Usar proxy del ISP
-
Hola soy novato en pfsense pero en el tiempo que lo he utilizado tuve problemas con la gestion de los paquetes, pues me encuentro detrás de un proxy dentro de una red coorporativa, pero bueno ya eso está solucionado. El hace la función de host-bastion o firewall de mi red LAN. El problema está en que quisiera configurarlo para que el squid utilice de padre el servidor proxy nacional, he configurado los parámetros que creo necesita en la definición de cache remota para el servidor proxy padre y una vez que intento navegar, me autentico sin problemas, accedo a dos o tres páginas, luego se demora en responder y me notifica este error
Incapaz de determinar la dirección IP a partir del nombre
Yo por esa red no tengo servidor de DNS, ni nunca lo necesite cuando utilizaba el squid de debian configuraba estos parámetros en el squid, para que la autenticación fuera enviada al proxy nacional y listo, y así tenia yo también una replica de los log de navegación, podia definir los mismos parámetros de autencicación en mi proxy utilizando la misma base de datos de usuarios nacional y en el log de navegación tenia toda la információn necesaria, un mayor control del servicio y ambos proxy compartian cache
cache_peer IPproxynacional parent 3128 3130 default no-query login=PASS
Ahora necesito saber si es posible hacer todo esto en pfsense
Gracias por adelantado a todo aquel que me ayude -
Igual te falta…
cache_peer_access IPproxy_nacional allow all
Si persiste el problema, por favor copia/pega el texto del error exacto, que seguramente está en inglés. Esto permite buscar en Google situaciones parecidas.
Saludos,
Josep Pujadas-Jubany
-
Gracias por responder tan rápido bellera, disculpa el lugar donde puse mi duda, luego me percate que esa temática era informativa.
Es este el error:ERROR
El URL solicitado no se ha podido conseguirSe encontró el siguiente error al intentar recuperar la dirección URL: http://www.google.com
Incapaz de determinar la dirección IP a partir del nombre de la máquina www.google.com
El servidor DNS devolvió:
Timeout
Esto significa que el caché no ha sido capaz de resolver el nombre de máquina presente en la URL. Compruebe que la dirección sea correcta.
La notificación de errores la configuré en español. Este error ya lo comentaron en el forum pero no se trataba del mismo caso mio, la solución era utilizar los DNS de OpenDNS, yo como explique estoy detrás de un proxy en una red coorporativa y no tengo servidores de DNS, la navegación sale por este proxy dando la posibilidad de configurar un proxy hijo por el puerto ICP 3130
Mi duda ahora está en si es posible configurarlo desde la misma interfaz web de Pfsense como lo hago o editar directamente el archivo de configuración en /usr/local/etc/squid/squid.conf -
No tengo servidores de DNS
Como la mayoría, a no ser que tengas una red algo grande.
Tu pfSense deber tener configurados DNS externos en [System].
Y tus máquinas, si están por DHCP, deben tomar como primer DNS a pfSense.
Sin embargo quien se queja es el servicio de proxy, que debería emplear como DNS a pfSense.
¿No tendrás parado el DNS Forwarder de pfSense?
Fíjate que en la configuración de squid (Proxy Server) pone:
Use alternate DNS-servers for the proxy-server If you want to use other DNS-servers than the DNS-forwarder, enter the IPs here, separated by semi-colons (;).Si no indicas nada ahí quien manda es el DNS Forwarder de pfSense. Que a su vez emplea los DNS externos definidos en [System].
¿Probaste a añadir? No parece de entrada que sea esto pero…
cache_peer_access IPproxy_nacional allow all
Saludos,
Josep Pujadas-Jubany
-
Una vez más gracias
Te responderé por partes, mira mi red corporativa para la navegación en Internet no cuenta con un servidor de DNS, por lo menos no uno al que yo tenga acceso para realizar consultas externas, por supuesto debe estar configurado para que mi proxy nacional resuelva pero yo solo accedo al proxy este nacional autenticandome con nombre de usuario y contraseña y así cada uno de mis usuarios autorizados a navegar, en mi entidad yo utilize a pfsense para que me sirviera de firewall y a la vez de proxy hijo, antes utilizaba a debian con iptables y squid y nunca necesite de un servidor de DNS, te envió el archivo de configuración de squidWELCOME TO SQUID xxxxx
–--------------------------
http_port 3128
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl ip src "/etc/squid/ip_permitidas"
acl localnet src RedLanacl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECThttp_access allow manager localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow localnet
http_access deny allicp_access allow localhost
icp_access allow localnet
icp_access deny allhtcp_access allow localnet
htcp_access deny allcache_peer IpProxy_nacional parent 3128 3130 default no-query login=PASS
hierarchy_stoplist cgi-bin ?
cache_mem 32 MB
cache_dir ufs /var/spool/squid 5000 16 256
maximum_object_size_in_memory 1024 KB
never_direct allow allaccess_log /var/log/squid/access.log squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|?) 0 0% 0
refresh_pattern (Release|Package(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320store_avg_object_size 100 KB
request_body_max_size 150 KB
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apacheextension_methods REPORT MERGE MKACTIVITY CHECKOUT
connect_timeout 1 hour
hosts_file /etc/hosts
coredump_dir /var/spool/squid
emulate_httpd_log on
De esta forma todo funcionaba sin problemas, ahora lo que edito en el archivo /usr/local/etc/squid/squid.conf desde la misma interfaz web de Pfsense al explorar los parámetros una vez más por la página se borran, bueno y eso me paso cuando probé lo que me mandaste: "cache_peer_access IPproxy_nacional allow all"
Yo no utilizo DHCP, las ip las configuro estáticas y eso mismo hago con la tabla ARP en mis servidores y estaciones
Quisiera que me mostrarás un ejemplo de como configurar la cache remota desde la interfaz web y de antemano mil gracias por ayudarme y por tu trabajo como moderador -
Bueno, en ese caso la cuestión es si un squid hijo puede trabajar con un squid padre sin resolver nombres…
Me temo que no. He buscado en la documentación de squid y no he sabido encontrar esta posibilidad.
¿No tienes acceso a ningún DNS externo? ¿Ni a los de Google?
Tendrás que hablar con el proveedor de tu conexión con proxy.
No puedes editar squid.conf "a pelo". Tienes que añadir lo que no esté previsto en el cajetín Custom Options.
Saludos,
Josep Pujadas-Jubany
-
Hola acabo de dar con la solución al problema, elimine todos los parámetros que había definido en la pestaña para la cache remota, deje lo mismo en la cache local y añadí las siguientes líneas en el cajetín Custom Options
cache_peer IpProxy_nacional parent 3128 3130 default no-query login=PASS
never_direct allow allAhora no entiendo el porqué se solucionó así, siempre pensé que la pestaña Remote Cache era para definir todos estos parámetros. El DNS que está resolviendo lo utiliza solamente el padre, mi proxy nacional
Bueno mis saludos, pienso que está problemática no será solo mía -
Yo me refería a precisamente a Custom Options
¿Qué versión de squid tienes? Porque yo no veo en ningún lugar una pestaña Remote Cache en mi pfSense de pruebas.
Me alegro de que lo hayas podido solucionar…
Saludos,
Josep Pujadas-Jubany
