[RESOLVIDO]Problemas ao acessar serviços do google com proxy autenticado
-
Bom dia,
tem duas semanas que implementei o pfsense na empresa que trabalho utilizando o squid proxy junto com squidguard com o HTTPS/SSL Interception habilitado, autenticando em um servidor AD e com regras por grupo.
Até ontem estava tudo uma maravilha, mas hoje vários serviços do google não estão funcionando como deveriam e aqui utilizamos Google Apps então isso é um baita problema :(
Ao analisar o realtime do squid percebi que várias requisições para endereços do google estão tendo o erro TAG_NONE/503 e o mais estranho é que no destino está aparecendo um endereçvo IPV6, e dês do dia da implementação eu não tinha visto isso acontecer(em anexo um print).
Os serviços principais como o buscador e email estão acessando normalmente porem o hangouts e drive não entram(em anexo tela de erro).
Já limpei todo o cache tanto do cliente quanto do disco do servidor, e mesmo assim o erro continua.
Nos logs do firewall eu não consigo identificar essa requisição ipv6, então não sei se ele está bloqueando alguma coisa
Alguem já passou por algo parecido?
.png)
.png_thumb)
.png)
.png_thumb) -
Isso é simples de resolver.
Pegue todos os ranger e domínios da Google, cria uma aliases e coloque o nome dessa aliases no Bypass Proxy for These Destination IPs do seu squid. Fazendo isso todos os serviços da Google irá voltar a funcionar. -
mas o bypass não é só para proxy transparente?
-
Você não está utilizando proxy transparente? Então porquê o HTTPS/SSL Interception está habilitado? Está opção é exclusivamente para quem utiliza proxy transparente.
Note: Transparent mode will filter SSL (port 443) if you enable man-in-the-middle options below. In order to proxy both HTTP and HTTPS protocols without intercepting SSL connections, configure WPAD/PAC options on your DNS/DHCP servers. -
Você não está utilizando proxy transparente? Então porquê o HTTPS/SSL Interception está habilitado? Está opção é exclusivamente para quem utiliza proxy transparente.
Note: Transparent mode will filter SSL (port 443) if you enable man-in-the-middle options below. In order to proxy both HTTP and HTTPS protocols without intercepting SSL connections, configure WPAD/PAC options on your DNS/DHCP servers.Exatamente.
-
Mas porque dessa opção ser exclusiva para o uso com proxy transparente?
Sei que para o proxy transparente funcionar com o https obrigatoriamente essa opção tem que estar marcada se não todos https vão passar direto, mas mesmo no autenticado essa opção é válida para poder fazer cache de sites https e também utilizar o safesearch do google ou eu estou enganado a respeito disso?
E sobre o erro achei algumas dicas no fórum gringo sobre o erro poder ser no DNS, estou fazendo os testes agora e caso dê certo eu aviso
-
boa tarde!
Eu uso autenticação local, e não uso HTTPS/SSL Interception por tive muitos problemas achei melhor desativar, mais tenta pegar esse dominio ai do google e colocar no Whitelist pra ver se passa , se usar squidguard cria uma Target categories coloca os domínios liberados e da allow neles, também pode tentar criar aliases com todos os ips e liberar no firewal, mais ainda acho que o problema ai seria essa HTTPS/SSL Interception boa sorte..
-
Obrigado pela ajuda de todos, foram muito importantes para a resolução do problema.
Como eu tinha dito antes o problema estava no meu DNS, eu estava utilizando o DNS resolver e ao reconfigurar o sistema para utilizar o Forwarder o problema foi resolvido.
Ps. o meu HTTPS/SSL Interception está funcionando redondinho com minhas regras do Squid guard, apenas alguns sites de banco que eu tive que colocar na whitelist do squid para fazer funcionar, mas tirando isso tá uma maravilha. Principalmente a questão do safesearch pois no firewall antigo que eu usava tinham alguns usuários que aproveitavam o site do google liberado para pesquisar pornografica e ficar vendo apenas as imagens(já que não conseguiam entrar no site) e era muito complicado de controlar.
Mais uma vês obrigado a todos por terem dedicado um pouco do tempo para me ajudar.
-
Tira um print da sua configuração DNS Forwarder para quando tiver alguém com o mesmo problema, ele já saber o que fazer.
-
Segue anexo as configurações de DNS que eu utilizei.
Eu não sei marcar o tópico como resolvido ;D
-
é só você editar o seu primeiro post.
-
Mais uma vês obrigado pela ajuda de todos
-
Rafael tudo bem?
Cara, até hoje não consegui fazer funcionar direito o proxy ssl transparente..sites aleatorios como google e outros ficam inacessiveis sem nenhuma explicação.. ja mexi em tudo e não consegui resolver.. sempre acabo tendo que voltar pro proxy manual ..
Você tem certeza que esses sites https estão estaveis? ninguem reclama que hora acessa, hora não determinados sites https?
Poderia me mostrar suas configurações de proxy?
abs
-
Rafael tudo bem?
Cara, até hoje não consegui fazer funcionar direito o proxy ssl transparente..sites aleatorios como google e outros ficam inacessiveis sem nenhuma explicação.. ja mexi em tudo e não consegui resolver.. sempre acabo tendo que voltar pro proxy manual ..
Você tem certeza que esses sites https estão estaveis? ninguem reclama que hora acessa, hora não determinados sites https?
Poderia me mostrar suas configurações de proxy?
abs
Com certeza seu problema está em suas configurações ou falta de conhecimento na ferramenta de uso.
-
Rafael tudo bem?
Cara, até hoje não consegui fazer funcionar direito o proxy ssl transparente..sites aleatorios como google e outros ficam inacessiveis sem nenhuma explicação.. ja mexi em tudo e não consegui resolver.. sempre acabo tendo que voltar pro proxy manual ..
Você tem certeza que esses sites https estão estaveis? ninguem reclama que hora acessa, hora não determinados sites https?
Poderia me mostrar suas configurações de proxy?
abs
Com certeza seu problema está em suas configurações ou falta de conhecimento na ferramenta de uso.
Não me diga!! e porque você não tenta contribuir ao invés de achar… óbvio que estudei o que pude nas documentações antes de postar meu comentario
-
Não quero entrar em discórdia aqui amigo. Ainda assim acredito que você esteja fazendo errado sim, seguindo receita de bolo etc. Me dê um acesso que resolvo isso pra você.
-
Não me leva a mau, agradeço sua vontade mas não posso conceder acesso a um servidor em produção para um desconhecido.. se puder ajudar de outra maneira lhe agradeço..
-
Você não está utilizando proxy transparente? Então porquê o HTTPS/SSL Interception está habilitado? Está opção é exclusivamente para quem utiliza proxy transparente.
A interceptação de SSL não é exclusiva do modo transparente. Ela funciona nos dois modos.
-
Não me leva a mau, agradeço sua vontade mas não posso conceder acesso a um servidor em produção para um desconhecido.. se puder ajudar de outra maneira lhe agradeço..
No caso recomendo você rever suas configurações. Dê uma pesquisada aqui no forum, já ajudei bastante gente sobre esse seu problema.
-
@danilosv-03 entrando nesse topico ja que poucos ou ninguém responde uns que ja postei e vi que vc sempre tenta ajudar, me tira uma duvida, trabalho em uma empresa onde uso hoje o endian, mas estou migrando para o pfsense porem estou com um grande problema configurar para acesso por grupo, pois como você deve saber em ambientes corporativos alguns tem que acessar determinados sites que outros não podem, o problema é que eu não quero usar proxy autenticado pois da muito problemas com as ferramentas que hoje utilizamos para reuniões remotas como google meet entre outras, sem contar com as sincronizações com googledrive do pc dropbox , então se eu usar o proxy transparente nesses aplicativos funcionam perfeito, porém para bloqueios por grupo e liberações so terei a opção das acls no squid proxy serve usando black list e colocando os ips que não quero que sejam filtrados pela regra no Unrestricted IPs, vi que vc tem bom conhecimento na ferramenta , então você teria alguma dica para me ajudar , temos um cenario que usamos mais de 300 computadores em rede. com proxy autenticado eu ja conseguir fazer tudo porem como falei as plataformas de reuniões on-line não funcionam bem como tb googledrive dropbox entre outros , msm fazendo todo tipo de liberação que a ferramenta fornece.
