• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

Squidguard+ squid problemi pagine https

Scheduled Pinned Locked Moved Italiano
25 Posts 4 Posters 6.9k Views
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • B
    bbassotti
    last edited by Jan 22, 2017, 7:39 PM Jan 22, 2017, 4:12 PM

    @stealkey:

    Salve a tutti.
    Ho un problema sul filtering ssl di squid.
    Ho configurato squid e abilitato il proxy e la modalità ssl filtering .
    Ho installato il certificato sulla macchina client.
    Ho configurato squidguard e settato il content filtering.

    Quando apro una pagina http il sistema funziona correttamente e viene visualizzata la pagina di blocco impostata su squidguard usando external url redirect.
    Quando provo ad aprire una pagina https invece viene viene mostrata la pagina di errore di squid ma con un errore DNS.


    "Mentre si cercava di accedere alla URL https://http/ si è presentato il seguente errore:
              Non è stato possibile risalire all'indirizzo ip corrispondente al nome "http"
    Il server DNS ha risposto:
    Name error: the domain name does not exist.
    Questo significa che il proxy non è riuscito a tradurre il nome host nella URL nel relativo indirizzo. Verificate la correttezza dell'indirizzo e riprovate"
    *

    Ved immagine allegata


    Questo accade anche aprendo la pagina www.google.it o www.google.com

    Se invece provo a disabilitare squidguard , queste pagine vengono aperte in maniera corretta senza riportare l'errore. Mentre le pagine appartenenti alla blacklist di squid vengono bloccate in maniera corretta.

    Qualcuno di voi potrebbe aiutarmi ?
    Grazie

    ciao, puoi implementare il tutto semplicemente non facendo un vero e proprio MITM ma, per dirla alla squid: split & splice. Si tratta di configurare squid in modo che faccia l'intercept del traffico ssl solo per quanto riguarda il nome del sito da bloccare inserendo nelle Custom ACLS (Before auth):

    setup ssl bump acl's

    acl bump_step1 at_step SslBump1
    acl bump_step2 at_step SslBump2
    acl bump_step3 at_step SslBump3

    configure bump

    ssl_bump peek bump_step1 all
    ssl_bump splice all
    ssl_bump peek bump_step2 all
    ssl_bump splice bump_step3 all

    sslproxy_cert_error deny all

    e il gioco è fatto. Il client riceverà il vero certificato e tu potrai usare squidguard per bloccare i siti che desideri.

    ps: con queste linee non occorre installare certificati sui dispositivi.

    1 Reply Last reply Reply Quote 0
    • B
      bbassotti
      last edited by Jan 28, 2017, 4:06 PM

      dopo la mia segnalazione a doktornotor ha deciso di introdurre lo Splice ALL come opzione al pacchetto squid, dunque basta aggiornare all'ultima release per avere la possibilità di abilitare il transparent ssl proxy (limitatamente al controllo del dominio via squidguard, niente a/v e/o content filtering) senza la necessità di dover installare certificati sui client.

      chrome_2017-01-28_17-02-47.png
      chrome_2017-01-28_17-02-47.png_thumb

      1 Reply Last reply Reply Quote 0
      • R
        randrys
        last edited by Jan 31, 2017, 2:04 PM

        Ciao,
        io nonostante l'aggiornamento continuo ad avere problemi nel caricamento delle pagine https://.
        Utilizzo squid + Squidguard con le shalla's blacklist: a volte carica subito, a volte invece va in time out.
        Mettere o togliere le custom ACLs non mi cambia niente. Nella scheda realtime segna continui tag_none 200 400 e 503.
        Non so dove mettere le mani, please help.

        Grazie

        1 Reply Last reply Reply Quote 0
        • B
          bbassotti
          last edited by Feb 2, 2017, 2:06 PM

          @randrys:

          Ciao,
          io nonostante l'aggiornamento continuo ad avere problemi nel caricamento delle pagine https://.
          Utilizzo squid + Squidguard con le shalla's blacklist: a volte carica subito, a volte invece va in time out.
          Mettere o togliere le custom ACLs non mi cambia niente. Nella scheda realtime segna continui tag_none 200 400 e 503.
          Non so dove mettere le mani, please help.

          Grazie

          prova a fare degli screenshot della configurazione e incollarli qui, vediamo se è tutto corretto.

          1 Reply Last reply Reply Quote 0
          • R
            randrys
            last edited by Feb 2, 2017, 2:14 PM

            Ciao
            ecco lo zip: ho messo solo squid. se c'e` bisogno faccio anche squidguard.

            squid.zip

            1 Reply Last reply Reply Quote 0
            • B
              bbassotti
              last edited by Feb 2, 2017, 3:14 PM

              @randrys:

              Ciao
              ecco lo zip: ho messo solo squid. se c'e` bisogno faccio anche squidguard.

              c'è un motivo per cui hai scelto intermediate per SSL Proxy Compatibility mode? se no metti Modern
              poi:

              • seleziona Accept remote server certificate with errors

              • seleziona Sets not after

              • seleziona Sets not before

              sei certo di volte utilizzare l'offline mode? se no togli la spunta.

              1 Reply Last reply Reply Quote 0
              • R
                randrys
                last edited by Feb 2, 2017, 4:00 PM

                Grazie dell'aiuto ma sto ancora avendo problemi.
                La cosa strana e che non sono tutti i siti che ferma: gia questo forum e https e non mi ha mai dato problemi a caricarlo, idem google e suoi servizi collegati. Altri siti come amazon o engadget in particolare non li carica quasi mai. E possibile che ci sia qualcosa in particolare in questi siti che crea problemi?

                Grazie ancora

                1 Reply Last reply Reply Quote 0
                • B
                  bbassotti
                  last edited by Feb 3, 2017, 7:20 AM

                  @randrys:

                  Grazie dell'aiuto ma sto ancora avendo problemi.
                  La cosa strana e che non sono tutti i siti che ferma: gia questo forum e https e non mi ha mai dato problemi a caricarlo, idem google e suoi servizi collegati. Altri siti come amazon o engadget in particolare non li carica quasi mai. E possibile che ci sia qualcosa in particolare in questi siti che crea problemi?

                  Grazie ancora

                  puoi postare i log di squid?

                  1 Reply Last reply Reply Quote 0
                  • R
                    randrys
                    last edited by Feb 3, 2017, 11:22 AM Feb 3, 2017, 8:15 AM

                    @bbassotti:

                    puoi postare i log di squid?

                    Eccoli

                    EDIT: ho notato che da quando ho attivato il proxy, i server ubuntu non riescono ad aggiornare alcuni pacchetti.
                    Ho provato ad importare i *.crt ma non e servito. Questo e l'errore: E: Failed to fetch "…"    gnutls_handshake() failed: An unexpected TLS packet was received.

                    cache.txt
                    access.txt

                    1 Reply Last reply Reply Quote 0
                    • B
                      bbassotti
                      last edited by Feb 3, 2017, 2:57 PM

                      @randrys:

                      @bbassotti:

                      puoi postare i log di squid?

                      Eccoli

                      EDIT: ho notato che da quando ho attivato il proxy, i server ubuntu non riescono ad aggiornare alcuni pacchetti.
                      Ho provato ad importare i *.crt ma non e servito. Questo e l'errore: E: Failed to fetch "…"    gnutls_handshake() failed: An unexpected TLS packet was received.

                      da una macchina linux puoi eseguire il comando:

                      openssl s_client -showcerts -connect api.nixstats.com:443
                      e postare il risultato?

                      1 Reply Last reply Reply Quote 0
                      • R
                        randrys
                        last edited by Feb 3, 2017, 3:03 PM

                        @bbassotti:

                        da una macchina linux puoi eseguire il comando:

                        openssl s_client -showcerts -connect api.nixstats.com:443
                        e postare il risultato?

                        CONNECTED(00000003)
                        140245638424216:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:794:
                        –-
                        no peer certificate available

                        No client certificate CA names sent

                        SSL handshake has read 7 bytes and written 305 bytes

                        New, (NONE), Cipher is (NONE)
                        Secure Renegotiation IS NOT supported
                        Compression: NONE
                        Expansion: NONE
                        No ALPN negotiated
                        SSL-Session:
                            Protocol  : TLSv1.2
                            Cipher    : 0000
                            Session-ID:
                            Session-ID-ctx:
                            Master-Key:
                            Key-Arg  : None
                            PSK identity: None
                            PSK identity hint: None
                            SRP username: None
                            Start Time: 1486134078
                            Timeout  : 300 (sec)
                            Verify return code: 0 (ok)

                        1 Reply Last reply Reply Quote 0
                        • B
                          bbassotti
                          last edited by Feb 3, 2017, 3:21 PM

                          @randrys:

                          @bbassotti:

                          da una macchina linux puoi eseguire il comando:

                          openssl s_client -showcerts -connect api.nixstats.com:443
                          e postare il risultato?

                          CONNECTED(00000003)
                          140245638424216:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:794:
                          –-
                          no peer certificate available

                          No client certificate CA names sent

                          SSL handshake has read 7 bytes and written 305 bytes

                          New, (NONE), Cipher is (NONE)
                          Secure Renegotiation IS NOT supported
                          Compression: NONE
                          Expansion: NONE
                          No ALPN negotiated
                          SSL-Session:
                              Protocol  : TLSv1.2
                              Cipher    : 0000
                              Session-ID:
                              Session-ID-ctx:
                              Master-Key:
                              Key-Arg  : None
                              PSK identity: None
                              PSK identity hint: None
                              SRP username: None
                              Start Time: 1486134078
                              Timeout  : 300 (sec)
                              Verify return code: 0 (ok)

                          La tua configurazione non funziona, tira fuori la conf dal firewall, la trovi in :

                          /usr/local/etc/squid/squid.conf

                          e incollala qui.

                          1 Reply Last reply Reply Quote 0
                          • R
                            randrys
                            last edited by Feb 3, 2017, 3:35 PM

                            Grazie dell'aiuto

                            squid_.txt
                            squidGuard.txt

                            1 Reply Last reply Reply Quote 0
                            • B
                              bbassotti
                              last edited by Feb 3, 2017, 4:00 PM

                              @randrys:

                              Grazie dell'aiuto

                              disattiva l'antivirus (tanto non potresti usarlo con l'https) e riprova l'openssl s_client …. se funziona vedrai tutta la chain dei certificati.

                              1 Reply Last reply Reply Quote 0
                              • R
                                randrys
                                last edited by Feb 3, 2017, 4:07 PM

                                @bbassotti:

                                @randrys:

                                Grazie dell'aiuto

                                disattiva l'antivirus (tanto non potresti usarlo con l'https) e riprova l'openssl s_client …. se funziona vedrai tutta la chain dei certificati.

                                Ancora niente.. Stesso risultato di prima

                                @:~$ openssl s_client -showcerts -connect api.nixstats.com:443 CONNECTED(00000003)
                                140344441861784:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:794:
                                –-
                                no peer certificate available

                                No client certificate CA names sent

                                SSL handshake has read 7 bytes and written 305 bytes

                                New, (NONE), Cipher is (NONE)
                                Secure Renegotiation IS NOT supported
                                Compression: NONE
                                Expansion: NONE
                                No ALPN negotiated
                                SSL-Session:
                                    Protocol  : TLSv1.2
                                    Cipher    : 0000
                                    Session-ID:
                                    Session-ID-ctx:
                                    Master-Key:
                                    Key-Arg  : None
                                    PSK identity: None
                                    PSK identity hint: None
                                    SRP username: None
                                    Start Time: 1486137854
                                    Timeout  : 300 (sec)
                                    Verify return code: 0 (ok)

                                1 Reply Last reply Reply Quote 0
                                • B
                                  bbassotti
                                  last edited by Feb 3, 2017, 4:27 PM

                                  @randrys:

                                  @bbassotti:

                                  @randrys:

                                  Grazie dell'aiuto

                                  disattiva l'antivirus (tanto non potresti usarlo con l'https) e riprova l'openssl s_client …. se funziona vedrai tutta la chain dei certificati.

                                  Ancora niente.. Stesso risultato di prima

                                  @:~$ openssl s_client -showcerts -connect api.nixstats.com:443 CONNECTED(00000003)
                                  140344441861784:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:794:
                                  –-
                                  no peer certificate available

                                  No client certificate CA names sent

                                  SSL handshake has read 7 bytes and written 305 bytes

                                  New, (NONE), Cipher is (NONE)
                                  Secure Renegotiation IS NOT supported
                                  Compression: NONE
                                  Expansion: NONE
                                  No ALPN negotiated
                                  SSL-Session:
                                      Protocol  : TLSv1.2
                                      Cipher    : 0000
                                      Session-ID:
                                      Session-ID-ctx:
                                      Master-Key:
                                      Key-Arg  : None
                                      PSK identity: None
                                      PSK identity hint: None
                                      SRP username: None
                                      Start Time: 1486137854
                                      Timeout  : 300 (sec)
                                      Verify return code: 0 (ok)

                                  prova ad abilitare il flag: sslproxy_flags DONT_VERIFY_PEER (do not verify remote certificate)

                                  1 Reply Last reply Reply Quote 0
                                  • R
                                    randrys
                                    last edited by Feb 3, 2017, 5:06 PM

                                    Adesso amazon lo carica "quasi" a colpo sicuro. Altri siti restano recidivi.
                                    Mentre il comando che mi hai fatto mandare da command line su una macchina ubuntu mi risponde ancora allo stesso modo.

                                    1 Reply Last reply Reply Quote 0
                                    • B
                                      bbassotti
                                      last edited by Feb 4, 2017, 6:58 AM

                                      @randrys:

                                      Adesso amazon lo carica "quasi" a colpo sicuro. Altri siti restano recidivi.
                                      Mentre il comando che mi hai fatto mandare da command line su una macchina ubuntu mi risponde ancora allo stesso modo.

                                      prova a rifare la CA cancellando la vecchia.

                                      1 Reply Last reply Reply Quote 0
                                      • R
                                        randrys
                                        last edited by Feb 6, 2017, 8:37 AM

                                        @bbassotti:

                                        prova a rifare la CA cancellando la vecchia.

                                        Niente di nuovo..
                                        Ho fatto il nuovo CA e caricato sul server ma nessun cambiamento in risposta al comando open_ssl.
                                        Il certificato lo sto facendo su "SystemCertificate / Manager / CAs" e poi "Create an internal Certificate Authority" a 2048b e sha256.
                                        Il certificato sul server lo sto installando con "dpkg-reconfigure ca-certificates".

                                        1 Reply Last reply Reply Quote 0
                                        • B
                                          bbassotti
                                          last edited by Feb 6, 2017, 9:09 AM

                                          @randrys:

                                          @bbassotti:

                                          prova a rifare la CA cancellando la vecchia.

                                          Niente di nuovo..
                                          Ho fatto il nuovo CA e caricato sul server ma nessun cambiamento in risposta al comando open_ssl.
                                          Il certificato lo sto facendo su "SystemCertificate / Manager / CAs" e poi "Create an internal Certificate Authority" a 2048b e sha256.
                                          Il certificato sul server lo sto installando con "dpkg-reconfigure ca-certificates".

                                          non serve installare la ca, mi sfugge qualcosa evidentemente. il fatto che il comando non ritorni nulla implica che la connessione non vada a buon fine e squid a parte potrebbero essere altri problemi. Prova ad eseguire sul firewall il comando:

                                          tcpdump -niNOME_INTEFACCIA_LAN -s0 host IP_DA_CUI_ESEGUI_OPENSSL

                                          poi esegui l'openssl e riporta entrambi gli output.

                                          1 Reply Last reply Reply Quote 0
                                          12 out of 25
                                          • First post
                                            12/25
                                            Last post
                                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.
                                            This community forum collects and processes your personal information.
                                            consent.not_received