Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

m4xim0

Eu to usando pfsense 2.1.4 transparente com filtro ssl
rodando normal mais nao consigo acessar o conectivdade social
https://conectividade.caixa.gov.br/  o computador esta com certificado

E em services>proxy server

em Bypass proxy for these destination IPs

coloquei o 200.201.173.0/24;200.201.174.0/24

mesmo assim nao abre alguem consiguiu acessar

obrigado a todos

emilioeiji

@m4xim0:

Eu to usando pfsense 2.1.4 transparente com filtro ssl
rodando normal mais nao consigo acessar o conectivdade social
https://conectividade.caixa.gov.br/  o computador esta com certificado

E em services>proxy server

em Bypass proxy for these destination IPs

coloquei o 200.201.173.0/24;200.201.174.0/24

mesmo assim nao abre alguem consiguiu acessar

obrigado a todos

Tenta deixar assim e faz um teste.

200.201.174.0/20;200.150.79.42/20;conectividade.caixa.gov.br

multnick

Bom dia.

Alguém teve algum problema referente ao Balanceamento/Fail Over ?

Tenho um servidor em produção PFSense 2.1.5, que estava rodando apenas squid3, configurado FailOver/Balanceamento, nesta versão estava rodando perfeitamente.

Fiz a atualização para o squid-dev, conforme o tópico, na realidade, fiz a desinstalação, e instalei do zero o squid-dev.

Pude perceber que após a instalação do squid-dev, a navegação do segundo link não esta funcionando. Quando o link WAN Primario esta ativo, funciona 100%, na WAN2, para de funcionar.

Tenho que desabilitar o squid, para que a navegação seja liberada na WAN2.

Alguém aqui já teve algum problema similar com dois links ?

Obrigado.

multnick

Olá,

No navegador Chrome, não abre Google/Gmail e Hotmail abre apenas a tela inicial mesmo depois de instalado o certificado.

No caso do Hotmail, quando loga, a tela vai para o bloqueio da mesma forma do Google.

Yahoo, depois de logado, a tela não abre 100%, fica com erros.

Isso esta acontecendo apenas com o Chrome, no Internet Explorer e Firefox esta funcionando normalmente.

Já existe alguma solução para o Chrome ?

Obrigado.

clebemartins

Ola pessoal,

Entendi a seguinte situação que ao colocar :

always_direct allow all
ssl_bump server-first all

os browsers não terão a chatice de ficar dando erro de certificado ! certo ?
pois bem esta tudo quase perfeito, exceto quando coloco estes paramentros,

nada mais navega trava tudo no CERTIFICADO !

alguém pode me dizer onde errei ?

machadomall

Clebe Martins,
Instalou as bibliotecas faltantes? Conforme diz o incio do Post.

At.

D0U6L4S

@Márcio:

Clebe Martins,
Instalou as bibliotecas faltantes? Conforme diz o incio do Post.

At.

Márcio Machado bom dia,

Precisa instalar as bibliotecas ? o povo disse que na ultima versão do Squid-dev já vem com estas bibliotecas, aqui eu não instalei e não tenho este problema.

Abs.@clebemartins:

Ola pessoal,

Entendi a seguinte situação que ao colocar :

always_direct allow all
ssl_bump server-first all

os browsers não terão a chatice de ficar dando erro de certificado ! certo ?
pois bem esta tudo quase perfeito, exceto quando coloco estes paramentros,

nada mais navega trava tudo no CERTIFICADO !

alguém pode me dizer onde errei ?

clebemartins bom dia,

O erro dá em qlq navegador ?
Aqui eu tive algo parecido e limpei o cache dos browsers e voltou !

Único problema é com os sites do governo que dá erro, dai tem que botar no ByPass.

Abs.

calijurio

@D0U6L4S:

@Márcio:

Clebe Martins,
Instalou as bibliotecas faltantes? Conforme diz o incio do Post.

At.

Márcio Machado bom dia,

Precisa instalar as bibliotecas ? o povo disse que na ultima versão do Squid-dev já vem com estas bibliotecas, aqui eu não instalei e não tenho este problema.

Abs.@clebemartins:

Ola pessoal,

Entendi a seguinte situação que ao colocar :

always_direct allow all
ssl_bump server-first all

os browsers não terão a chatice de ficar dando erro de certificado ! certo ?
pois bem esta tudo quase perfeito, exceto quando coloco estes paramentros,

nada mais navega trava tudo no CERTIFICADO !

alguém pode me dizer onde errei ?

clebemartins bom dia,

O erro dá em qlq navegador ?
Aqui eu tive algo parecido e limpei o cache dos browsers e voltou !

Único problema é com os sites do governo que dá erro, dai tem que botar no ByPass.

Abs.

Aqui eu coloquei o script e configurei no navegador google chrome versão 37 na versão 36 do chrrome da erro.. e no firefox tb

TreeDark

Marcelo tenho uma dúvida eu li o post inteiro mais creio que não achei a resposta, quando fazemos o bypass tanto do ip da máquina quanto do destino tem que ser instalado os certificados gerados no pfSense nas máquinas clientes independentes delas serem livre dos filtros?
Obrigado pela atenção

mateus0032

olá TreeDark! quando é feito o bypass a maquina não usa mais filtros assim não é necessário o uso de certificados, uma dica é usar o mac address da maquina fixado a um ip, esse ip dever estar fora da faixa do dhcp. faço na empresa com celulares e pcs e fica ótimo…  :D

TreeDark

Obrigado pela resposta Mateus0032!!
Então não pode usar DHCP para o bypass? Ou posso fazer outro range ou alias só para o bypass.

Falo isso por clientes que vem de fora acessarem a internet.
Ou posso associar o MAC de um router wireless a um ip do firewall e rotear ele.

Obrigado

mateus0032

Isso mesmo TreeDark… o pfsense não trabalha com IP fico ao MAC dentro do DHCP, mas o bypass pode ser de qualquer ip tanto fora quanto dentro então crie um range de quantos usuarios voce precise para o DHCP e o resto que estiver fora pode por o roteador e fixar o mac..  :D
Caso tenha duvidas crie seu DHCP com /24 e tente adcionar um ip ao mac veja no print como é simpes voce pode usar o DHCP leases que fica em status..


andretoledo

Olá

Eu segui o procedimento, instalei o squid3-dev, criei uma entidade certificadora interna no pfsense, importei o certificado, mas ao acessar o facebook por exemplo esta dando erro de certificado.

Já coloquei nas configurações de data e hora do pfsense o mesmo servidor ntp usado na estação.

mateus0032

Olá andretoledo! primeiro faça uma limpeza do navegador cache histórico cookies e reveja suas regras do squid3-dev…

já adicionou esses paramentros no squid3 ?

Em Custom ACLS (Before_Auth)

"always_direct allow all
ssl_bump server-first all"

TreeDark

olá mateus0032,

Muito Obrigado por suas dicas está funcionando perfeitamente, aproveitando o tópico com qual ferramenta posso fazer log dos filtros ssl/https por tempo utilizado, por exemplo os ip X usou paginas com SSl por tantas horas e páginas com https por tantas horas, teria como fazer esse tipo de log? diario e semanal?

Muito obrigado pela ajuda.

mateus0032

então amigo esse tipo de monitoramento nunca fiz mas creio que o sarg ou o Lightsquid possam te dar uma boa noção, eles fazem o monitoramento por ano dia mes hora e pelo ip que acessa, mas não mostra exatamente o uso do ssl/https…

andretoledo

@mateus0032:

Olá andretoledo! primeiro faça uma limpeza do navegador cache histórico cookies e reveja suas regras do squid3-dev…

já adicionou esses paramentros no squid3 ?

Em Custom ACLS (Before_Auth)

"always_direct allow all
ssl_bump server-first all"

Com essas configurações e limpando o cache funcionou para facebook, até mesmo para o banco santander, mas o gmail ainda esta dando erro.

mateus0032

andretoledo o gmail.com infelizmente comigo deu o mesmo erro a forma que consegui foi entra pelo accounts do google voce pode abrir o google e na parte superior direita e entra no gmail ou por esse link "https://accounts.google.com" ainda não descobri o motivo e fica ai em aberto para que souber…  ;D ;D  "https://accounts.google.com"

andretoledo

@mateus0032:

andretoledo o gmail.com infelizmente comigo deu o mesmo erro a forma que consegui foi entra pelo accounts do google voce pode abrir o google e na parte superior direita e entra no gmail ou por esse link "https://accounts.google.com" ainda não descobri o motivo e fica ai em aberto para que souber…  ;D ;D  "https://accounts.google.com"

Aqui não temos restrições ao gmail, eu coloquei o dominio gmail.com no campo "Bypass proxy for these destination IPs", assim ele não vai ser cacheado e não da o erro. Se alguém tiver uma solução diferente eu gostaria de não deixar em by pass, mas por hora vou deixar assim.

victorfmaraujo

Pessoal, boa noite

Fiz todo o passo a passo e começou a funcionar que é uma beleza, porém (Sempre tem um porém hehehe) poucos minutos depois a navegação simplesmente parou.  Qualquer página que tento acessar simplesmente não abre.

Obs:  Instalei o squid3-dev e depois o Squidguard3-dev