Problema con pfsense2.1(i386)+squid3-dev+squidguard-squid3 y skype

bellera

@anmr2380:

verifique si esta vien la configuracion del certificado

Esas dos opciones las tengo desactivadas (tal como viene en default). En el foro en inglés un usuario tenía la segunda desactivada y problemas…

Las tengo desactivadas en mi instalación de pruebas (32 bit) y en la que entrará pronto en producción (64 bit). Y no he tenido necesidad de tocarlas.

anmr2380

mmmmmm yayayyaya
hay alguna forma de desactivarlos porque no veo ninguna, pero tuve una experiencia anterior antes de reinstalar el pfsense en el cuadro de certificado al tener seleccionado en el primer cuadro "do not verify remote certificate" asi pusiera el certificado en firefox xp como autoridad de confianza me seguia saliendo error de certificado entonces cambie a "accept remote server certificate error" y solucionado
con el segundo cuadro asi ponga la que sea no vi que afectara en nada

bueno pero con el problema del proxy transparente que no inicia al primer arranque abra una solucion (solo es la funcion de transparente porque todos los servicios estan activos, vistes si hay algun problema de integracion en el checbox??

joselms02

Seleccionala nuevamente y se desmarcá.

Saludos.-

anmr2380

saludos joselms

la verdad que no funciona ni con uno ni dos click

bellera

Ctl+Click

bellera

@anmr2380:

asi pusiera el certificado en firefox xp como autoridad de confianza me seguia saliendo error de certificado entonces cambie a "accept remote server certificate error" y solucionado

¿Estás seguro de haber puesto tu CA en entidades (autoridares certificadoras) de Firefox? Si lo metes en alguno de los otros tipos no funciona.

bellera

@anmr2380:

bueno pero con el problema del proxy transparente que no inicia al primer arranque abra una solucion (solo es la funcion de transparente porque todos los servicios estan activos, vistes si hay algun problema de integracion en el checbox??

Integrations es simplemente la configuración de squidGuard para squid. Está correcto.

$ find / -name cache.log
/var/squid/logs/cache.log

En cache.log squid te dirá qué pasa:

$ tail /var/squid/logs/cache.log
2014/03/27 07:20:47 kid1|         0 Objects expired.
2014/03/27 07:20:47 kid1|         0 Objects cancelled.
2014/03/27 07:20:47 kid1|         0 Duplicate URLs purged.
2014/03/27 07:20:47 kid1|         0 Swapfile clashes avoided.
2014/03/27 07:20:47 kid1|   Took 0.15 seconds (32415.64 objects/sec).
2014/03/27 07:20:47 kid1| Beginning Validation Procedure
2014/03/27 07:20:47 kid1|   Completed Validation Procedure
2014/03/27 07:20:47 kid1|   Validated 4831 Entries
2014/03/27 07:20:47 kid1|   store_swap_size = 92152.00 KB
2014/03/27 07:20:48 kid1| storeLateRelease: released 0 objects

El cat en el configurador web no funciona. Seguramente porque el fichero es grande.

Hay que ir a consola…

$ cat /var/squid/logs/cache.log | more

anmr2380

saludos tengo estos errores haber si me ayudan

2014/03/27 23:22:02 kid1| Starting Squid Cache version 3.3.10 for i386-portbld-freebsd8.3…
2014/03/27 23:22:02 kid1| Process ID 13840
2014/03/27 23:22:02 kid1| Process Roles: worker
2014/03/27 23:22:02 kid1| With 11095 file descriptors available
2014/03/27 23:22:02 kid1| Initializing IP Cache...
2014/03/27 23:22:02 kid1| DNS Socket created at [::], FD 12
2014/03/27 23:22:02 kid1| DNS Socket created at 0.0.0.0, FD 13
2014/03/27 23:22:02 kid1| Adding domain localdomain from /etc/resolv.conf
2014/03/27 23:22:02 kid1| Adding nameserver 127.0.0.1 from /etc/resolv.conf
2014/03/27 23:22:02 kid1| Adding nameserver 192.168.100.1 from /etc/resolv.conf
2014/03/27 23:22:02 kid1| Adding nameserver 192.168.1.1 from /etc/resolv.conf
2014/03/27 23:22:02 kid1| helperOpenServers: Starting 5/8 'ssl_crtd' processes
2014/03/27 23:22:02 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2014/03/27 23:22:02 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2014/03/27 23:22:02 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2014/03/27 23:22:02 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2014/03/27 23:22:02 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2014/03/27 23:22:02 kid1| helperOpenServers: Starting 8/16 'squidGuard' processes
2014/03/27 23:22:02 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2014/03/27 23:22:02 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2014/03/27 23:22:02 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2014/03/27 23:22:02 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2014/03/27 23:22:02 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2014/03/27 23:22:02 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2014-03-27 23:22:03 [15941] (squidGuard): can't write to logfile /var/log/squidGuard.log
2014/03/27 23:22:03 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2014-03-27 23:22:03 [17495] (squidGuard): can't write to logfile /var/log/squidGuard.log
2014-03-27 23:22:03 [16180] (squidGuard): can't write to logfile /var/log/squidGuard.log
2014-03-27 23:22:03 [16788] (squidGuard): can't write to logfile /var/log/squidGuard.log
2014/03/27 23:22:03 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2014-03-27 23:22:03 [16166] (squidGuard): can't write to logfile /var/log/squidGuard.log
2014-03-27 23:22:03 [17276] (squidGuard): can't write to logfile /var/log/squidGuard.log
2014-03-27 23:22:03 [17633] (squidGuard): can't write to logfile /var/log/squidGuard.log

y este

2014/03/28 07:19:18 kid1| Starting Squid Cache version 3.3.10 for i386-portbld-freebsd8.3…
2014/03/28 07:19:19 kid1| Process ID 16338
2014/03/28 07:19:19 kid1| Process Roles: worker
2014/03/28 07:19:19 kid1| With 11095 file descriptors available
2014/03/28 07:19:19 kid1| Initializing IP Cache...
2014/03/28 07:19:19 kid1| DNS Socket created at [::], FD 12
2014/03/28 07:19:19 kid1| DNS Socket created at 0.0.0.0, FD 13
2014/03/28 07:19:19 kid1| Adding domain localdomain from /etc/resolv.conf
2014/03/28 07:19:19 kid1| Adding nameserver 127.0.0.1 from /etc/resolv.conf
2014/03/28 07:19:19 kid1| Adding nameserver 192.168.100.1 from /etc/resolv.conf
2014/03/28 07:19:19 kid1| Adding nameserver 192.168.1.1 from /etc/resolv.conf
2014/03/28 07:19:19 kid1| helperOpenServers: Starting 5/8 'ssl_crtd' processes
2014/03/28 07:19:19 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2014/03/28 07:19:19 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2014/03/28 07:19:19 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2014/03/28 07:19:19 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2014/03/28 07:19:19 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2014/03/28 07:19:19 kid1| helperOpenServers: Starting 8/16 'squidGuard' processes
2014/03/28 07:19:19 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2014/03/28 07:19:19 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2014/03/28 07:19:19 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2014/03/28 07:19:19 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2014/03/28 07:19:19 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2014/03/28 07:19:19 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2014/03/28 07:19:19 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2014/03/28 07:19:19 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2014/03/28 07:19:19 kid1| WARNING! invalid error detail name: X509_V_ERR_DIFFERENT_CRL_SCOPE
2014/03/28 07:19:19 kid1|  parse error while reading template file: /usr/pbi/squid-i386/etc/squid/errors/es/error-details.txt
2014/03/28 07:19:19 kid1| Unable to load default error language files. Reset to backups.
2014/03/28 07:19:19 kid1| WARNING! invalid error detail name: X509_V_ERR_DIFFERENT_CRL_SCOPE
2014/03/28 07:19:19 kid1|  parse error while reading template file: /usr/pbi/squid-i386/etc/squid/errors/templates/error-details.txt
2014/03/28 07:19:19 kid1| WARNING: failed to find or read error text file error-details.txt
2014/03/28 07:19:19 kid1| WARNING! invalid error detail name: X509_V_ERR_DIFFERENT_CRL_SCOPE
2014/03/28 07:19:19 kid1| WARNING! invalid error detail name: X509_V_ERR_DIFFERENT_CRL_SCOPE
2014/03/28 07:19:19 kid1| Logfile: opening log /var/squid/logs/access.log
2014/03/28 07:19:19 kid1| WARNING: log parameters now start with a module name. Use 'stdio:/var/squid/logs/access.log'
2014/03/28 07:19:19 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
2014-03-28 07:19:19 [18422] (squidGuard): can't write to logfile /var/log/squidGuard.log
2014-03-28 07:19:19 [18807] (squidGuard): can't write to logfile /var/log/squidGuard.log
2014-03-28 07:19:19 [19006] (squidGuard): can't write to logfile /var/log/squidGuard.log
2014-03-28 07:19:19 [19095] (squidGuard): can't write to logfile /var/log/squidGuard.log
2014-03-28 07:19:19 [18183] (squidGuard): can't write to logfile /var/log/squidGuard.log
2014-03-28 07:19:19 [18828] (squidGuard): can't write to logfile /var/log/squidGuard.log
2014-03-28 07:19:19 [18183] New setting: logdir: /var/squidGuard/log
2014-03-28 07:19:19 [18183] New setting: dbhome: /var/db/squidGuard
2014-03-28 07:19:19 [19095] New setting: logdir: /var/squidGuard/log
2014-03-28 07:19:19 [19095] New setting: dbhome: /var/db/squidGuard
2014-03-28 07:19:19 [19095] init domainlist /var/db/squidGuard/blk_blacklists_adult/domains
2014-03-28 07:19:19 [18807] New setting: logdir: /var/squidGuard/log

como puedo solucionar estos errores
ademas he experimentado caidas del sistema (servicios "Gateway Monitoring Daemon" y "NTP clock sync" cual es el comando para ver log completo de todo el pfsense o en que ruta puedo ver los archivos log

bellera

Compueba/sigue los pasos detallados en:

squid3-devel (paquete para filtrado https en modo transparente)
http://forum.pfsense.org/index.php?topic=73007.msg402349#msg402349

squidGuard con squid3
http://forum.pfsense.org/index.php?topic=73740.0
http://forum.pfsense.org/index.php?topic=73989.0

Ese error me suena. Creo que se producía al deshabilitar el soporte para IPv6 en pfSense. Aunque no se emplee IPv6 no puede deshabilitarse.

periko

Yo elevaria el debug mas arriba y de ahi le daria una buena revisada a ver si por ahi ahi algo que falte hacer, permiso, algun archivo, etc,  un poco tedioso pero eso haria yo, saludos.
Por otro lado ahi tenemos algo que es facil reparar:

2014-03-27 23:22:03 [16166] (squidGuard): can't write to logfile /var/log/squidGuard.log

Si no esta, crearlo, si no permisos y reiniciar servicio ese mensaje debe irse, a lo mejor los permisos adecuados y listo.

anmr2380

haber saludos voy a empezar de nuevo

tengo este hardware:

procesador intel atom 1.6 (32bit)
placa base intel
con lan incorporada
1 gb de ram

instale un:
adaptador usb-lan marca intellinet que hace de wan (estoy pensando ponerla como lan)

ahora diganme si es apropiado este hardware para tener el pfsense2.1+squid3-dev(con clamav activo+transparente y ssl intercepcion)+squidguard activo con blacklist de toluose.

porque estoy experimentando muchas caidas del sistema
reviso los servicios y todos estan activos
navegacion aveces deja de funcionar
y proxy lo mismo
lo del certificado aveces me sale error de certificado
reinicio y todo vuelve a la normalidad

la instalacion del pfsense la estoy realizando por usb

ademas segui todas las intrucciones en la intalacion porque tengo guardadas las paginas que el amigo bellera proporciono

ahora cuando se realiza una reinstalacion del sistema me imagino que el instalador borra la intalacion anterior??????

periko

Con todo el respeto, pero estas usando una version marcada como -dev, o sea en fases de prueba.
Nadie te va a garantizar que funcione sin problemas, ahora si que estas en el filo de la navaja.
Yo en lo personal no he logrado ni siquiera ponerla a funcionar, muchos errores de distintos tipos.
Yo por el momento no pensaria ni por un poquito meterla a produccion aun.
Es una version de laboratorio.

Yo te recomendaria moverte a la version squid3 y seguir en esa linea, si yo se, uno quiere ya el modo transparente 80/443, pero asi como estan las cosas le falta aun para estabilizar la version y eliminar el -dev, como Centos, a lo seguro por el momento.

Ya falta poco para estabilizarla segun leo en varios post, muchas pruebas es bueno, asi que asguie probando y afinando la tuercas.

Saludos.

anmr2380

ahhh ok gracias por tu informacion en realidad soy nuevo en pfsense y estoy probando no te preocupes pero no lo tengo en produccion sino que comparto mis problemas no se si sean de ayuda a los creadores de pfsense o si estollegue a oidos de ellos y estoy tratando de ver soluciones

pero bueno entonces a tu sano juicio que me recomendarias a la actualidad utilizar
como para poder poner en produccion

en realidad estoy probando varios firewall pero me gusta este por muchas funcionalidades que otros no tienen como ssl intercepcion

periko

A bueno, si lo tienes probando excelente.
Si lo necesitas ya, sigue con la rama squid3 a lo seguro.
Y si quieres meterte mas adentro y subir los niveles de debug y a leer mucho ya que mucha info para pasartela todo el dia.
Y si hay avances mencionarlos, saludos y animo.

anmr2380

bueno gracias por tus consejos y seguire experimentando y publicando mis problemas para ayuda de todos creo yo  ;D ;D ;D ;D ;D ;D ;D ;D
tambien tengo alguien que esta intereado en el pfsense para ponerlo en produccion pero ya le habia dicho que estoy probando

anmr2380

ok correcto pero dime como hago eso de subir niveles de debug por ejemplo los problemas que tengo ahora?????

otra pregunta los paquetes adicionales de funciones hay enlaces para descargarlos e instalarlos manualmente

periko

Para el debug, en:

custom options

Agrega:

debug_options ALL,N

N es un numero, mientras mas alto mas info mostrar, puedes empezar con 9 y a leer como viejito el periodico, saludos.

anmr2380

jajajajaj correcto, pero disculpa mi total ingnorancia pero puse lo que me dijistes en command prompt pero no sale nada

bellera

@periko:

Para el debug, en:

custom options

Agrega:

debug_options ALL,N

N es un numero, mientras mas alto mas info mostrar, puedes empezar con 9 y a leer como viejito el periodico, saludos.

@ anmr2380,

Esto es para que lo metas en el cajetín Custom Options del configurador web de squid. De esta forma en squid.conf habrá una línea

debug_options ALL,N

y en cache.log (supongo, pues nunca he tenido necesidad de activar esto como usuario de squid desde por allá el año 2000) verás bastante más información.

bellera

@anmr2380:

haber saludos voy a empezar de nuevo

tengo este hardware:

procesador intel atom 1.6 (32bit)
placa base intel
con lan incorporada
1 gb de ram

instale un:
adaptador usb-lan marca intellinet que hace de wan (estoy pensando ponerla como lan)

Depende de qué tengas que hacer (número de usuarios y hábitos) este equipo puede quedarte pequeño.

Veo que al final hiciste funcionar la tarjeta wifi USB:

@anmr2380:

$ dmesg | grep RTL
rlphy0: <rtl8201l 10="" 100="" media="" interface="">PHY 1 on miibus0
urtw0: unknown RTL8187L type: 0x8000000</rtl8201l>

No veo que haya bugs documentados para ese driver (http://www.freebsd.org/cgi/man.cgi?query=urtw) pero es bastante nuevo (a partir de la 8.0). Si puedes, prueba una tarjeta "más convencional".