Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS
-
O meu está igual ao do faustovianna.
@faustovianna:Fiz seguindo um vídeo do youtube… https://www.youtube.com/watch?v=neXcYtFDRLA... porém, mesmo instalando o certificado, no IE ele abre com um monte de avisos e no Firefox da essa tela... Como revoga ele?
Fiz o procedimento do mateus0032, mas o erro continua o mesmo.
certo amigo tente revogar dessa forma…. em cert manager vá na aba certificates e crie um assim:
Method: Creat internal certificate
Descriptive name: "nome que deseja"
depois selecione seu certificado criado e logo no fim
Common Name : coloque um nome..salve agora vá em Certificates Revogation adicione no +
Descriptive name: coloque o nome que deseja...
depois salve
agora clique no "e" para editar e selecione o certificado criado e depois em add selecione CA Compromise
após isso baixe o certificado criado na primeira aba e o certificado criado na segunda aba
instala os 2 e faça os testes...
;D
Segue o print do meu certificado, aparentemente está ok. Alguem faz idéia doque possa ser?
Efetuei o teste rodando no virtualbox o i386 e adm64, apenas com o squid3-dev.
-
@Márcio:
instalei o pacote, criei o certificado mas não consigo botar estas bibliotecas…. "fetch -o /usr/local/lib/libasn1.so.10 http://e-sac.siteseguro.ws/pfsense/8/amd64/All/ldd/libasn1.so.10" da erro dizendo: appears to be truncated 533504..." Alguém me ajuda a solucionar?
faustovianna
Verifica a versão do seu pFsense se é 64 ou 32.Aqui também não funciona não, to gerando o certificado, instalei, limpei estado ssl, histórico, mas continua aparecendo este erro:
Ah… to usando a versão 32 i386
 -
Eu testei na 32 e 64 bits por desencargo.
Segui o vídeo do João Batista, não vi segredo nenhum e não fiz nada de diferente aqui.
-
Eu testei na 32 e 64 bits por desencargo.
Segui o vídeo do João Batista, não vi segredo nenhum e não fiz nada de diferente aqui.
Emilioeiji boa tarde,
Colocou os seguintes parâmetros
"always_direct allow all
ssl_bump server-first all"Em Custom ACLS (Before_Auth) ???
Comigo o erro de certificado só acontece com o GMAIL, alguém ai tem novidades sobre o assunto ?
Abs
-
Eu testei na 32 e 64 bits por desencargo.
Segui o vídeo do João Batista, não vi segredo nenhum e não fiz nada de diferente aqui.
Emilioeiji boa tarde,
Colocou os seguintes parâmetros
"always_direct allow all
ssl_bump server-first all"Em Custom ACLS (Before_Auth) ???
Comigo o erro de certificado só acontece com o GMAIL, alguém ai tem novidades sobre o assunto ?
Abs
D0U6L4S
O erro seria esse anexo?
Colocando os parametros que você me passou funcinou e ficou só o gmail conforme você comentou, isso é algum erro mapeado já?
Abraços
-
Eu testei na 32 e 64 bits por desencargo.
Segui o vídeo do João Batista, não vi segredo nenhum e não fiz nada de diferente aqui.
Emilioeiji boa tarde,
Colocou os seguintes parâmetros
"always_direct allow all
ssl_bump server-first all"Em Custom ACLS (Before_Auth) ???
Comigo o erro de certificado só acontece com o GMAIL, alguém ai tem novidades sobre o assunto ?
Abs
Em qual aba acho isso irmão?
always_direct allow all
ssl_bump server-first all -
Eu testei na 32 e 64 bits por desencargo.
Segui o vídeo do João Batista, não vi segredo nenhum e não fiz nada de diferente aqui.
Emilioeiji boa tarde,
Colocou os seguintes parâmetros
"always_direct allow all
ssl_bump server-first all"Em Custom ACLS (Before_Auth) ???
Comigo o erro de certificado só acontece com o GMAIL, alguém ai tem novidades sobre o assunto ?
Abs
Em qual aba acho isso irmão?
always_direct allow all
ssl_bump server-first allNa aba General
Penultimo campo.
Ai só jogar lá.
always_direct allow all
ssl_bump server-first all -
Valeu, agora sim!! Só ficou impedido de entrar no Gmail, isso aqui na empresa representa um grande problema porque o povo adora usar ele… tem algum solução pra isso ai? alguém?
-
Valeu, agora sim!! Só ficou impedido de entrar no Gmail, isso aqui na empresa representa um grande problema porque o povo adora usar ele… tem algum solução pra isso ai? alguém?
No meu caso está tranquilo… quem usa o gmail tem acesso full, então não vai impactar tanto, vou testar mais um pouco em ambiente de teste e tentarei colocar pra rodar em produção durante a semana.
-
Valeu, agora sim!! Só ficou impedido de entrar no Gmail, isso aqui na empresa representa um grande problema porque o povo adora usar ele… tem algum solução pra isso ai? alguém?
No meu caso está tranquilo… quem usa o gmail tem acesso full, então não vai impactar tanto, vou testar mais um pouco em ambiente de teste e tentarei colocar pra rodar em produção durante a semana.
Eilioeiji desculpa a demora,
Sim coloquei estes parâmetros, os mesmo informados nos posts anteriores pelo Marcelloc e no vídeo do João.
Só que no GMAIL o erro continua, trabalho em uma Contabilidade com mais de 70 PC, e esses sites do Governo dão dor de cabeça, meu medo é dar pau em alguns desses sites tmb, e são muitos para testar rsrsrs.Parece que dá pra fazer colocar o site em ByPass, pra não ser filtrado pelo SSL do Squid, mas ainda não testei !
Se conseguirem dá um FeedBack pra nós !!!Abs.
-
Olá D0U6L4S! com relação ao GMAIL faça a limpeza completa do navegador e faça a importação do certificado novamente tive esses mesmo problemas e sempre resolvo assim… já ouvi falarem em revogar o certificado assim gera um CA e um certificado assim importo os 2 e fica 100% unico problema é bancos e alguns sites do governo que de modo geral o certificado gerado pelo pfsense é basico digamos e em alguns sites ele não é compreendido como valido nesse caso o jeito é encontras os ips do site ou o CIDR como esse do whatsapp...
https://www.whatsapp.com/cidr.txt
-
Eu to usando pfsense 2.1.4 transparente com filtro ssl
rodando normal mais nao consigo acessar o conectivdade social
https://conectividade.caixa.gov.br/ o computador esta com certificadoE em services>proxy server
em Bypass proxy for these destination IPs
coloquei o 200.201.173.0/24;200.201.174.0/24
mesmo assim nao abre alguem consiguiu acessar
obrigado a todos
-
Eu to usando pfsense 2.1.4 transparente com filtro ssl
rodando normal mais nao consigo acessar o conectivdade social
https://conectividade.caixa.gov.br/ o computador esta com certificadoE em services>proxy server
em Bypass proxy for these destination IPs
coloquei o 200.201.173.0/24;200.201.174.0/24
mesmo assim nao abre alguem consiguiu acessar
obrigado a todos
Tenta deixar assim e faz um teste.
200.201.174.0/20;200.150.79.42/20;conectividade.caixa.gov.br
-
Bom dia.
Alguém teve algum problema referente ao Balanceamento/Fail Over ?
Tenho um servidor em produção PFSense 2.1.5, que estava rodando apenas squid3, configurado FailOver/Balanceamento, nesta versão estava rodando perfeitamente.
Fiz a atualização para o squid-dev, conforme o tópico, na realidade, fiz a desinstalação, e instalei do zero o squid-dev.
Pude perceber que após a instalação do squid-dev, a navegação do segundo link não esta funcionando. Quando o link WAN Primario esta ativo, funciona 100%, na WAN2, para de funcionar.
Tenho que desabilitar o squid, para que a navegação seja liberada na WAN2.
Alguém aqui já teve algum problema similar com dois links ?
Obrigado.
-
Olá,
No navegador Chrome, não abre Google/Gmail e Hotmail abre apenas a tela inicial mesmo depois de instalado o certificado.
No caso do Hotmail, quando loga, a tela vai para o bloqueio da mesma forma do Google.
Yahoo, depois de logado, a tela não abre 100%, fica com erros.
Isso esta acontecendo apenas com o Chrome, no Internet Explorer e Firefox esta funcionando normalmente.
Já existe alguma solução para o Chrome ?
Obrigado.
-
Ola pessoal,
Entendi a seguinte situação que ao colocar :
always_direct allow all
ssl_bump server-first allos browsers não terão a chatice de ficar dando erro de certificado ! certo ?
pois bem esta tudo quase perfeito, exceto quando coloco estes paramentros,nada mais navega trava tudo no CERTIFICADO !
alguém pode me dizer onde errei ?
-
Clebe Martins,
Instalou as bibliotecas faltantes? Conforme diz o incio do Post.At.
-
@Márcio:
Clebe Martins,
Instalou as bibliotecas faltantes? Conforme diz o incio do Post.At.
Márcio Machado bom dia,
Precisa instalar as bibliotecas ? o povo disse que na ultima versão do Squid-dev já vem com estas bibliotecas, aqui eu não instalei e não tenho este problema.
Abs.@clebemartins:
Ola pessoal,
Entendi a seguinte situação que ao colocar :
always_direct allow all
ssl_bump server-first allos browsers não terão a chatice de ficar dando erro de certificado ! certo ?
pois bem esta tudo quase perfeito, exceto quando coloco estes paramentros,nada mais navega trava tudo no CERTIFICADO !
alguém pode me dizer onde errei ?
clebemartins bom dia,
O erro dá em qlq navegador ?
Aqui eu tive algo parecido e limpei o cache dos browsers e voltou !Único problema é com os sites do governo que dá erro, dai tem que botar no ByPass.
Abs.
-
@Márcio:
Clebe Martins,
Instalou as bibliotecas faltantes? Conforme diz o incio do Post.At.
Márcio Machado bom dia,
Precisa instalar as bibliotecas ? o povo disse que na ultima versão do Squid-dev já vem com estas bibliotecas, aqui eu não instalei e não tenho este problema.
Abs.@clebemartins:
Ola pessoal,
Entendi a seguinte situação que ao colocar :
always_direct allow all
ssl_bump server-first allos browsers não terão a chatice de ficar dando erro de certificado ! certo ?
pois bem esta tudo quase perfeito, exceto quando coloco estes paramentros,nada mais navega trava tudo no CERTIFICADO !
alguém pode me dizer onde errei ?
clebemartins bom dia,
O erro dá em qlq navegador ?
Aqui eu tive algo parecido e limpei o cache dos browsers e voltou !Único problema é com os sites do governo que dá erro, dai tem que botar no ByPass.
Abs.
Aqui eu coloquei o script e configurei no navegador google chrome versão 37 na versão 36 do chrrome da erro.. e no firefox tb
-
Marcelo tenho uma dúvida eu li o post inteiro mais creio que não achei a resposta, quando fazemos o bypass tanto do ip da máquina quanto do destino tem que ser instalado os certificados gerados no pfSense nas máquinas clientes independentes delas serem livre dos filtros?
Obrigado pela atenção
