Squidguard+ squid problemi pagine https
-
dopo la mia segnalazione a doktornotor ha deciso di introdurre lo Splice ALL come opzione al pacchetto squid, dunque basta aggiornare all'ultima release per avere la possibilità di abilitare il transparent ssl proxy (limitatamente al controllo del dominio via squidguard, niente a/v e/o content filtering) senza la necessità di dover installare certificati sui client.
-
Ciao,
io nonostante l'aggiornamento continuo ad avere problemi nel caricamento delle pagine https://.
Utilizzo squid + Squidguard con le shalla's blacklist: a volte carica subito, a volte invece va in time out.
Mettere o togliere le custom ACLs non mi cambia niente. Nella scheda realtime segna continui tag_none 200 400 e 503.
Non so dove mettere le mani, please help.Grazie
-
Ciao,
io nonostante l'aggiornamento continuo ad avere problemi nel caricamento delle pagine https://.
Utilizzo squid + Squidguard con le shalla's blacklist: a volte carica subito, a volte invece va in time out.
Mettere o togliere le custom ACLs non mi cambia niente. Nella scheda realtime segna continui tag_none 200 400 e 503.
Non so dove mettere le mani, please help.Grazie
prova a fare degli screenshot della configurazione e incollarli qui, vediamo se è tutto corretto.
-
Ciao
ecco lo zip: ho messo solo squid. se c'e` bisogno faccio anche squidguard. -
Ciao
ecco lo zip: ho messo solo squid. se c'e` bisogno faccio anche squidguard.c'è un motivo per cui hai scelto intermediate per SSL Proxy Compatibility mode? se no metti Modern
poi:-
seleziona Accept remote server certificate with errors
-
seleziona Sets not after
-
seleziona Sets not before
sei certo di volte utilizzare l'offline mode? se no togli la spunta.
-
-
Grazie dell'aiuto ma sto ancora avendo problemi.
La cosa strana eche non sono tutti i siti che ferma: gia
questo forum ehttps e non mi ha mai dato problemi a caricarlo, idem google e suoi servizi collegati. Altri siti come amazon o engadget in particolare non li carica quasi mai. E
possibile che ci sia qualcosa in particolare in questi siti che crea problemi?Grazie ancora
-
Grazie dell'aiuto ma sto ancora avendo problemi.
La cosa strana eche non sono tutti i siti che ferma: gia
questo forum ehttps e non mi ha mai dato problemi a caricarlo, idem google e suoi servizi collegati. Altri siti come amazon o engadget in particolare non li carica quasi mai. E
possibile che ci sia qualcosa in particolare in questi siti che crea problemi?Grazie ancora
puoi postare i log di squid?
-
puoi postare i log di squid?
Eccoli
EDIT: ho notato che da quando ho attivato il proxy, i server ubuntu non riescono ad aggiornare alcuni pacchetti.
Ho provato ad importare i *.crt ma non eservito. Questo e
l'errore: E: Failed to fetch "…" gnutls_handshake() failed: An unexpected TLS packet was received. -
puoi postare i log di squid?
Eccoli
EDIT: ho notato che da quando ho attivato il proxy, i server ubuntu non riescono ad aggiornare alcuni pacchetti.
Ho provato ad importare i *.crt ma non eservito. Questo e
l'errore: E: Failed to fetch "…" gnutls_handshake() failed: An unexpected TLS packet was received.da una macchina linux puoi eseguire il comando:
openssl s_client -showcerts -connect api.nixstats.com:443
e postare il risultato? -
da una macchina linux puoi eseguire il comando:
openssl s_client -showcerts -connect api.nixstats.com:443
e postare il risultato?CONNECTED(00000003)
140245638424216:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:794:
–-
no peer certificate availableNo client certificate CA names sent
SSL handshake has read 7 bytes and written 305 bytes
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1486134078
Timeout : 300 (sec)
Verify return code: 0 (ok) -
da una macchina linux puoi eseguire il comando:
openssl s_client -showcerts -connect api.nixstats.com:443
e postare il risultato?CONNECTED(00000003)
140245638424216:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:794:
–-
no peer certificate availableNo client certificate CA names sent
SSL handshake has read 7 bytes and written 305 bytes
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1486134078
Timeout : 300 (sec)
Verify return code: 0 (ok)La tua configurazione non funziona, tira fuori la conf dal firewall, la trovi in :
/usr/local/etc/squid/squid.conf
e incollala qui.
-
Grazie dell'aiuto
-
Grazie dell'aiuto
disattiva l'antivirus (tanto non potresti usarlo con l'https) e riprova l'openssl s_client …. se funziona vedrai tutta la chain dei certificati.
-
Grazie dell'aiuto
disattiva l'antivirus (tanto non potresti usarlo con l'https) e riprova l'openssl s_client …. se funziona vedrai tutta la chain dei certificati.
Ancora niente.. Stesso risultato di prima
@:~$ openssl s_client -showcerts -connect api.nixstats.com:443 CONNECTED(00000003)
140344441861784:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:794:
–-
no peer certificate availableNo client certificate CA names sent
SSL handshake has read 7 bytes and written 305 bytes
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1486137854
Timeout : 300 (sec)
Verify return code: 0 (ok) -
Grazie dell'aiuto
disattiva l'antivirus (tanto non potresti usarlo con l'https) e riprova l'openssl s_client …. se funziona vedrai tutta la chain dei certificati.
Ancora niente.. Stesso risultato di prima
@:~$ openssl s_client -showcerts -connect api.nixstats.com:443 CONNECTED(00000003)
140344441861784:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:794:
–-
no peer certificate availableNo client certificate CA names sent
SSL handshake has read 7 bytes and written 305 bytes
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1486137854
Timeout : 300 (sec)
Verify return code: 0 (ok)prova ad abilitare il flag: sslproxy_flags DONT_VERIFY_PEER (do not verify remote certificate)
-
Adesso amazon lo carica "quasi" a colpo sicuro. Altri siti restano recidivi.
Mentre il comando che mi hai fatto mandare da command line su una macchina ubuntu mi risponde ancora allo stesso modo. -
Adesso amazon lo carica "quasi" a colpo sicuro. Altri siti restano recidivi.
Mentre il comando che mi hai fatto mandare da command line su una macchina ubuntu mi risponde ancora allo stesso modo.prova a rifare la CA cancellando la vecchia.
-
prova a rifare la CA cancellando la vecchia.
Niente di nuovo..
Ho fatto il nuovo CA e caricato sul server ma nessun cambiamento in risposta al comando open_ssl.
Il certificato lo sto facendo su "SystemCertificate / Manager / CAs" e poi "Create an internal Certificate Authority" a 2048b e sha256.
Il certificato sul server lo sto installando con "dpkg-reconfigure ca-certificates". -
prova a rifare la CA cancellando la vecchia.
Niente di nuovo..
Ho fatto il nuovo CA e caricato sul server ma nessun cambiamento in risposta al comando open_ssl.
Il certificato lo sto facendo su "SystemCertificate / Manager / CAs" e poi "Create an internal Certificate Authority" a 2048b e sha256.
Il certificato sul server lo sto installando con "dpkg-reconfigure ca-certificates".non serve installare la ca, mi sfugge qualcosa evidentemente. il fatto che il comando non ritorni nulla implica che la connessione non vada a buon fine e squid a parte potrebbero essere altri problemi. Prova ad eseguire sul firewall il comando:
tcpdump -niNOME_INTEFACCIA_LAN -s0 host IP_DA_CUI_ESEGUI_OPENSSL
poi esegui l'openssl e riporta entrambi gli output.
-
Ecco il dump. Ho messo all'inizio quello del firewall e poi il server.