserver 127.0.0.1 from /etc/resolv.conf
2014/03/12 22:55:21 kid1| Adding nameserver 80.58.61.250 from /etc/resolv.conf
2014/03/12 22:55:21 kid1| Adding nameserver 80.58.61.254 from /etc/resolv.conf
2014/03/12 22:55:21 kid1| Logfile: opening log /var/squid/logs/access.log
2014/03/12 22:55:21 kid1| WARNING: log parameters now start with a module name. Use 'stdio:/var/squid/logs/access.log'
2014/03/12 22:55:21 kid1| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2014/03/12 22:55:21 kid1| Store logging disabled
2014/03/12 22:55:21 kid1| Swap maxSize 0 + 8192 KB, estimated 630 objects
2014/03/12 22:55:21 kid1| Target number of buckets: 31
2014/03/12 22:55:21 kid1| Using 8192 Store buckets
2014/03/12 22:55:21 kid1| Max Mem  size: 8192 KB
2014/03/12 22:55:21 kid1| Max Swap size: 0 KB
2014/03/12 22:55:21 kid1| Using Least Load store dir selection
2014/03/12 22:55:21 kid1| Current Directory is /usr/local/www
2014/03/12 22:55:21 kid1| Loaded Icons.
2014/03/12 22:55:21 kid1| HTCP Disabled.
2014/03/12 22:55:21 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2014/03/12 22:55:21 kid1| sendto FD 18: (1) Operation not permitted
2014/03/12 22:55:21 kid1| ipcCreate: CHILD: hello write test failed

Bug?

http://www.squid-cache.org/mail-archive/squid-users/201302/0060.html

Has pfSense diskd activated? I have some proxys FreeBSD based and diskd must be activated by kernel…

marcelloc

Squidguard-squid3 systempatch for use with squid3-dev 

I found it today on forum.

bellera

Ok, thanks, but first problem is running squid3-devel after fresh installation.

For the moment, I don't have squidGuard-squid3

bellera

@ marcelloc,

My error was IPV6 disabled!

https://forum.pfsense.org/index.php?topic=63618.msg344165#msg344165

2014/03/12 23:25:03 kid1| Starting Squid Cache version 3.3.10 for i386-portbld-freebsd8.3...
2014/03/12 23:25:03 kid1| Process ID 35219
2014/03/12 23:25:03 kid1| Process Roles: worker
2014/03/12 23:25:03 kid1| With 11095 file descriptors available
2014/03/12 23:25:03 kid1| Initializing IP Cache...
2014/03/12 23:25:03 kid1| DNS Socket created at [::], FD 12
2014/03/12 23:25:03 kid1| DNS Socket created at 0.0.0.0, FD 14
2014/03/12 23:25:03 kid1| Adding domain localdomain from /etc/resolv.conf
2014/03/12 23:25:03 kid1| Adding nameserver 127.0.0.1 from /etc/resolv.conf
2014/03/12 23:25:03 kid1| Adding nameserver 80.58.61.250 from /etc/resolv.conf
2014/03/12 23:25:03 kid1| Adding nameserver 80.58.61.254 from /etc/resolv.conf
2014/03/12 23:25:03 kid1| Logfile: opening log /var/squid/logs/access.log
2014/03/12 23:25:03 kid1| WARNING: log parameters now start with a module name. Use 'stdio:/var/squid/logs/access.log'
2014/03/12 23:25:03 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2014/03/12 23:25:03 kid1| Unlinkd pipe opened on FD 19
2014/03/12 23:25:03 kid1| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2014/03/12 23:25:03 kid1| Store logging disabled
2014/03/12 23:25:03 kid1| Swap maxSize 102400 + 8192 KB, estimated 8507 objects
2014/03/12 23:25:03 kid1| Target number of buckets: 425
2014/03/12 23:25:03 kid1| Using 8192 Store buckets
2014/03/12 23:25:03 kid1| Max Mem  size: 8192 KB
2014/03/12 23:25:03 kid1| Max Swap size: 102400 KB
2014/03/12 23:25:03 kid1| Rebuilding storage in /var/squid/cache (no log)
2014/03/12 23:25:03 kid1| Using Least Load store dir selection
2014/03/12 23:25:03 kid1| Current Directory is /usr/local/www
2014/03/12 23:25:03 kid1| Loaded Icons.
2014/03/12 23:25:03 kid1| HTCP Disabled.
2014/03/12 23:25:03 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2014/03/12 23:25:03 kid1| Pinger socket opened on FD 26
2014/03/12 23:25:03 kid1| Squid plugin modules loaded: 0
2014/03/12 23:25:03 kid1| Adaptation support is off.
2014/03/12 23:25:03 kid1| Accepting HTTP Socket connections at local=192.168.1.1:3128 remote=[::] FD 23 flags=9
2014/03/12 23:25:03 kid1| Accepting ICP messages on [::]:7
2014/03/12 23:25:03 kid1| Sending ICP messages from [::]:7
2014/03/12 23:25:03| pinger: Initialising ICMP pinger ...
2014/03/12 23:25:03| pinger: ICMP socket opened.
2014/03/12 23:25:03| pinger: ICMPv6 socket opened
2014/03/12 23:25:03 kid1| Done scanning /var/squid/cache dir (0 entries)
2014/03/12 23:25:03 kid1| Finished rebuilding storage from disk.
2014/03/12 23:25:03 kid1|         0 Entries scanned
2014/03/12 23:25:03 kid1|         0 Invalid entries.
2014/03/12 23:25:03 kid1|         0 With invalid flags.
2014/03/12 23:25:03 kid1|         0 Objects loaded.
2014/03/12 23:25:03 kid1|         0 Objects expired.
2014/03/12 23:25:03 kid1|         0 Objects cancelled.
2014/03/12 23:25:03 kid1|         0 Duplicate URLs purged.
2014/03/12 23:25:03 kid1|         0 Swapfile clashes avoided.
2014/03/12 23:25:03 kid1|   Took 0.13 seconds (  0.00 objects/sec).
2014/03/12 23:25:03 kid1| Beginning Validation Procedure
2014/03/12 23:25:03 kid1|   Completed Validation Procedure
2014/03/12 23:25:03 kid1|   Validated 0 Entries
2014/03/12 23:25:03 kid1|   store_swap_size = 0.00 KB
2014/03/12 23:25:04 kid1| storeLateRelease: released 0 objects

But if I'm not having IPv6 on my network why I need it activated?

bellera

Por mi parte, solucionado:

01. IPv6 activado. squid3 está compilado en este paquete con IPv6 activado y lo precisa, aunque no lo emplee.

02. Las librerías que faltan, https://forum.pfsense.org/index.php?topic=66633.msg371602#msg371602

03. Instalación de squid3-devel

04. Services - Proxy Server - General - Enabled logging - /var/squid/logs (opcional, si se quiere access.log)
    Services - Proxy Server - Local cache - Save  (crear la caché inicial)
    Services - Proxy Server - Restart Proxy Server (reiniciar)

05. 192.168.1.1:3128 como proxy en el navegador y funciona.

06. Eliminar error netdb.state (OPCIONAL), http://forum.pfsense.org/index.php?topic=74312.msg406254#msg406254
Resuelto con la versión 2.2.2 del paquete squid3-dev
Ver cambios de versión –-> https://github.com/pfsense/pfsense-packages/commits/master/config/squid3/33

07. Avisos de error en error-details.txt. No son graves y se deben a diferencias de versiones de OpenSSL. Pueden eliminarse modificando el fichero según se explica en http://bugs.squid-cache.org/show_bug.cgi?id=3936

Ahora queda probar el resto: modo transparente y SSL Bump (poder saber páginas visitadas por HTTPS si modo transparente).

http://wiki.squid-cache.org/Features/SslBump

bellera

Modo transparente para http –-> Funciona correctamente.

Modo transparente para https –-> No arranca, https://forum.pfsense.org/index.php?topic=72872.msg402537#msg402537

Modo transparente para https (SSL Bump) –-> Sí arranca. Se precisa:

01. Crear una autoridad certificadora (CA) propia en pfSense
System: Cert Manager: CAs

02. Configurar dicha CA en SSL man in the middle Filtering de las opciones generales del paquete squid3-devel

03. SSL Proxy port distinto del no SSL (3128). Por ejemplo, 3129

04. Volver a la emisión de CAs y hacer export CA cert (primer botón a la derecha del botón [e] de edición).

05. Distribuir el archivo MiAutoridadCertificadora.crt a todos los usuarios.

06a. En Firefox Linux, MiAutoridadCertificadora.crt se importa yendo a:
Edita / Preferencias / Avanzado / Visualiza los certificados / Importa / Confía en esta CA para identificar sitios web

06b. Con servidor web se puede simplificar la distribución con algo como www.midominio.tld/MiAutoridadCertificadora.crt. Abriendo el archivo con el navegador, éste pregunta si se quiere importar la CA.

La distribución a los usuarios del certificado de autoridad y su instalación puede ser bastante engorrosa en muchos entornos.

Se precisa una autoridad certificadora propia para ir emitiendo "al vuelo" un certificado para cada servidor distinto visitado por https. El mecanismo se basa en un ataque MITM, http://es.wikipedia.org/wiki/Ataque_Man-in-the-middle y es usado también por muchos dispositivos (appliances) comerciales cortafuegos que inspeccionan el tráfico.

Ejemplo: http://www.pandasecurity.com/spain/enterprise/support/card?id=41811#Cambios_aplicados_2013-01-31

Instalación de la CA en Android –-> http://forum.pfsense.org/index.php?topic=74007.msg405526#msg405526
Instalación de la CA en iOS ---> http://forum.pfsense.org/index.php?topic=74007.msg405578#msg405578

Bug en squid3-dev 3.3.10 pkg 2.2.2
http://forum.pfsense.org/index.php?topic=62256.msg407762#msg407762

joselms02

Buen día Sr. Bellera, estoy probando squid3-dev siguiendo estas recomendaciones y pasos y todo aparentemente esta funcionando bien, pero me queda una duda con lo del certificado. Tengo un certificado generado para utilizar openvpn, y es el que tengo seleccionado el la configuración de squid en opción CA de SSL man in the middle Filtering. Ahora la pregunta es, con este mismo certificado puedo hacer la Instalación de certificados Comodo que esta en el post https://forum.pfsense.org/index.php?topic=70225.msg402528#msg402528, o tengo que crear uno nuevo?.

Espero haberme explicado bien.

Gracias.-

bellera

01. Crear una autoridad certificadora (CA) propia en pfSense
System: Cert Manager: CAs

02. Configurar dicha CA en SSL man in the middle Filtering de las opciones generales del paquete squid3-devel

Tienes que tener tu propia autoridad certificadora en pfSense.

Internal --> YES
Issuer --> Self signed

Si con OpenVPN ya creaste tu autoridad certificadora puede servirte la misma.

La autoridad certificadora es quien emite certificados. squid3-devel los emite "al vuelo" para hacer creer al navegador que es el destino de la conexión SSL. Mira la explicación de lo que es man-in-the-middle,  http://es.wikipedia.org/wiki/Ataque_Man-in-the-middle

No confundas pues la CA (Autoridad Certificadora) con certificados de servidor o de cliente.

No te servirán de nada aquí pues los certificados de Comodo.

05. Distribuir el archivo MiAutoridadCertificadora.crt a todos los usuarios.

06a. En Firefox Linux, MiAutoridadCertificadora.crt se importa yendo a:
Edita / Preferencias / Avanzado / Visualiza los certificados / Importa / Confía en esta CA para identificar sitios web

06b. Con servidor web se puede simplificar la distribución con algo como www.midominio.tld/MiAutoridadCertificadora.crt. Abriendo el archivo con el navegador, éste pregunta si se quiere importar la CA.

Para implantar esto no queda otro remedio.

marcelloc

@bellera:

But if I'm not having IPv6 on my network why I need it activated?

It's something with squid compilation. If I compile squid without ipv6 support, it works fine on ipv4 networks.
The problem is that pfsense 2.1 is ipv6 ready so I can't remove it from compile options.

Moderador 19-jun-2014 10:14 GMT +1
Un par de usuarios de este foro manifiestan problemas. Faltan datos contrastados de su instalación.
Se separan en un nuevo hilo estas intervenciones y se cierra el presente hilo.
El nuevo hilo es https://forum.pfsense.org/index.php?topic=78337