Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

    Scheduled Pinned Locked Moved Portuguese
    593 Posts 129 Posters 362.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      multnick
      last edited by

      Bom dia.

      Alguém teve algum problema referente ao Balanceamento/Fail Over ?

      Tenho um servidor em produção PFSense 2.1.5, que estava rodando apenas squid3, configurado FailOver/Balanceamento, nesta versão estava rodando perfeitamente.

      Fiz a atualização para o squid-dev, conforme o tópico, na realidade, fiz a desinstalação, e instalei do zero o squid-dev.

      Pude perceber que após a instalação do squid-dev, a navegação do segundo link não esta funcionando. Quando o link WAN Primario esta ativo, funciona 100%, na WAN2, para de funcionar.

      Tenho que desabilitar o squid, para que a navegação seja liberada na WAN2.

      Alguém aqui já teve algum problema similar com dois links ?

      Obrigado.

      1 Reply Last reply Reply Quote 0
      • E
        emilioeiji
        last edited by

        O meu está igual ao do faustovianna.
        @faustovianna:

        Fiz seguindo um vídeo do youtube… https://www.youtube.com/watch?v=neXcYtFDRLA... porém, mesmo instalando o certificado, no IE ele abre com um monte de avisos e no Firefox da essa tela... Como revoga ele?

        Fiz o procedimento do mateus0032, mas o erro continua o mesmo.

        @mateus0032:

        certo amigo tente revogar dessa forma…. em cert manager vá na aba certificates e crie um assim:

        Method: Creat internal certificate

        Descriptive name: "nome que deseja"

        depois selecione seu certificado criado e logo no fim
        Common Name : coloque um nome..

        salve agora vá em Certificates Revogation adicione no +

        Descriptive name: coloque o nome que deseja...

        depois salve

        agora clique no "e" para editar e selecione o certificado criado e depois em add selecione CA Compromise

        após isso baixe o certificado criado na primeira aba e o certificado criado na segunda aba

        instala os 2 e faça os testes...

        ;D

        Segue o print do meu certificado, aparentemente está ok. Alguem faz idéia doque possa ser?

        Efetuei o teste rodando no virtualbox o i386 e adm64, apenas com o squid3-dev.

        pfsense01.png
        pfsense01.png_thumb
        pfsense02.png
        pfsense02.png_thumb

        1 Reply Last reply Reply Quote 0
        • F
          faustovianna
          last edited by

          @Márcio:

          @faustovianna:

          instalei o pacote, criei o certificado mas não consigo botar estas bibliotecas…. "fetch -o /usr/local/lib/libasn1.so.10 http://e-sac.siteseguro.ws/pfsense/8/amd64/All/ldd/libasn1.so.10" da erro dizendo: appears to be truncated 533504..." Alguém me ajuda a solucionar?

          faustovianna
          Verifica a versão do seu pFsense se é 64 ou 32.

          Aqui também não funciona não, to gerando o certificado, instalei, limpei estado ssl, histórico, mas continua aparecendo este erro:
          Ah… to usando a versão 32 i386

          ![Sem título.jpg](/public/imported_attachments/1/Sem título.jpg)
          ![Sem título.jpg_thumb](/public/imported_attachments/1/Sem título.jpg_thumb)
          ![Sem título2.png](/public/imported_attachments/1/Sem título2.png)
          ![Sem título2.png_thumb](/public/imported_attachments/1/Sem título2.png_thumb)

          1 Reply Last reply Reply Quote 0
          • E
            emilioeiji
            last edited by

            Eu testei na 32 e 64 bits por desencargo.

            Segui o vídeo do João Batista, não vi segredo nenhum e não fiz nada de diferente aqui.

            1 Reply Last reply Reply Quote 0
            • D
              D0U6L4S
              last edited by

              @emilioeiji:

              Eu testei na 32 e 64 bits por desencargo.

              Segui o vídeo do João Batista, não vi segredo nenhum e não fiz nada de diferente aqui.

              Emilioeiji boa tarde,

              Colocou os seguintes parâmetros

              "always_direct allow all
              ssl_bump server-first all"

              Em Custom ACLS (Before_Auth) ???

              Comigo o erro de certificado só acontece com o GMAIL, alguém ai tem novidades sobre o assunto ?

              Abs

              1 Reply Last reply Reply Quote 0
              • E
                emilioeiji
                last edited by

                @D0U6L4S:

                @emilioeiji:

                Eu testei na 32 e 64 bits por desencargo.

                Segui o vídeo do João Batista, não vi segredo nenhum e não fiz nada de diferente aqui.

                Emilioeiji boa tarde,

                Colocou os seguintes parâmetros

                "always_direct allow all
                ssl_bump server-first all"

                Em Custom ACLS (Before_Auth) ???

                Comigo o erro de certificado só acontece com o GMAIL, alguém ai tem novidades sobre o assunto ?

                Abs

                D0U6L4S

                O erro seria esse anexo?

                Colocando os parametros que você me passou funcinou e ficou só o gmail conforme você comentou, isso é algum erro mapeado já?

                Abraços

                pfsense03.png_thumb
                pfsense03.png

                1 Reply Last reply Reply Quote 0
                • F
                  faustovianna
                  last edited by

                  @D0U6L4S:

                  @emilioeiji:

                  Eu testei na 32 e 64 bits por desencargo.

                  Segui o vídeo do João Batista, não vi segredo nenhum e não fiz nada de diferente aqui.

                  Emilioeiji boa tarde,

                  Colocou os seguintes parâmetros

                  "always_direct allow all
                  ssl_bump server-first all"

                  Em Custom ACLS (Before_Auth) ???

                  Comigo o erro de certificado só acontece com o GMAIL, alguém ai tem novidades sobre o assunto ?

                  Abs

                  Em qual aba acho isso irmão?

                  always_direct allow all
                  ssl_bump server-first all

                  1 Reply Last reply Reply Quote 0
                  • E
                    emilioeiji
                    last edited by

                    @faustovianna:

                    @D0U6L4S:

                    @emilioeiji:

                    Eu testei na 32 e 64 bits por desencargo.

                    Segui o vídeo do João Batista, não vi segredo nenhum e não fiz nada de diferente aqui.

                    Emilioeiji boa tarde,

                    Colocou os seguintes parâmetros

                    "always_direct allow all
                    ssl_bump server-first all"

                    Em Custom ACLS (Before_Auth) ???

                    Comigo o erro de certificado só acontece com o GMAIL, alguém ai tem novidades sobre o assunto ?

                    Abs

                    Em qual aba acho isso irmão?

                    always_direct allow all
                    ssl_bump server-first all

                    Na aba General

                    Penultimo campo.

                    Ai só jogar lá.

                    always_direct allow all
                    ssl_bump server-first all

                    1 Reply Last reply Reply Quote 0
                    • F
                      faustovianna
                      last edited by

                      Valeu, agora sim!! Só ficou impedido de entrar no Gmail, isso aqui na empresa representa um grande problema porque o povo adora usar ele… tem algum solução pra isso ai? alguém?

                      1 Reply Last reply Reply Quote 0
                      • E
                        emilioeiji
                        last edited by

                        @faustovianna:

                        Valeu, agora sim!! Só ficou impedido de entrar no Gmail, isso aqui na empresa representa um grande problema porque o povo adora usar ele… tem algum solução pra isso ai? alguém?

                        No meu caso está tranquilo… quem usa o gmail tem acesso full, então não vai impactar tanto, vou testar mais um pouco em ambiente de teste e tentarei colocar pra rodar em produção durante a semana.

                        1 Reply Last reply Reply Quote 0
                        • D
                          D0U6L4S
                          last edited by

                          @emilioeiji:

                          @faustovianna:

                          Valeu, agora sim!! Só ficou impedido de entrar no Gmail, isso aqui na empresa representa um grande problema porque o povo adora usar ele… tem algum solução pra isso ai? alguém?

                          No meu caso está tranquilo… quem usa o gmail tem acesso full, então não vai impactar tanto, vou testar mais um pouco em ambiente de teste e tentarei colocar pra rodar em produção durante a semana.

                          Eilioeiji desculpa a demora,

                          Sim coloquei estes parâmetros, os mesmo informados nos posts anteriores pelo Marcelloc e no vídeo do João.
                          Só que no GMAIL o erro continua, trabalho em uma Contabilidade com mais de 70 PC, e esses sites do Governo dão dor de cabeça, meu medo é dar pau em alguns desses sites tmb, e são muitos para testar rsrsrs.

                          Parece que dá pra fazer colocar o site em ByPass, pra não ser filtrado pelo SSL do Squid, mas ainda não testei !
                          Se conseguirem dá um FeedBack pra nós !!!

                          Abs.

                          1 Reply Last reply Reply Quote 0
                          • M
                            mateus0032
                            last edited by

                            Olá D0U6L4S! com relação ao GMAIL faça a limpeza completa do navegador e faça a importação do certificado novamente tive esses mesmo problemas e sempre resolvo assim… já ouvi falarem em revogar o certificado assim gera um CA e um certificado assim importo os 2 e fica 100% unico problema é bancos e alguns sites do governo que de modo geral o certificado gerado pelo pfsense é basico digamos e em alguns sites ele não é compreendido como valido nesse caso o jeito é encontras os ips do site ou o CIDR como esse do whatsapp...

                            https://www.whatsapp.com/cidr.txt

                            1 Reply Last reply Reply Quote 0
                            • M
                              m4xim0
                              last edited by

                              Eu to usando pfsense 2.1.4 transparente com filtro ssl
                              rodando normal mais nao consigo acessar o conectivdade social
                              https://conectividade.caixa.gov.br/  o computador esta com certificado

                              E em services>proxy server

                              em Bypass proxy for these destination IPs

                              coloquei o 200.201.173.0/24;200.201.174.0/24

                              mesmo assim nao abre alguem consiguiu acessar

                              obrigado a todos

                              1 Reply Last reply Reply Quote 0
                              • E
                                emilioeiji
                                last edited by

                                @m4xim0:

                                Eu to usando pfsense 2.1.4 transparente com filtro ssl
                                rodando normal mais nao consigo acessar o conectivdade social
                                https://conectividade.caixa.gov.br/  o computador esta com certificado

                                E em services>proxy server

                                em Bypass proxy for these destination IPs

                                coloquei o 200.201.173.0/24;200.201.174.0/24

                                mesmo assim nao abre alguem consiguiu acessar

                                obrigado a todos

                                Tenta deixar assim e faz um teste.

                                200.201.174.0/20;200.150.79.42/20;conectividade.caixa.gov.br

                                1 Reply Last reply Reply Quote 0
                                • M
                                  multnick
                                  last edited by

                                  Bom dia.

                                  Alguém teve algum problema referente ao Balanceamento/Fail Over ?

                                  Tenho um servidor em produção PFSense 2.1.5, que estava rodando apenas squid3, configurado FailOver/Balanceamento, nesta versão estava rodando perfeitamente.

                                  Fiz a atualização para o squid-dev, conforme o tópico, na realidade, fiz a desinstalação, e instalei do zero o squid-dev.

                                  Pude perceber que após a instalação do squid-dev, a navegação do segundo link não esta funcionando. Quando o link WAN Primario esta ativo, funciona 100%, na WAN2, para de funcionar.

                                  Tenho que desabilitar o squid, para que a navegação seja liberada na WAN2.

                                  Alguém aqui já teve algum problema similar com dois links ?

                                  Obrigado.

                                  1 Reply Last reply Reply Quote 0
                                  • M
                                    multnick
                                    last edited by

                                    Olá,

                                    No navegador Chrome, não abre Google/Gmail e Hotmail abre apenas a tela inicial mesmo depois de instalado o certificado.

                                    No caso do Hotmail, quando loga, a tela vai para o bloqueio da mesma forma do Google.

                                    Yahoo, depois de logado, a tela não abre 100%, fica com erros.

                                    Isso esta acontecendo apenas com o Chrome, no Internet Explorer e Firefox esta funcionando normalmente.

                                    Já existe alguma solução para o Chrome ?

                                    Obrigado.

                                    1 Reply Last reply Reply Quote 0
                                    • C
                                      clebemartins
                                      last edited by

                                      Ola pessoal,

                                      Entendi a seguinte situação que ao colocar :

                                      always_direct allow all
                                      ssl_bump server-first all

                                      os browsers não terão a chatice de ficar dando erro de certificado ! certo ?
                                      pois bem esta tudo quase perfeito, exceto quando coloco estes paramentros,

                                      nada mais navega trava tudo no CERTIFICADO !

                                      alguém pode me dizer onde errei ?

                                      1 Reply Last reply Reply Quote 0
                                      • machadomallM
                                        machadomall
                                        last edited by

                                        Clebe Martins,
                                        Instalou as bibliotecas faltantes? Conforme diz o incio do Post.

                                        At.

                                        Márcio Machado
                                        Analista de Suporte Técnico
                                        Brasília-DF

                                        1 Reply Last reply Reply Quote 0
                                        • D
                                          D0U6L4S
                                          last edited by

                                          @Márcio:

                                          Clebe Martins,
                                          Instalou as bibliotecas faltantes? Conforme diz o incio do Post.

                                          At.

                                          Márcio Machado bom dia,

                                          Precisa instalar as bibliotecas ? o povo disse que na ultima versão do Squid-dev já vem com estas bibliotecas, aqui eu não instalei e não tenho este problema.

                                          Abs.@clebemartins:

                                          Ola pessoal,

                                          Entendi a seguinte situação que ao colocar :

                                          always_direct allow all
                                          ssl_bump server-first all

                                          os browsers não terão a chatice de ficar dando erro de certificado ! certo ?
                                          pois bem esta tudo quase perfeito, exceto quando coloco estes paramentros,

                                          nada mais navega trava tudo no CERTIFICADO !

                                          alguém pode me dizer onde errei ?

                                          clebemartins bom dia,

                                          O erro dá em qlq navegador ?
                                          Aqui eu tive algo parecido e limpei o cache dos browsers e voltou !

                                          Único problema é com os sites do governo que dá erro, dai tem que botar no ByPass.

                                          Abs.

                                          1 Reply Last reply Reply Quote 0
                                          • C
                                            calijurio
                                            last edited by

                                            @D0U6L4S:

                                            @Márcio:

                                            Clebe Martins,
                                            Instalou as bibliotecas faltantes? Conforme diz o incio do Post.

                                            At.

                                            Márcio Machado bom dia,

                                            Precisa instalar as bibliotecas ? o povo disse que na ultima versão do Squid-dev já vem com estas bibliotecas, aqui eu não instalei e não tenho este problema.

                                            Abs.@clebemartins:

                                            Ola pessoal,

                                            Entendi a seguinte situação que ao colocar :

                                            always_direct allow all
                                            ssl_bump server-first all

                                            os browsers não terão a chatice de ficar dando erro de certificado ! certo ?
                                            pois bem esta tudo quase perfeito, exceto quando coloco estes paramentros,

                                            nada mais navega trava tudo no CERTIFICADO !

                                            alguém pode me dizer onde errei ?

                                            clebemartins bom dia,

                                            O erro dá em qlq navegador ?
                                            Aqui eu tive algo parecido e limpei o cache dos browsers e voltou !

                                            Único problema é com os sites do governo que dá erro, dai tem que botar no ByPass.

                                            Abs.

                                            Aqui eu coloquei o script e configurei no navegador google chrome versão 37 na versão 36 do chrrome da erro.. e no firefox tb

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.