Squidguard+ squid problemi pagine https

bbassotti

@randrys:

Ciao,
io nonostante l'aggiornamento continuo ad avere problemi nel caricamento delle pagine https://.
Utilizzo squid + Squidguard con le shalla's blacklist: a volte carica subito, a volte invece va in time out.
Mettere o togliere le custom ACLs non mi cambia niente. Nella scheda realtime segna continui tag_none 200 400 e 503.
Non so dove mettere le mani, please help.

Grazie

prova a fare degli screenshot della configurazione e incollarli qui, vediamo se è tutto corretto.

randrys

Ciao
ecco lo zip: ho messo solo squid. se c'e` bisogno faccio anche squidguard.

squid.zip

bbassotti

@randrys:

Ciao
ecco lo zip: ho messo solo squid. se c'e` bisogno faccio anche squidguard.

c'è un motivo per cui hai scelto intermediate per SSL Proxy Compatibility mode? se no metti Modern
poi:

• seleziona Accept remote server certificate with errors

• seleziona Sets not after

• seleziona Sets not before

sei certo di volte utilizzare l'offline mode? se no togli la spunta.

randrys

Grazie dell'aiuto ma sto ancora avendo problemi.
La cosa strana e che non sono tutti i siti che ferma: gia questo forum e https e non mi ha mai dato problemi a caricarlo, idem google e suoi servizi collegati. Altri siti come amazon o engadget in particolare non li carica quasi mai. E possibile che ci sia qualcosa in particolare in questi siti che crea problemi?

Grazie ancora

bbassotti

@randrys:

Grazie dell'aiuto ma sto ancora avendo problemi.
La cosa strana e che non sono tutti i siti che ferma: gia questo forum e https e non mi ha mai dato problemi a caricarlo, idem google e suoi servizi collegati. Altri siti come amazon o engadget in particolare non li carica quasi mai. E possibile che ci sia qualcosa in particolare in questi siti che crea problemi?

Grazie ancora

puoi postare i log di squid?

randrys

@bbassotti:

puoi postare i log di squid?

Eccoli

EDIT: ho notato che da quando ho attivato il proxy, i server ubuntu non riescono ad aggiornare alcuni pacchetti.
Ho provato ad importare i *.crt ma non e servito. Questo e l'errore: E: Failed to fetch "…"    gnutls_handshake() failed: An unexpected TLS packet was received.

cache.txt
access.txt

bbassotti

@randrys:

@bbassotti:

puoi postare i log di squid?

Eccoli

EDIT: ho notato che da quando ho attivato il proxy, i server ubuntu non riescono ad aggiornare alcuni pacchetti.
Ho provato ad importare i *.crt ma non e servito. Questo e l'errore: E: Failed to fetch "…"    gnutls_handshake() failed: An unexpected TLS packet was received.

da una macchina linux puoi eseguire il comando:

openssl s_client -showcerts -connect api.nixstats.com:443
e postare il risultato?

randrys

@bbassotti:

da una macchina linux puoi eseguire il comando:

openssl s_client -showcerts -connect api.nixstats.com:443
e postare il risultato?

CONNECTED(00000003)
140245638424216:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:794:
–-
no peer certificate available

No client certificate CA names sent

SSL handshake has read 7 bytes and written 305 bytes

New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : 0000
    Session-ID:
    Session-ID-ctx:
    Master-Key:
    Key-Arg  : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1486134078
    Timeout  : 300 (sec)
    Verify return code: 0 (ok)

bbassotti

@randrys:

@bbassotti:

da una macchina linux puoi eseguire il comando:

openssl s_client -showcerts -connect api.nixstats.com:443
e postare il risultato?

CONNECTED(00000003)
140245638424216:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:794:
–-
no peer certificate available

No client certificate CA names sent

SSL handshake has read 7 bytes and written 305 bytes

New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : 0000
    Session-ID:
    Session-ID-ctx:
    Master-Key:
    Key-Arg  : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1486134078
    Timeout  : 300 (sec)
    Verify return code: 0 (ok)

La tua configurazione non funziona, tira fuori la conf dal firewall, la trovi in :

/usr/local/etc/squid/squid.conf

e incollala qui.

randrys

Grazie dell'aiuto

squid_.txt
squidGuard.txt

bbassotti

@randrys:

Grazie dell'aiuto

disattiva l'antivirus (tanto non potresti usarlo con l'https) e riprova l'openssl s_client …. se funziona vedrai tutta la chain dei certificati.

randrys

@bbassotti:

@randrys:

Grazie dell'aiuto

disattiva l'antivirus (tanto non potresti usarlo con l'https) e riprova l'openssl s_client …. se funziona vedrai tutta la chain dei certificati.

Ancora niente.. Stesso risultato di prima

@:~$ openssl s_client -showcerts -connect api.nixstats.com:443 CONNECTED(00000003)
140344441861784:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:794:
–-
no peer certificate available

No client certificate CA names sent

SSL handshake has read 7 bytes and written 305 bytes

New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : 0000
    Session-ID:
    Session-ID-ctx:
    Master-Key:
    Key-Arg  : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1486137854
    Timeout  : 300 (sec)
    Verify return code: 0 (ok)

bbassotti

@randrys:

@bbassotti:

@randrys:

Grazie dell'aiuto

disattiva l'antivirus (tanto non potresti usarlo con l'https) e riprova l'openssl s_client …. se funziona vedrai tutta la chain dei certificati.

Ancora niente.. Stesso risultato di prima

@:~$ openssl s_client -showcerts -connect api.nixstats.com:443 CONNECTED(00000003)
140344441861784:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:794:
–-
no peer certificate available

No client certificate CA names sent

SSL handshake has read 7 bytes and written 305 bytes

New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : 0000
    Session-ID:
    Session-ID-ctx:
    Master-Key:
    Key-Arg  : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1486137854
    Timeout  : 300 (sec)
    Verify return code: 0 (ok)

prova ad abilitare il flag: sslproxy_flags DONT_VERIFY_PEER (do not verify remote certificate)

randrys

Adesso amazon lo carica "quasi" a colpo sicuro. Altri siti restano recidivi.
Mentre il comando che mi hai fatto mandare da command line su una macchina ubuntu mi risponde ancora allo stesso modo.

bbassotti

@randrys:

Adesso amazon lo carica "quasi" a colpo sicuro. Altri siti restano recidivi.
Mentre il comando che mi hai fatto mandare da command line su una macchina ubuntu mi risponde ancora allo stesso modo.

prova a rifare la CA cancellando la vecchia.

randrys

@bbassotti:

prova a rifare la CA cancellando la vecchia.

Niente di nuovo..
Ho fatto il nuovo CA e caricato sul server ma nessun cambiamento in risposta al comando open_ssl.
Il certificato lo sto facendo su "SystemCertificate / Manager / CAs" e poi "Create an internal Certificate Authority" a 2048b e sha256.
Il certificato sul server lo sto installando con "dpkg-reconfigure ca-certificates".

bbassotti

@randrys:

@bbassotti:

prova a rifare la CA cancellando la vecchia.

Niente di nuovo..
Ho fatto il nuovo CA e caricato sul server ma nessun cambiamento in risposta al comando open_ssl.
Il certificato lo sto facendo su "SystemCertificate / Manager / CAs" e poi "Create an internal Certificate Authority" a 2048b e sha256.
Il certificato sul server lo sto installando con "dpkg-reconfigure ca-certificates".

non serve installare la ca, mi sfugge qualcosa evidentemente. il fatto che il comando non ritorni nulla implica che la connessione non vada a buon fine e squid a parte potrebbero essere altri problemi. Prova ad eseguire sul firewall il comando:

tcpdump -niNOME_INTEFACCIA_LAN -s0 host IP_DA_CUI_ESEGUI_OPENSSL

poi esegui l'openssl e riporta entrambi gli output.

randrys

Ecco il dump. Ho messo all'inizio quello del firewall e poi il server.

dump.txt

bbassotti

@randrys:

Ecco il dump. Ho messo all'inizio quello del firewall e poi il server.

è molto anomalo il dump, per esempio questo ping:

10:15:02.904700 IP 192.168.100.243 > 8.8.8.8: ICMP echo request, id 29060, seq 2, length 64
10:15:02.909962 IP 192.168.100.243 > 8.8.8.8: ICMP echo request, id 28940, seq 2, length 64
10:15:02.916299 IP 192.168.100.243 > 8.8.8.8: ICMP echo request, id 19441, seq 2, length 64
10:15:02.942392 IP 8.8.8.8 > 192.168.100.243: ICMP echo reply, id 29060, seq 2, length 64
10:15:02.952082 IP 8.8.8.8 > 192.168.100.243: ICMP echo reply, id 28940, seq 2, length 64
10:15:02.953823 IP 8.8.8.8 > 192.168.100.243: ICMP echo reply, id 19441, seq 2, length 64

ci sono prima tre richieste e poi le tre risposte, normalmente avviene questo:

18:10:50.718928 IP 10.0.0.1 > 8.8.8.8: ICMP echo request, id 8615, seq 1, length 64
18:10:50.751147 IP 8.8.8.8 > 10.0.0.1: ICMP echo reply, id 8615, seq 1, length 64
18:10:51.720471 IP 10.0.0.1 > 8.8.8.8: ICMP echo request, id 8615, seq 2, length 64
18:10:51.752152 IP 8.8.8.8 > 10.0.0.1: ICMP echo reply, id 8615, seq 2, length 64
18:10:52.722482 IP 10.0.0.1 > 8.8.8.8: ICMP echo request, id 8615, seq 3, length 64
18:10:52.754059 IP 8.8.8.8 > 10.0.0.1: ICMP echo reply, id 8615, seq 3, length 64

c'e' qualche configurazione errata.

randrys

Finalmente ho risolto il problema: ho disabilitato "Do not allow IP-Addresses in URL" su Proxy SquidGuard. Adesso tutte le pagine vengono caricate e i server non hanno problemi con gli aggiornamenti.
Ringrazio bbassotti per l'aiuto che mi ha dato.  ;)