O que mais fazer para diagnosticar isso ? | Bloqueio de site mesmo c Full Access

faustovianna

Existe no squidguard com a shallalist o bloqueio para remotecontrol teste habilitando-a… Acredito que se você criar uma Group ACL e deixar ela personalizada com tudo liberada seria uma boa forma de saber se o problema esta no serviço do squid, ou simplesmente colocar em bypass proxy for this source ip (e coloca o ip do cliente) ou melhor, pegue os endereços que o Logmein utiliza e coloque no campo abaixo (bypass for this destination address) se não me engano. Fazendo isso e não dando certo é pq o problema já não é com o proxy... ai comece a rever suas regras de firewall e portas liberadas...

Espero ter lhe ajudado.

wwatanabe

Olá OtsuAf, boa tarde.

Primeiramente obrigado por ler um post tão grande e tentar ajudar.

Já fiz o teste com todas ACLs (Shallalist) liberadas (allow) e todos os subdominios e domínios do Logmein, além do GOV.BR liberados em Whitelist. Não vai. Também, se fosse um bloqueio do Squid ou SquidGuard acredito que veria nos logs do Proxy Server | Realtime. Lá não mostra nada sendo bloqueado pelo SquidGuard e também não mostra nada sendo bloqueado diretamente pelo Squid (ex. TCP_DENIED/407 - autenticação, etc).

Também, como falei, no segundo diagnóstico desabilito o proxy completamente, Squid e Squidguard, e deixo a regra de firewall para IPv4* Any to Any (libera tudo) e também não consigo acesso, nem no site do Sintegra SP nem nesse primeiro acesso ao Logmein client.

Citei os dois casos porque acredito que estejam relacionados. O fato de não serem acessados simplesmente pelo fato de estarem passando pelo PFSense.

Abs.

Wellington

faustovianna

Já tentou habilitar também o ipv6 das interfaces? Acho que ja li algo falando desse tipo de situação aqui no fórum também… Eu tenho um alias pro firewall dando liberação para alguns sites específicos quando tenho problema de acesso... Graças a Deus nunca tive um pepinão desses... Se eu pensar em algo melhor pra lhe ajudar entro em contato.
Estamos juntos! Boa sorte!
Marcelloc daqui a pouco resolve seu problema, o cara é fera!

wwatanabe

Olá meu caro !

Habilitei o IPv6 no Advanced. Testei e nada. Ainda acho muito estranho o fato de desabilitando Proxy, habilitando regra de Full Access na WAN e na LAN, não rola esse site da Sintegra SP, apenas o SP. Todos os outros abrem. Nada nos logs de bloqueio, nem de proxy, nem de firewall.

Vamos aguardar por uma luz vinda do Marcelloc !!..rs..

Abraços e obrigado.

denicio

Amigo lendo seu post me lembrou uma situação que ocorreu comigo recentemente. Na empresa que prestou serviço implementei o PF na rede e estava usando a velox como conexão. Ai solicitaram o um link dedicado da OI para substituir a velox logo quando mudei "alguns sites" nao carregavam algumas funções, tipo a finalização de formulário de cadastro. Ai fui perceber que era o link dedicado da OI que estava "barrando" mudei para a velox e voltou a funcionar. Com relação a esse problema no link vou abrir um chamado com o analista da OI para ver qual o problema.
Teste essa conexão fora do PF ou teste outra conexão no PF.
O cenário é parecido com o seu só não tem AD.

Espero que ajude.

reinaldo.feitosa

Quais as configurações de DNS esta usando? se o proxy e nem o firewall estão bloqueando tudo indica que o dns não esta resolvendo os endereços.

Tenta acessar o site, fazer login no logmein e enquando esta tentando no prompt de comando digite "netstat -n" sem as aspas e verificas se tem algum status "sync sent", ou seja tentando sincronismo.

Escrevendo a resposta lembrei que como vc usa AD e neste caso ele que está resolvendo os endereços é o seu servidor 2003. em DNS do servidor 203, execute limpar arquivos de dados obsoletos, atualizar arquivos de dados do servidor e limpar cache.

wwatanabe

Bom dia pessoal !

@Denicio

Obrigado pela ajuda Denicio. Contudo, já havia testado uma máquina que dá problema dentro do PFSense conectada diretamente no link da NET funciona sem problemas. Portanto não é bloqueio da NET.

@ Reinaldo Feitosa

Olá Reinaldo, obrigado pela ajuda. Contudo, a resolução DNS está ok. Fizemos o teste de resolução nome x ip em outra máquina, em outro local, e está respondendo para o IP correto. Coloquei a liberação .gov.br na ACL Whitelist do Squid para nem precisar de autenticação que é feita pelo squidguard. Não há bloqueios:

08.09.2015 12:25:17 192.168.1.181 TCP_MISS/200 http://www.google-analytics.com/__utm.gif? pftest 173.194.118.98
08.09.2015 12:25:17 192.168.1.181 TCP_MISS/000 http://pfeserv1.fazenda.sp.gov.br/sintegrapfe/consultaSintegraServlet - 201.55.62.216
08.09.2015 12:25:16 192.168.1.181 TCP_MISS/200 http://www.google-analytics.com/__utm.gif? pftest 173.194.118.98
08.09.2015 12:25:16 192.168.1.181 TCP_MISS/000 http://pfeserv1.fazenda.sp.gov.br/sintegrapfe/consultaSintegraServlet - 201.55.62.216

Veja que a conexão com o Google, saiu normalmente de maneira autenticada, a do SINTEGRA sai sem problemas, sem autenticação. Nos logs no squidguard não tem nenhum apontamento para este IP e nos logs de firewall também não.

Realmente não sei o que pode ser!!! Queria fugir de apenas reinstalar o PFSense sem ter um diagnóstico..

Obrigado por enquanto.

wwatanabe

Alguém tem mais alguma Luz?

Marcelloc ??? Pode indicar um caminho ???

Só acontece com o bendito do sintegra SP.

Abs.

WW

marcelloc

Alguns sites dão problema mesmo quando acessados via proxy. O melhor e mais rápido a fazer nesse caso e passar esse site por fora do proxy.

wwatanabe

Oi Marcelloc !

O estranho é que esse site funcionava antes. Também tenho ele funcionando em outros clientes que possuem o PFSense. Também tem a questão que mesmo desabilitando o proxy completamente, deixando a firewall com tudo aberto, ainda assim não está funcionando.

Mais alguma ideia ?

Obrigado !

Abs.

Wellington

guitarcleiton

Proxy Squid
Configurar em Proxy server:

Proxy Server>cache Mgnt>do not cache

Inseri esses dominios

caixa.gov.br
cmt.caixa.gov.br
obsupgdp.caixa.gov.br
receita.fazenda.gov.br
ecac.receita.fazenda.gov.br
dataprev.gov.br
previdencia.gov.br
serpro.gov.br
negociacao.caixa.gov.br
cafe.dataprev.gov.br
granulito.mte.gov.br
portal.mte.gov.br
nfse.campinas.sp.gov.br
ccd.serpro.gov.br
ccd2.serpro.gov.br
repositorio.icpbrasil.gov.br

Em Proxy server>Acess Control>Whitelist

caixa.gov.br
cmt.caixa.gov.br
obsupgdp.caixa.gov.br
receita.fazenda.gov.br
ecac.receita.fazenda.gov.br
dataprev.gov.br
previdencia.gov.br
serpro.gov.br
negociacao.caixa.gov.br
cafe.dataprev.gov.br
granulito.mte.gov.br
portal.mte.gov.br
nfse.campinas.sp.gov.br
ccd.serpro.gov.br
ccd2.serpro.gov.br
repositorio.icpbrasil.gov.br

Agora crie um Aliases

Name: sites_gov (nome do aliases desua preferencia)
Type: Network(s)

200.201.173.82/32
161.148.231.100/32
161.148.231.190/32
200.152.32.178/32
200.152.40.50/32
161.148.173.66/32
200.201.166.240/32
200.201.174.207/32
200.201.166.0/24
200.201.174.204/32
200.201.174.0/24
200.152.32.148/32
200.152.33.1/32   
177.43.84.9/32
200.198.22.138/32
200.201.173.0/24

Crie uma aliases para portas

Name: portas_gov
Tipo: Port(s)

8017
2500
2631
3456
5017
5022
80
443

Agora em Firewall>Rules

Crie a seguinte regra antes da regra de bloqueio da porta 80 e 433 para liberar as portas para os endereços do sites.

Proto: TCP/UDP
Source: Lan Net
Port: any
Destination: sites_gov
port: portas_gov