HTTPS через SQUID

MrIgor

но следом вылезла еще проблема. Есть у нас удаленный сервер к которому подключаемся по rdp. Теперь при попытке подключения выскакивает сообщение (см вложение.) Куда копать?

PF_RDP.JPG_thumb

werter

@MrIgor:

но следом вылезла еще проблема. Есть у нас удаленный сервер к которому подключаемся по rdp. Теперь при попытке подключения выскакивает сообщение (см вложение.) Куда копать?

А разве pfsense в этом виноват? Или у вас RDP Web-доступ ?

MrIgor

@werter:

@MrIgor:

но следом вылезла еще проблема. Есть у нас удаленный сервер к которому подключаемся по rdp. Теперь при попытке подключения выскакивает сообщение (см вложение.) Куда копать?

А разве pfsense в этом виноват? Или у вас RDP Web-доступ ?

виноват ) Если https трафик пускать не через squid - все работает нормально. После заворачивания https трафика на squid возникает эта ошибка.

По поводу RDP over HTTPS:
This is because port 3389, the port used for RDP connections, is typically blocked for network security purposes at the firewalls. TS-Gateway transmits RDP traffic to port 443 instead, by using an HTTP Secure Sockets Layer/Transport Layer Security (SSL/TLS) tunnel. Because most corporations open port 443 to enable Internet connectivity, TS-Gateway takes advantage of this network design to provide remote access connectivity across multiple firewalls.
Полный текст:
http://technet2.microsoft.com/Window…aaf081031.mspx
Или здесь (буков меньше), читаем только внутри красного квадрата
http://windowsitpro.com/article/arti...rver-2008.html

flagman

Да есть такие ошибки, из этой же серии скайп отказывается работать при https прозрачном проксировании, и dropbox и прочее ПО которое требует проверку сертификата. а при шттпс проксировании происходит подмена сертификата, это им и не нравиться. Я думаю нужно копать в сторону функции байпасс для шттпс прокси, в конфиге сквида нужна в секции ssl найти опции которые отвечают за байпасс при соединении с нужным направлением. те будет пропускаться это направление без подмены сертификата, и не будет учитываться и фильтроваться по 443 порту. Можно поступить проще- вообще для этой машины с рдп прописать исключения для всего прокси как шттп так и шттпс, на главной закладка по моему где-то… сейчас пфсенса под рукой нету, но найешь уж.

flagman

Просто нужно понимать что прозрачное шттпс прокси это взлом содержимого пакетов, атака "человек по середине". шттпс протокол и был создан для того чтоб никто ничего не смог просмотреть. по этому для таких приложений и программ нужно делать байпасс. также ещё нужно для адресов банков онлайн делать байпасс, чтоб ваши юзеры могли безопасно выполнять свои транзакции… хотя у меня банк клиент и подменой сертификата работает, но это не правильно. нужно разграничивать права человека и правила компании. Думаю нужно создать топик "ByPASS HTTPS Proxy"

werter

@flagman:

Можно поступить проще- вообще для этой машины с рдп прописать исключения для всего прокси как шттп так и шттпс, на главной закладка по моему где-то… сейчас пфсенса под рукой нету, но найешь уж.

Верно.
Только нужно указывать адрес удаленного сервера в Destination, а не адрес локальной машины в Source. Вроде есть такая возможность в настройках сквида.

flagman

Согласен, даже можно и в соурс и в дестинейшенс прописать для пущей верности! так как двух стронний процесс

flagman

Предлагаю высказать предложения по поводу возможных конфигураций ByPASS HTTPS Proxy
где находить и как правильно прописывать ::)

flagman

Вот думаю начинать нужно здесь http://wiki.squid-cache.org/Features/SslBump
И вот такая же тема https://forum.pfsense.org/index.php?topic=68388.15
В итоге имеем
acl ssl_bypass dst 104.66.167.176
ssl_bump none ssl_bypass

MrIgor

Прописал адрес удаленного сервера в поле Proxy server: General settings - Bypass proxy for these destination IPs - заработало.

Вы выше упоминали skype. Таки да, есть с ним беда. После заворачивания https трафика на squid он не коннектится.
Вот как с ним быть? Ведь у него точек назначения может быть много.

MrIgor

Нда, исходя из обсуждения в теме указанной flagman-ом, я прихожу к выводу, что https через squid - это плохая идея. Проще пустить его через nat и не морочить голову себе и людям…

flagman

По поводу скайпа, попробуй в самом скайпе принудительно прописать адрес прокси и порт, чтоб скайп был готов к прокси шттпс. Я не успел попробывать это, но прочитал данный рецепт где то, и там был положительный результат. Этот подход должен работать и с другими приложениями. попробуй! только отпишись о результате, не пропадай!

flagman

Кстати сама идея как реализован прокси шттпс в пфсенсе, даже очень хорошая и удобная, только веб интерфейсе не хватает настройки опции байпасса для ссл подключений

MrIgor

@flagman:

По поводу скайпа, попробуй в самом скайпе принудительно прописать адрес прокси и порт, чтоб скайп был готов к прокси шттпс. Я не успел попробывать это, но прочитал данный рецепт где то, и там был положительный результат. Этот подход должен работать и с другими приложениями. попробуй! только отпишись о результате, не пропадай!

Попробую по свободе, но бегать по всем машинам домена и настраивать все ПО которое нужно пустить через прокси - согласитесь перспектива не очень радует.

werter

@MrIgor:

@flagman:

По поводу скайпа, попробуй в самом скайпе принудительно прописать адрес прокси и порт, чтоб скайп был готов к прокси шттпс. Я не успел попробывать это, но прочитал данный рецепт где то, и там был положительный результат. Этот подход должен работать и с другими приложениями. попробуй! только отпишись о результате, не пропадай!

Попробую по свободе, но бегать по всем машинам домена и настраивать все ПО которое нужно пустить через прокси - согласитесь перспектива не очень радует.

Group Policy ?