[RESOLVIDO] Squid3-dev [não bloqueia em modo transparente]

marcelloc

alguma informação no cache.log?

ps: use a opção code para colocar logs e saída de comando. fica mais facil ler.

Anexar imagens pela opção attachments and other options também facilita.

Só pra ter certeza que não tem nenhuma outra interceptação atrapalhando, desmarcou o redirecionamento http para https em system advanced?

victorfmaraujo

@marcelloc:

alguma informação no cache.log?

ps: use a opção code para colocar logs e saída de comando. fica mais facil ler.

Anexar imagens pela opção attachments and other options também facilita.

Só pra ter certeza que não tem nenhuma outra interceptação atrapalhando, desmarcou o redirecionamento http para https em system advanced?

Blz, havia esquecido de colocar na primeira saída, mas rapidamente coloquei hehehe.

Sim, a opção estava desmarcada.  Marquei aguardei 20 segundos e testei novamente (Sem sucesso).

Segue dados do access.log

2015/01/27 22:05:57 kid1| Starting Squid Cache version 3.3.10 for i386-portbld-freebsd8.3...
2015/01/27 22:05:58 kid1|  parse error while reading template file: /usr/pbi/squid-i386/etc/squid/errors/pt-br/error-details.txt
2015/01/27 22:05:58 kid1| Unable to load default error language files. Reset to backups.
2015/01/27 22:05:58 kid1|  parse error while reading template file: /usr/pbi/squid-i386/etc/squid/errors/templates/error-details.txt
2015/01/27 22:05:58 kid1| WARNING: failed to find or read error text file error-details.txt
2015/01/27 22:05:58 kid1| sendto FD 25: (1) Operation not permitted
2015/01/27 22:05:58 kid1| ipcCreate: CHILD: hello write test failed
2015/01/27 22:06:57 kid1| Starting Squid Cache version 3.3.10 for i386-portbld-freebsd8.3...
2015/01/27 22:06:57 kid1|  parse error while reading template file: /usr/pbi/squid-i386/etc/squid/errors/pt-br/error-details.txt
2015/01/27 22:06:57 kid1| Unable to load default error language files. Reset to backups.
2015/01/27 22:06:57 kid1|  parse error while reading template file: /usr/pbi/squid-i386/etc/squid/errors/templates/error-details.txt
2015/01/27 22:06:57 kid1| WARNING: failed to find or read error text file error-details.txt
2015/01/27 22:06:58 kid1| sendto FD 28: (1) Operation not permitted
2015/01/27 22:06:58 kid1| ipcCreate: CHILD: hello write test failed
2015/01/27 22:18:21 kid1| Starting Squid Cache version 3.3.10 for i386-portbld-freebsd8.3...
2015/01/27 22:18:21 kid1|  parse error while reading template file: /usr/pbi/squid-i386/etc/squid/errors/pt-br/error-details.txt
2015/01/27 22:18:21 kid1| Unable to load default error language files. Reset to backups.
2015/01/27 22:18:21 kid1|  parse error while reading template file: /usr/pbi/squid-i386/etc/squid/errors/templates/error-details.txt
2015/01/27 22:18:21 kid1| WARNING: failed to find or read error text file error-details.txt
2015/01/27 22:18:21 kid1| sendto FD 26: (1) Operation not permitted
2015/01/27 22:18:21 kid1| ipcCreate: CHILD: hello write test failed
2015/01/27 22:18:28 kid1| Starting Squid Cache version 3.3.10 for i386-portbld-freebsd8.3...
2015/01/27 22:18:28 kid1|  parse error while reading template file: /usr/pbi/squid-i386/etc/squid/errors/pt-br/error-details.txt
2015/01/27 22:18:28 kid1| Unable to load default error language files. Reset to backups.
2015/01/27 22:18:28 kid1|  parse error while reading template file: /usr/pbi/squid-i386/etc/squid/errors/templates/error-details.txt
2015/01/27 22:18:28 kid1| WARNING: failed to find or read error text file error-details.txt
2015/01/27 22:18:28 kid1| sendto FD 26: (1) Operation not permitted
2015/01/27 22:18:28 kid1| ipcCreate: CHILD: hello write test failed
2015/01/27 22:19:35 kid1| Starting Squid Cache version 3.3.10 for i386-portbld-freebsd8.3...
2015/01/27 22:19:35 kid1|  parse error while reading template file: /usr/pbi/squid-i386/etc/squid/errors/pt-br/error-details.txt
2015/01/27 22:19:35 kid1| Unable to load default error language files. Reset to backups.
2015/01/27 22:19:35 kid1|  parse error while reading template file: /usr/pbi/squid-i386/etc/squid/errors/templates/error-details.txt
2015/01/27 22:19:35 kid1| WARNING: failed to find or read error text file error-details.txt
2015/01/27 22:19:35 kid1| sendto FD 29: (1) Operation not permitted
2015/01/27 22:19:35 kid1| ipcCreate: CHILD: hello write test failed
[2.1.3-RELEASE][admin@pfsense.mu.local]/var/squid/logs(104): PuTTYPuTTYPuTTY

Acho que tem algum resíduo do squid2

Olhando esse arquivo dentro de /usr/pbi/squid-i386/etc/squid/errors//pt-br/templates/error-details.txt

[2.1.3-RELEASE][admin@pfsense.mu.local]/usr/pbi/squid-i386/etc/squid/errors/pt-br(151): cat error-details.txt
name: SQUID_ERR_SSL_HANDSHAKE
detail: "%ssl_error_descr: %ssl_lib_error"
descr: "Handshake with SSL server failed"

name: SQUID_X509_V_ERR_DOMAIN_MISMATCH
detail: "%ssl_error_descr: %ssl_subject"
descr: "Certificate does not match domainname"

name: X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT
detail: "SSL Certficate error: certificate issuer (CA) not known: %ssl_ca_name"
descr: "Unable to get issuer certificate"

name: X509_V_ERR_UNABLE_TO_GET_CRL
detail: "%ssl_error_descr: %ssl_subject"
descr: "Unable to get certificate CRL"

name: X509_V_ERR_UNABLE_TO_DECRYPT_CERT_SIGNATURE
detail: "%ssl_error_descr: %ssl_subject"
descr: "Unable to decrypt certificate's signature"

name: X509_V_ERR_UNABLE_TO_DECRYPT_CRL_SIGNATURE
detail: "%ssl_error_descr: %ssl_subject"
descr: "Unable to decrypt CRL's signature"

name: X509_V_ERR_UNABLE_TO_DECODE_ISSUER_PUBLIC_KEY
detail: "Unable to decode issuer (CA) public key: %ssl_ca_name"
descr: "Unable to decode issuer public key"

name: X509_V_ERR_CERT_SIGNATURE_FAILURE
detail: "%ssl_error_descr: %ssl_subject"
descr: "Certificate signature failure"

name: X509_V_ERR_CRL_SIGNATURE_FAILURE
detail: "%ssl_error_descr: %ssl_subject"
descr: "CRL signature failure"

name: X509_V_ERR_CERT_NOT_YET_VALID
detail: "SSL Certficate is not valid before: %ssl_notbefore"
descr: "Certificate is not yet valid"

name: X509_V_ERR_CERT_HAS_EXPIRED
detail: "SSL Certificate expired on: %ssl_notafter"
descr: "Certificate has expired"

name: X509_V_ERR_CRL_NOT_YET_VALID
detail: "%ssl_error_descr: %ssl_subject"
descr: "CRL is not yet valid"

name: X509_V_ERR_CRL_HAS_EXPIRED
detail: "%ssl_error_descr: %ssl_subject"
descr: "CRL has expired"

name: X509_V_ERR_ERROR_IN_CERT_NOT_BEFORE_FIELD
detail: "SSL Certificate has invalid start date (the 'not before' field): %ssl_subject"
descr: "Format error in certificate's notBefore field"

name: X509_V_ERR_ERROR_IN_CERT_NOT_AFTER_FIELD
detail: "SSL Certificate has invalid expiration date (the 'not after' field): %ssl_subject"
descr: "Format error in certificate's notAfter field"

name: X509_V_ERR_ERROR_IN_CRL_LAST_UPDATE_FIELD
detail: "%ssl_error_descr: %ssl_subject"
descr: "Format error in CRL's lastUpdate field"

name: X509_V_ERR_ERROR_IN_CRL_NEXT_UPDATE_FIELD
detail: "%ssl_error_descr: %ssl_subject"
descr: "Format error in CRL's nextUpdate field"

name: X509_V_ERR_OUT_OF_MEM
detail: "%ssl_error_descr"
descr: "Out of memory"

name: X509_V_ERR_DEPTH_ZERO_SELF_SIGNED_CERT
detail: "Self-signed SSL Certificate: %ssl_subject"
descr: "Self signed certificate"

name: X509_V_ERR_SELF_SIGNED_CERT_IN_CHAIN
detail: "Self-signed SSL Certificate in chain: %ssl_subject"
descr: "Self signed certificate in certificate chain"

name: X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY
detail: "SSL Certficate error: certificate issuer (CA) not known: %ssl_ca_name"
descr: "Unable to get local issuer certificate"

name: X509_V_ERR_UNABLE_TO_VERIFY_LEAF_SIGNATURE
detail: "%ssl_error_descr: %ssl_subject"
descr: "Unable to verify the first certificate"

name: X509_V_ERR_CERT_CHAIN_TOO_LONG
detail: "%ssl_error_descr: %ssl_subject"
descr: "Certificate chain too long"

name: X509_V_ERR_CERT_REVOKED
detail: "%ssl_error_descr: %ssl_subject"
descr: "Certificate revoked"

name: X509_V_ERR_INVALID_CA
detail: "%ssl_error_descr: %ssl_ca_name"
descr: "Invalid CA certificate"

name: X509_V_ERR_PATH_LENGTH_EXCEEDED
detail: "%ssl_error_descr: %ssl_subject"
descr: "Path length constraint exceeded"

name: X509_V_ERR_INVALID_PURPOSE
detail: "%ssl_error_descr: %ssl_subject"
descr: "Unsupported certificate purpose"

name: X509_V_ERR_CERT_UNTRUSTED
detail: "%ssl_error_descr: %ssl_subject"
descr: "Certificate not trusted"

name: X509_V_ERR_CERT_REJECTED
detail: "%ssl_error_descr: %ssl_subject"
descr: "Certificate rejected"

name: X509_V_ERR_SUBJECT_ISSUER_MISMATCH
detail: "%ssl_error_descr: %ssl_ca_name"
descr: "Subject issuer mismatch"

name: X509_V_ERR_AKID_SKID_MISMATCH
detail: "%ssl_error_descr: %ssl_subject"
descr: "Authority and subject key identifier mismatch"

name: X509_V_ERR_AKID_ISSUER_SERIAL_MISMATCH
detail: "%ssl_error_descr: %ssl_ca_name"
descr: "Authority and issuer serial number mismatch"

name: X509_V_ERR_KEYUSAGE_NO_CERTSIGN
detail: "%ssl_error_descr: %ssl_subject"
descr: "Key usage does not include certificate signing"

name: X509_V_ERR_UNABLE_TO_GET_CRL_ISSUER
detail: "%ssl_error_descr: %ssl_subject"
descr: "unable to get CRL issuer certificate"

name: X509_V_ERR_UNHANDLED_CRITICAL_EXTENSION
detail: "%ssl_error_descr: %ssl_subject"
descr: "unhandled critical extension"

name: X509_V_ERR_KEYUSAGE_NO_CRL_SIGN
detail: "%ssl_error_descr: %ssl_subject"
descr: "key usage does not include CRL signing"

name: X509_V_ERR_UNHANDLED_CRITICAL_CRL_EXTENSION
detail: "%ssl_error_descr: %ssl_subject"
descr: "unhandled critical CRL extension"

name: X509_V_ERR_INVALID_NON_CA
detail: "%ssl_error_descr: %ssl_subject"
descr: "invalid non-CA certificate (has CA markings)"

name: X509_V_ERR_PROXY_PATH_LENGTH_EXCEEDED
detail: "%ssl_error_descr: %ssl_subject"
descr: "proxy path length constraint exceeded"

name: X509_V_ERR_KEYUSAGE_NO_DIGITAL_SIGNATURE
detail: "%ssl_error_descr: %ssl_subject"
descr: "key usage does not include digital signature"

name: X509_V_ERR_PROXY_CERTIFICATES_NOT_ALLOWED
detail: "%ssl_error_descr: %ssl_subject"
descr: "proxy certificates not allowed, please set the appropriate flag"

name: X509_V_ERR_INVALID_EXTENSION
detail: "%ssl_error_descr: %ssl_subject"
descr: "invalid or inconsistent certificate extension"

name: X509_V_ERR_INVALID_POLICY_EXTENSION
detail: "%ssl_error_descr: %ssl_subject"
descr: "invalid or inconsistent certificate policy extension"

name: X509_V_ERR_NO_EXPLICIT_POLICY
detail: "%ssl_error_descr: %ssl_subject"
descr: "no explicit policy"

name: X509_V_ERR_DIFFERENT_CRL_SCOPE
detail: "%ssl_error_descr: %ssl_subject"
descr: "Different CRL scope"

name: X509_V_ERR_UNSUPPORTED_EXTENSION_FEATURE
detail: "%ssl_error_descr: %ssl_subject"
descr: "Unsupported extension feature"

name: X509_V_ERR_UNNESTED_RESOURCE
detail: "%ssl_error_descr: %ssl_subject"
descr: "RFC 3779 resource not subset of parent's resources"

name: X509_V_ERR_PERMITTED_VIOLATION
detail: "%ssl_error_descr: %ssl_subject"
descr: "permitted subtree violation"

name: X509_V_ERR_EXCLUDED_VIOLATION
detail: "%ssl_error_descr: %ssl_subject"
descr: "excluded subtree violation"

name: X509_V_ERR_SUBTREE_MINMAX
detail: "%ssl_error_descr: %ssl_subject"
descr: "name constraints minimum and maximum not supported"

name: X509_V_ERR_UNSUPPORTED_CONSTRAINT_TYPE
detail: "%ssl_error_descr: %ssl_subject"
descr: "unsupported name constraint type"

name: X509_V_ERR_UNSUPPORTED_CONSTRAINT_SYNTAX
detail: "%ssl_error_descr: %ssl_subject"
descr: "unsupported or invalid name constraint syntax"

name: X509_V_ERR_UNSUPPORTED_NAME_SYNTAX
detail: "%ssl_error_descr: %ssl_subject"
descr: "unsupported or invalid name syntax"

name: X509_V_ERR_CRL_PATH_VALIDATION_ERROR
detail: "%ssl_error_descr: %ssl_subject"
descr: "CRL path validation error"

name: X509_V_ERR_APPLICATION_VERIFICATION
detail: "%ssl_error_descr: %ssl_subject"
descr: "Application verification failure"
[2.1.3-RELEASE][admin@pfsense.mu.local]/usr/pbi/squid-i386/etc/squid/errors/pt-br(152):

marcelloc

Esse bug é de uma das versões do squid, nada relacionado ao pacote. Se não me engano, basta remover as entradas que ele não reconhece.

victorfmaraujo

@marcelloc:

Esse bug é de uma das versões do squid, nada relacionado ao pacote. Se não me engano, basta remover as entradas que ele não reconhece.

Hummm, quais seriam essas entradas?  Na web gui?

marcelloc

@victorfmaraujo:

Hummm, quais seriam essas entradas?  Na web gui?

Nos arquivos de erro do squid mesmo. Seguindo os erros apontados pelo log.

victorfmaraujo

@marcelloc:

@victorfmaraujo:

Hummm, quais seriam essas entradas?  Na web gui?

Nos arquivos de erro do squid mesmo. Seguindo os erros apontados pelo log.

Rapazzzz.  Sem querer ser chato mas já sendo rsrs.

realmente não entendi exatamente esses erros.

esse arquivo error-details.txt  só me retrata erros de ssl (Não estou utilizando proxy https)

Poderia me apontar o norte, ou se possível o X do mapa do tesouro?

só para você saber.  Limpei o cache do squid e criei um diretório para salvar esses arquivos caso eu precise e reiniciei o pfsense para ele criar um novo cache.log

Não resolveu :(

Abçs

marcelloc

Remova do arquivo de erro as entradas que estão impedindo o serviço subir.

Veja se o cache.log da uma dica.

tiagopesantos

Caro Victor, informo também que instalei a versão do Pfsense 2.2 com o squid 3 last version, e está acontecendo o mesmo problema de navegar com proxy transparente marcado. fiz a instalação do zero para tirar duvida se era vestígios do squid anterior, mas não é !!  :-\

marcelloc

O que vejo de diferente da minha instalação é somente a arquitetura.  Eu uso a versão 64bits.

victorfmaraujo

@marcelloc:

O que vejo de diferente da minha instalação é somente a arquitetura.  Eu uso a versão 64bits.

Blz marcelloc, vou pesquisar e vejo se consigo.

Não creio que a arquitetura possa interferir nisso.

Outra coisa interessante é.  Mesmo com esses problemas, configurei o LoadBallance do Pfsense para escutar as duas loopbacks e nos status do loadballance, as duas davam como Off. (Detalhe, rodando o sockstats | grep 3128, apareciam lá as duas loopbacks escutando a porta 3128.  Muito estranho).

Eu partucularmente acho que seja um problema de NAT, onde o squid não esteja capturando o tráfego que vem da Lan Net para qualquer destino na porta 80.

Achei esse tópico seu no fórum internacional
https://forum.pfsense.org/index.php?topic=62256.msg341632#msg341632

acha que vale a pena eu tirar o squid3 3.3.10 pkg 2.2.8 que estou utilizando e colocar o 3.3.5 que você cita no mesmo tópico?
Preciso fazer o download de alguma lib caso faça isso?

On console/ssh use  pkg_delete to remove squid-3.3.4 and pkg_add to get squid 3.3.5

i386 systems
pkg_add -r http://e-sac.siteseguro.ws/packages/8/All/squid-3.3.5.tbz

amd64 systems
pkg_add -r http://e-sac.siteseguro.ws/packages/amd64/8/All/squid-3.3.5.tbz

victorfmaraujo

Acho que encontrei o problema

[2.1.3-RELEASE][admin@pfsense.mu.local]/var/squid/logs(41): cat cache.log
2015/01/28 10:23:49 kid1| Starting Squid Cache version 3.3.10 for i386-portbld-freebsd8.3...
2015/01/28 10:23:50 kid1| commBind: Cannot bind socket FD 24 to 127.0.0.1:3128: (48) Address already in use
2015/01/28 10:23:50 kid1| sendto FD 25: (1) Operation not permitted
2015/01/28 10:23:50 kid1| ipcCreate: CHILD: hello write test failed

alguém tem idéia do que seja isso?

Outra coisa, li em algum lugar que em alguns servidores Linux, tem um parâmetro que vc define o PID do squid, será que pode ser isso?  Estou chutando.

marcelloc

@victorfmaraujo:

Não creio que a arquitetura possa interferir nisso.

Na 2.1 o antivirus não funciona com amd64 e na 2.2 aparentemente o proxy transparente está quebrado por conta de compilação talvez.

@victorfmaraujo:

acha que vale a pena eu tirar o squid3 3.3.10 pkg 2.2.8 que estou utilizando e colocar o 3.3.5 que você cita no mesmo tópico?

Não. este binário é para a versão 2.0.

victorfmaraujo

@marcelloc:

@victorfmaraujo:

Não creio que a arquitetura possa interferir nisso.

Na 2.1 o antivirus não funciona com amd64 e na 2.2 aparentemente o proxy transparente está quebrado por conta de compilação talvez.

@victorfmaraujo:

acha que vale a pena eu tirar o squid3 3.3.10 pkg 2.2.8 que estou utilizando e colocar o 3.3.5 que você cita no mesmo tópico?

Não. este binário é para a versão 2.0.

Descobri o problema.

Em alguns posts do fórum internacional estavam falando sobre habilitar o IPV6 no pfsense.  Fiz isso e funcionou.

Obrigado marcelloc pela atenção que deu a esse post mesmo com o horário avançado..

marcelloc

@victorfmaraujo:

Em alguns posts do fórum internacional estavam falando sobre habilitar o IPV6 no pfsense.  Fiz isso e funcionou.

Porque isso estava desabilitado no seu pfsense 2.1? ???

victorfmaraujo

@marcelloc:

@victorfmaraujo:

Em alguns posts do fórum internacional estavam falando sobre habilitar o IPV6 no pfsense.  Fiz isso e funcionou.

Porque isso estava desabilitado no seu pfsense 2.1? ???

kkkkkkk

Rapaz, não faço idéia.  Temos esse cliente tem uns 6 meses e o pfsense não foi instalado por nós.