Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

wesleycorrea

@drohden:

@Reginaldo:

@drohden:

Boa tarde, estou com problemas ao enviar nfe
sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

sendo que acontece so quando ativo o filtro HTTPS/SSL interception.

No meu caso tive que colocar o servidor (CT-e e NF-e) que faz a comunicação com o Sefaz no bypass de origem.
Se tiver alguma outra alternativa, registra aqui.

Blz Reginaldo deu certo, so que ao inves de liberar o ip de origem libera somente o ip de destino, que obtem do site http://bgp.he.net/ assim libera somente o acesso ao site e nao total.
Obrigado

Estou com o mesmo problema, coloquei BYPASS nao deu certo. voces tem a lista de IP destino no caso SEFAZ MT. Estamos testando NF-e e Cupom Eletronico

drohden

@nblx96:

@drohden:

@Reginaldo:

@drohden:

Boa tarde, estou com problemas ao enviar nfe
sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

sendo que acontece so quando ativo o filtro HTTPS/SSL interception.

No meu caso tive que colocar o servidor (CT-e e NF-e) que faz a comunicação com o Sefaz no bypass de origem.
Se tiver alguma outra alternativa, registra aqui.

Blz Reginaldo deu certo, so que ao inves de liberar o ip de origem libera somente o ip de destino, que obtem do site http://bgp.he.net/ assim libera somente o acesso ao site e nao total.
Obrigado

Estou com o mesmo problema, coloquei BYPASS nao deu certo. voces tem a lista de IP destino no caso SEFAZ MT. Estamos testando NF-e e Cupom Eletronico

nblx96 adicione esses ip em bypass de destino 200.241.32.196;189.30.131.200;200.241.32.197;189.30.131.198;201.49.164.105

wesleycorrea

@drohden:

@nblx96:

@drohden:

@Reginaldo:

@drohden:

Boa tarde, estou com problemas ao enviar nfe
sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

sendo que acontece so quando ativo o filtro HTTPS/SSL interception.

No meu caso tive que colocar o servidor (CT-e e NF-e) que faz a comunicação com o Sefaz no bypass de origem.
Se tiver alguma outra alternativa, registra aqui.

Blz Reginaldo deu certo, so que ao inves de liberar o ip de origem libera somente o ip de destino, que obtem do site http://bgp.he.net/ assim libera somente o acesso ao site e nao total.
Obrigado

Estou com o mesmo problema, coloquei BYPASS nao deu certo. voces tem a lista de IP destino no caso SEFAZ MT. Estamos testando NF-e e Cupom Eletronico

nblx96 adicione esses ip em bypass de destino 200.241.32.196;189.30.131.200;200.241.32.197;189.30.131.198;201.49.164.105

Nao deu certo, mas o seguinte meu PROXY e separado do meu FW PFSENSE. sera que e isso?

fiz exatamente isso, funcionando 100% mas bypass nao funciona.

Crie um novo gateway em (system -> routing) com o ip do seu servidor proxy.

Na regra da lan que libera o acesso http/https, procure as opções avançadas e defina o gateway com o ip do seu servidor proxy.

Simples assim.

obs: Não esqueça de criar uma regra antes liberando acesso do ip do seu servidor proxy para a internet.


marcelloc

always_direct allow all
ssl_bump server-first all …

Estes parametros ativam a interceptação de ssl.
Na próxima versão do pacote esses parâmetros já são definidos automaticamente.

caitec

Caros Marcelloc e membros, estou passando por uma situação inusitada, fiz uma mescla de instalação utilizando o filtro de SSL/HTTPS e autenticação com AD, usando os tutoriais do nosso mestre Marcelloc que encontrei no forum, porém a autenticação e as ACLs configuradas para um determinado grupo do AD só funcionam primeiramente, se o proxy estiver configurado nos browsers. Caso o proxy não esteja configurado no browser e apesar do squid estar configurado para trabalhar no modo transparente, ele não reconhece o usuário e aplica a ACL Default do squidGuard, mas o inusitado, e o que está me matando de raiva, é que quando eu desativo o proxy no browser, fecho o browser e navego novamente, tudo funciona normal, aplicando as ACLs para aquele grupo do AD. Alguém já passou por isso?
Estou usando:
2.1.3-RELEASE (amd64) FreeBSD 8.3-RELEASE-p16
squid3-dev 3.3.10 pkg 2.2.2
squidGuard-squid3 1.4_4 pkg v.1.9.5

Obrigado a todos pela ajuda

marcelloc

caitec,

Só a autenticação capitve portal funciona com proxy transparente, em todos os outros casos que precisam de helpers de autenticação, o proxy precisa estar marcado(de forma automática ou manual)

reginaldo_barreto

@drohden:

@Reginaldo:

@drohden:

Boa tarde, estou com problemas ao enviar nfe
sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

sendo que acontece so quando ativo o filtro HTTPS/SSL interception.

No meu caso tive que colocar o servidor (CT-e e NF-e) que faz a comunicação com o Sefaz no bypass de origem.
Se tiver alguma outra alternativa, registra aqui.

Blz Reginaldo deu certo, so que ao inves de liberar o ip de origem libera somente o ip de destino, que obtem do site http://bgp.he.net/ assim libera somente o acesso ao site e nao total.
Obrigado

Não estou conseguindo pegar o ip do Sefaz SP

marcelloc

@Reginaldo:

Não estou conseguindo pegar o ip do Sefaz SP

Use o tcpdump para verificar o ip durante a tentativa de conexão

caitec

@marcelloc:

caitec,

Só a autenticação capitve portal funciona com proxy transparente, em todos os outros casos que precisam de helpers de autenticação, o proxy precisa estar marcado(de forma automática ou manual)

Oi Marcelo, surgiram outras 2 dúvidas com relação a sua resposta, eu conseguiria fazer autenticação via capitive portal com proxy transparente e aplicar as ACLs no squidguard de acordo com os grupos no AD? Caso sim eu não precisaria dos helpers, correto?

A outra dúvida não está relacionada a autenticação, mas ao certificado, eu poderia utilizar outro certificado que não fosse o que eu tivesse gerado? Pergunto isso pois pelo site startssl.com que você consegue certificados gratuitos que são reconhecidos por todos os browsers sem que haja a necessidade de você ter que importar o certificado para todas as máquinas, porém ao configurá-lo o squid não sobe.

Obrigado pela ajuda novamente. Grande abraço.

Agora entendi o pq da sua foto ser aquele cara maluquinho digitando… mais de 10.000 posts é foda d+. Parabéns e obrigado

pfirewa

Eu tive a mesma duvida sera que consegue?

poderia utilizar outro certificado que não fosse o que eu tivesse gerado? Pergunto isso pois pelo site startssl.com que você consegue certificados gratuitos que são reconhecidos por todos os browsers sem que haja a necessidade de você ter que importar o certificado para todas as máquinas, porém ao configurá-lo o squid não sobe.

lucasperegrino

Bom dia estou tendo um problema com squid + ssl não em bloquear paginas e sim ter acesso a uma apos esta habilitado o controle de ssl em proxy transparent se eu tento acessa a pagina a baixo com o um certificado digital ele não me da acesso não aparece a aba para selecionar o certificado caso eu desmarque a opção do ssl ele me aparece a aba para selecionar o certificado. Bem alguém ja teve este tipo de problema.

https://cav.receita.fazenda.gov.br/eCAC/publico/login.aspx

machadomall

Olá Lucas,
Você esta dizendo que o site da o erro abaixo no browser quando o ssl esta habilitado no squid?

Há um problema no certificado de segurança do site.

É isso?

marcelloc

@caitec:

eu poderia utilizar outro certificado que não fosse o que eu tivesse gerado?

Se você conseguir comprar um certificado do tipo CA e não server, pode usar sim.

marcelloc

@lucasperegrino:

Bom dia estou tendo um problema com squid + ssl não em bloquear paginas e sim ter acesso a uma apos esta habilitado o controle de ssl em proxy transparent se eu tento acessa a pagina a baixo com o um certificado digital ele não me da acesso não aparece a aba para selecionar o certificado caso eu desmarque a opção do ssl ele me aparece a aba para selecionar o certificado.

Já tentou colocar este site na whitelist e acompanhar pelos logs se o squid para de interceptar e faz apenas proxy da conexão ssl?

machadomall

Olá Marcello,

Funciona sim, testei também na Bypass proxy for these destination IPs no Proxy Server.
Inseri o ip do site ou também "gov.br" esse erro de ssl em site do governo dá muito esse tipo de erro.

At.

marcelloc

@Márcio:

em site do governo dá muito esse tipo de erro.

Dá principalmente por conta dos certificados da icp brasil.

holiveira

É possivel fazer a filtragem de HTTPS sem utilizar o proxy transparente ?

lucasperegrino

Bem gente não e erro de bloqueio do site as permissões todo site .gov.br ta lista branca então n e bloqueado o meu problema e que não aparece para eu selecionar o certificado ele aparece erro ele não chama a aplicação.

marcelloc

@holiveira:

É possivel fazer a filtragem de HTTPS sem utilizar o proxy transparente ?

Sim. Fica até melhor para aplicativos como o skype.

marcelloc

@lucasperegrino:

Bem gente não e erro de bloqueio do site as permissões todo site .gov.br ta lista branca então n e bloqueado o meu problema e que não aparece para eu selecionar o certificado ele aparece erro ele não chama a aplicação.

Provavelmente você vai ter que configurar estes sites para não passar pelo proxy.