O que mais fazer para diagnosticar isso ? | Bloqueio de site mesmo c Full Access
-
Existe no squidguard com a shallalist o bloqueio para remotecontrol teste habilitando-a… Acredito que se você criar uma Group ACL e deixar ela personalizada com tudo liberada seria uma boa forma de saber se o problema esta no serviço do squid, ou simplesmente colocar em bypass proxy for this source ip (e coloca o ip do cliente) ou melhor, pegue os endereços que o Logmein utiliza e coloque no campo abaixo (bypass for this destination address) se não me engano. Fazendo isso e não dando certo é pq o problema já não é com o proxy... ai comece a rever suas regras de firewall e portas liberadas...
Espero ter lhe ajudado.
-
Olá OtsuAf, boa tarde.
Primeiramente obrigado por ler um post tão grande e tentar ajudar.
Já fiz o teste com todas ACLs (Shallalist) liberadas (allow) e todos os subdominios e domínios do Logmein, além do GOV.BR liberados em Whitelist. Não vai. Também, se fosse um bloqueio do Squid ou SquidGuard acredito que veria nos logs do Proxy Server | Realtime. Lá não mostra nada sendo bloqueado pelo SquidGuard e também não mostra nada sendo bloqueado diretamente pelo Squid (ex. TCP_DENIED/407 - autenticação, etc).
Também, como falei, no segundo diagnóstico desabilito o proxy completamente, Squid e Squidguard, e deixo a regra de firewall para IPv4* Any to Any (libera tudo) e também não consigo acesso, nem no site do Sintegra SP nem nesse primeiro acesso ao Logmein client.
Citei os dois casos porque acredito que estejam relacionados. O fato de não serem acessados simplesmente pelo fato de estarem passando pelo PFSense.
Abs.
Wellington
-
Já tentou habilitar também o ipv6 das interfaces? Acho que ja li algo falando desse tipo de situação aqui no fórum também… Eu tenho um alias pro firewall dando liberação para alguns sites específicos quando tenho problema de acesso... Graças a Deus nunca tive um pepinão desses... Se eu pensar em algo melhor pra lhe ajudar entro em contato.
Estamos juntos! Boa sorte!
Marcelloc daqui a pouco resolve seu problema, o cara é fera! -
Olá meu caro !
Habilitei o IPv6 no Advanced. Testei e nada. Ainda acho muito estranho o fato de desabilitando Proxy, habilitando regra de Full Access na WAN e na LAN, não rola esse site da Sintegra SP, apenas o SP. Todos os outros abrem. Nada nos logs de bloqueio, nem de proxy, nem de firewall.
Vamos aguardar por uma luz vinda do Marcelloc !!..rs..
Abraços e obrigado.
-
Amigo lendo seu post me lembrou uma situação que ocorreu comigo recentemente. Na empresa que prestou serviço implementei o PF na rede e estava usando a velox como conexão. Ai solicitaram o um link dedicado da OI para substituir a velox logo quando mudei "alguns sites" nao carregavam algumas funções, tipo a finalização de formulário de cadastro. Ai fui perceber que era o link dedicado da OI que estava "barrando" mudei para a velox e voltou a funcionar. Com relação a esse problema no link vou abrir um chamado com o analista da OI para ver qual o problema.
Teste essa conexão fora do PF ou teste outra conexão no PF.
O cenário é parecido com o seu só não tem AD.Espero que ajude.
-
Quais as configurações de DNS esta usando? se o proxy e nem o firewall estão bloqueando tudo indica que o dns não esta resolvendo os endereços.
Tenta acessar o site, fazer login no logmein e enquando esta tentando no prompt de comando digite "netstat -n" sem as aspas e verificas se tem algum status "sync sent", ou seja tentando sincronismo.
Escrevendo a resposta lembrei que como vc usa AD e neste caso ele que está resolvendo os endereços é o seu servidor 2003. em DNS do servidor 203, execute limpar arquivos de dados obsoletos, atualizar arquivos de dados do servidor e limpar cache.
-
Bom dia pessoal !
Obrigado pela ajuda Denicio. Contudo, já havia testado uma máquina que dá problema dentro do PFSense conectada diretamente no link da NET funciona sem problemas. Portanto não é bloqueio da NET.
@ Reinaldo Feitosa
Olá Reinaldo, obrigado pela ajuda. Contudo, a resolução DNS está ok. Fizemos o teste de resolução nome x ip em outra máquina, em outro local, e está respondendo para o IP correto. Coloquei a liberação .gov.br na ACL Whitelist do Squid para nem precisar de autenticação que é feita pelo squidguard. Não há bloqueios:
08.09.2015 12:25:17 192.168.1.181 TCP_MISS/200 http://www.google-analytics.com/__utm.gif? pftest 173.194.118.98
08.09.2015 12:25:17 192.168.1.181 TCP_MISS/000 http://pfeserv1.fazenda.sp.gov.br/sintegrapfe/consultaSintegraServlet - 201.55.62.216
08.09.2015 12:25:16 192.168.1.181 TCP_MISS/200 http://www.google-analytics.com/__utm.gif? pftest 173.194.118.98
08.09.2015 12:25:16 192.168.1.181 TCP_MISS/000 http://pfeserv1.fazenda.sp.gov.br/sintegrapfe/consultaSintegraServlet - 201.55.62.216Veja que a conexão com o Google, saiu normalmente de maneira autenticada, a do SINTEGRA sai sem problemas, sem autenticação. Nos logs no squidguard não tem nenhum apontamento para este IP e nos logs de firewall também não.
Realmente não sei o que pode ser!!! Queria fugir de apenas reinstalar o PFSense sem ter um diagnóstico..
Obrigado por enquanto.
-
Alguém tem mais alguma Luz?
Marcelloc ??? Pode indicar um caminho ???
Só acontece com o bendito do sintegra SP.
Abs.
WW
-
Alguns sites dão problema mesmo quando acessados via proxy. O melhor e mais rápido a fazer nesse caso e passar esse site por fora do proxy.
-
Oi Marcelloc !
O estranho é que esse site funcionava antes. Também tenho ele funcionando em outros clientes que possuem o PFSense. Também tem a questão que mesmo desabilitando o proxy completamente, deixando a firewall com tudo aberto, ainda assim não está funcionando.
Mais alguma ideia ?
Obrigado !
Abs.
Wellington
-
Proxy Squid
Configurar em Proxy server:Proxy Server>cache Mgnt>do not cache
Inseri esses dominios
caixa.gov.br cmt.caixa.gov.br obsupgdp.caixa.gov.br receita.fazenda.gov.br ecac.receita.fazenda.gov.br dataprev.gov.br previdencia.gov.br serpro.gov.br negociacao.caixa.gov.br cafe.dataprev.gov.br granulito.mte.gov.br portal.mte.gov.br nfse.campinas.sp.gov.br ccd.serpro.gov.br ccd2.serpro.gov.br repositorio.icpbrasil.gov.brEm Proxy server>Acess Control>Whitelist
caixa.gov.br cmt.caixa.gov.br obsupgdp.caixa.gov.br receita.fazenda.gov.br ecac.receita.fazenda.gov.br dataprev.gov.br previdencia.gov.br serpro.gov.br negociacao.caixa.gov.br cafe.dataprev.gov.br granulito.mte.gov.br portal.mte.gov.br nfse.campinas.sp.gov.br ccd.serpro.gov.br ccd2.serpro.gov.br repositorio.icpbrasil.gov.brAgora crie um Aliases
Name: sites_gov (nome do aliases desua preferencia)
Type: Network(s)200.201.173.82/32 161.148.231.100/32 161.148.231.190/32 200.152.32.178/32 200.152.40.50/32 161.148.173.66/32 200.201.166.240/32 200.201.174.207/32 200.201.166.0/24 200.201.174.204/32 200.201.174.0/24 200.152.32.148/32 200.152.33.1/32 177.43.84.9/32 200.198.22.138/32 200.201.173.0/24Crie uma aliases para portas
Name: portas_gov
Tipo: Port(s)8017 2500 2631 3456 5017 5022 80 443Agora em Firewall>Rules
Crie a seguinte regra antes da regra de bloqueio da porta 80 e 433 para liberar as portas para os endereços do sites.
Proto: TCP/UDP
Source: Lan Net
Port: any
Destination: sites_gov
port: portas_gov
