Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS
-
Olá pessoal!
Sou novo no PfSense, instalei e configurei com a ajuda de um amigo.
Hoje colocamos em funcionamento porém logo me deparei com erro nos serviços da NFe.Estou trabalhando com verão:
2.1.3-RELEASE (amd64)
built on Thu May 01 15:52:13 EDT 2014
FreeBSD 8.3-RELEASE-p16Squid3-dev (3.3.10 pkg 2.2.2)
SquidGuard-squid3 (1.4_4 pkg v.1.9.5)Proxy transparente e restrição de horário para acesso.
O servidor que hospeda o serviço de validação da NFe tem o IP listado num GroupACL, concedendo acesso irrestrito. O erro que ocorre ao conectar um dos web services é o seguinte:
"O seguinte erro foi encontrado ao tentar recuperar a URL: ://nfe.sefaz.mt.gov.br:443
Falha ao estabelecer uma conexão segura com 200.241.32.197
The system returned:
(92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)
Handshake with SSL server failed: error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure"Alguém pode me auxiliar?
Olá Diogo, boa tarde.
Em proxy server, Bypass Destination, coloque o IP que deseja liberar.
Fiquem com Deus.
Abraços. -
@nblx96:
Pessal acompahando o topico nao encontrei nada que resolve meu problema.
Tenho squid3-dev 3.3.10 pkg 2.2.2
squidGuard-squid3 1.4_4 pkg v.1.9.5
Com SSL em modo transparente.SQUID esta rodando porem o SQUIDGUARD esta parado.
Na parte de pacotes e patches você encontra o patch para o squidguard não rodar somente on demand no squid3.x
Não sei como foi sua pesquisa, mas já discutimos isso em vários tópicos. -
Boa tarde, estou com problemas ao enviar nfe
sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested targetsendo que acontece so quando ativo o filtro HTTPS/SSL interception.
No meu caso tive que colocar o servidor (CT-e e NF-e) que faz a comunicação com o Sefaz no bypass de origem.
Se tiver alguma outra alternativa, registra aqui. -
Boa tarde, estou com problemas ao enviar nfe
sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested targetsendo que acontece so quando ativo o filtro HTTPS/SSL interception.
No meu caso tive que colocar o servidor (CT-e e NF-e) que faz a comunicação com o Sefaz no bypass de origem.
Se tiver alguma outra alternativa, registra aqui.Blz Reginaldo deu certo, so que ao inves de liberar o ip de origem libera somente o ip de destino, que obtem do site http://bgp.he.net/ assim libera somente o acesso ao site e nao total.
Obrigado -
Olá Marcelo,
Estamos implantando esta versão do squid3-dev no meu local de trabalho e gostaria de tirar algumas dúvidas…
Este pacote, trabalhando juntamente com o SquidGuard3 se encontra apto pra utilização em uma rede de tamanho médio, em torno de 150 computadores?
Eu não consegui fazer o certificado perfeitamente no Google Chrome, quando digitamos https://gmail.com apresenta uma página dizendo que não foi possível conectar ao gmail.com real... É alguma configuração errada? Nos demais navegadores não tenho tido este problema...
É preciso copiar aquelas bibliotecas para o funcionamento do squid3-dev no pfSense 2.1.3 amd64?
Quando o usuário loga no captive portal e o método de autenticação no Squid é o CaptivePortal, o usuário ao mesmo tempo faz login no Squid?
Grato pela atenção e ajuda!
Parabéns pelo trabalho! -
Ai galera, ja esta funcionando corretamente os filtros de HTTPs?
-
Este pacote, trabalhando juntamente com o SquidGuard3 se encontra apto pra utilização em uma rede de tamanho médio, em torno de 150 computadores?
O squidguard não é tão esperto assim no tratamento de ssl, você pode ter problemas com alguns aplicativos (skype por exemplo).
Eu não consegui fazer o certificado perfeitamente no Google Chrome, quando digitamos https://gmail.com apresenta uma página dizendo que não foi possível conectar ao gmail.com real… É alguma configuração errada? Nos demais navegadores não tenho tido este problema...
Sem instalar a ca configurada no pfsense, todo site ssl vai mostrar erro, no chrome especificamente, nem acesso ao site você vai ter.
É preciso copiar aquelas bibliotecas para o funcionamento do squid3-dev no pfSense 2.1.3 amd64?
Se o squid está rodando, não precisa.
Quando o usuário loga no captive portal e o método de autenticação no Squid é o CaptivePortal, o usuário ao mesmo tempo faz login no Squid?
Quando você define a autenticação como captive portal, o squid lê a base do captive para associar o usuário.
-
-
Este pacote, trabalhando juntamente com o SquidGuard3 se encontra apto pra utilização em uma rede de tamanho médio, em torno de 150 computadores?
O squidguard não é tão esperto assim no tratamento de ssl, você pode ter problemas com alguns aplicativos (skype por exemplo).
Eu não consegui fazer o certificado perfeitamente no Google Chrome, quando digitamos https://gmail.com apresenta uma página dizendo que não foi possível conectar ao gmail.com real… É alguma configuração errada? Nos demais navegadores não tenho tido este problema...
Sem instalar a ca configurada no pfsense, todo site ssl vai mostrar erro, no chrome especificamente, nem acesso ao site você vai ter.
É preciso copiar aquelas bibliotecas para o funcionamento do squid3-dev no pfSense 2.1.3 amd64?
Se o squid está rodando, não precisa.
Quando o usuário loga no captive portal e o método de autenticação no Squid é o CaptivePortal, o usuário ao mesmo tempo faz login no Squid?
Quando você define a autenticação como captive portal, o squid lê a base do captive para associar o usuário.
Obrigado por tirar as dúvidas Marcello, quanto a questão do Chrome, o CA estava configurado nos navegadores e mesmo assim apresentava este erro, fiz um alias e coloque na opção para não passar pelo proxy e o problema foi resolvido.
Sobre a questão do SquidGuard e Squid3-dev trabalharem bem juntos, é que notei que por vezes o proxy parece ser mais lento que o squid-2.7 com squidguard. Estou querendo colocar esta solução em ambiente de produção (Não utilizamos SKYPE, ainda bem).
Obrigado!
-
Obrigado por tirar as dúvidas Marcello, quanto a questão do Chrome, o CA estava configurado nos navegadores e mesmo assim apresentava este erro,
Confere o procedimento que você seguiu.
Com a CA instalada corretamente no browser, google, gmail, gtalk abrem sem erro. -
Olá Marcelo,
Obrigado pela implantação,
Eu fiz todos os passos e funcionou perfeitamente, não deu nenhum erro no processo de instalação :DEu gostaria agora era de dar um pente fino nas configurações do Squid3 e Squidguard3 pra deixar ele redondinho sem erros.
Eu tenho a minha rede próximo de 130 maquinas, vai atender bem sem problemas?Obs: o que se trata essas configurações abaixo? Quero entende-las
Custom ACLS (Before_Auth), no squid3 :o
always_direct allow all
ssl_bump server-first allAbraços.
-
Bom dia !
Já instalou as bibliotecas … ?
outro detalhe .... Services > proxy server > general
adicione os seguintes campos :em Custom Settings ...
Custom ACLS
(Before Auth)always_direct allow all
ssl_bump server-first all ...Faz o teste aí ...
Ei desisti e resolvi fazer hoje Proxy separado do meu FW, subi PFSENSE em outra maquina e agora vou instalar SQUID e SQUIDGUARD, estes parametros que voce comentou sao necessarios em qualquer cenario?
-
@Márcio:
Olá Marcelo,
Obrigado pela implantação,
Eu fiz todos os passos e funcionou perfeitamente, não deu nenhum erro no processo de instalação :DEu gostaria agora era de dar um pente fino nas configurações do Squid3 e Squidguard3 pra deixar ele redondinho sem erros.
Eu tenho a minha rede próximo de 130 maquinas, vai atender bem sem problemas?Obs: o que se trata essas configurações abaixo? Quero entende-las
Custom ACLS (Before_Auth), no squid3 :o
always_direct allow all
ssl_bump server-first allAbraços.
Marcio,
Voce seguiu o tutorial ? voce esta usando 32 ou 64?
-
Olá,
Eu vi que na ultima versão do pFsense isso não é mais preciso, já esta atualizado. Pelo ao menos na ultima versão que estou usando eu não tive que utilizar.Estou utilizando a ultima versão do Pfsense 32 Bits.
Obrigado a todos.
-
Boa tarde, estou com problemas ao enviar nfe
sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested targetsendo que acontece so quando ativo o filtro HTTPS/SSL interception.
No meu caso tive que colocar o servidor (CT-e e NF-e) que faz a comunicação com o Sefaz no bypass de origem.
Se tiver alguma outra alternativa, registra aqui.Blz Reginaldo deu certo, so que ao inves de liberar o ip de origem libera somente o ip de destino, que obtem do site http://bgp.he.net/ assim libera somente o acesso ao site e nao total.
ObrigadoEstou com o mesmo problema, coloquei BYPASS nao deu certo. voces tem a lista de IP destino no caso SEFAZ MT. Estamos testando NF-e e Cupom Eletronico
-
@nblx96:
Boa tarde, estou com problemas ao enviar nfe
sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested targetsendo que acontece so quando ativo o filtro HTTPS/SSL interception.
No meu caso tive que colocar o servidor (CT-e e NF-e) que faz a comunicação com o Sefaz no bypass de origem.
Se tiver alguma outra alternativa, registra aqui.Blz Reginaldo deu certo, so que ao inves de liberar o ip de origem libera somente o ip de destino, que obtem do site http://bgp.he.net/ assim libera somente o acesso ao site e nao total.
ObrigadoEstou com o mesmo problema, coloquei BYPASS nao deu certo. voces tem a lista de IP destino no caso SEFAZ MT. Estamos testando NF-e e Cupom Eletronico
nblx96 adicione esses ip em bypass de destino 200.241.32.196;189.30.131.200;200.241.32.197;189.30.131.198;201.49.164.105
-
@nblx96:
Boa tarde, estou com problemas ao enviar nfe
sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested targetsendo que acontece so quando ativo o filtro HTTPS/SSL interception.
No meu caso tive que colocar o servidor (CT-e e NF-e) que faz a comunicação com o Sefaz no bypass de origem.
Se tiver alguma outra alternativa, registra aqui.Blz Reginaldo deu certo, so que ao inves de liberar o ip de origem libera somente o ip de destino, que obtem do site http://bgp.he.net/ assim libera somente o acesso ao site e nao total.
ObrigadoEstou com o mesmo problema, coloquei BYPASS nao deu certo. voces tem a lista de IP destino no caso SEFAZ MT. Estamos testando NF-e e Cupom Eletronico
nblx96 adicione esses ip em bypass de destino 200.241.32.196;189.30.131.200;200.241.32.197;189.30.131.198;201.49.164.105
Nao deu certo, mas o seguinte meu PROXY e separado do meu FW PFSENSE. sera que e isso?
fiz exatamente isso, funcionando 100% mas bypass nao funciona.
Crie um novo gateway em (system -> routing) com o ip do seu servidor proxy.
Na regra da lan que libera o acesso http/https, procure as opções avançadas e defina o gateway com o ip do seu servidor proxy.
Simples assim.
obs: Não esqueça de criar uma regra antes liberando acesso do ip do seu servidor proxy para a internet.
-
always_direct allow all
ssl_bump server-first all …Estes parametros ativam a interceptação de ssl.
Na próxima versão do pacote esses parâmetros já são definidos automaticamente. -
Caros Marcelloc e membros, estou passando por uma situação inusitada, fiz uma mescla de instalação utilizando o filtro de SSL/HTTPS e autenticação com AD, usando os tutoriais do nosso mestre Marcelloc que encontrei no forum, porém a autenticação e as ACLs configuradas para um determinado grupo do AD só funcionam primeiramente, se o proxy estiver configurado nos browsers. Caso o proxy não esteja configurado no browser e apesar do squid estar configurado para trabalhar no modo transparente, ele não reconhece o usuário e aplica a ACL Default do squidGuard, mas o inusitado, e o que está me matando de raiva, é que quando eu desativo o proxy no browser, fecho o browser e navego novamente, tudo funciona normal, aplicando as ACLs para aquele grupo do AD. Alguém já passou por isso?
Estou usando:
2.1.3-RELEASE (amd64) FreeBSD 8.3-RELEASE-p16
squid3-dev 3.3.10 pkg 2.2.2
squidGuard-squid3 1.4_4 pkg v.1.9.5Obrigado a todos pela ajuda
-
caitec,
Só a autenticação capitve portal funciona com proxy transparente, em todos os outros casos que precisam de helpers de autenticação, o proxy precisa estar marcado(de forma automática ou manual)
