Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Squidguard+ squid problemi pagine https

    Scheduled Pinned Locked Moved Italiano
    25 Posts 4 Posters 6.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • R
      randrys
      last edited by

      Ciao
      ecco lo zip: ho messo solo squid. se c'e` bisogno faccio anche squidguard.

      squid.zip

      1 Reply Last reply Reply Quote 0
      • B
        bbassotti
        last edited by

        @randrys:

        Ciao
        ecco lo zip: ho messo solo squid. se c'e` bisogno faccio anche squidguard.

        c'è un motivo per cui hai scelto intermediate per SSL Proxy Compatibility mode? se no metti Modern
        poi:

        • seleziona Accept remote server certificate with errors

        • seleziona Sets not after

        • seleziona Sets not before

        sei certo di volte utilizzare l'offline mode? se no togli la spunta.

        1 Reply Last reply Reply Quote 0
        • R
          randrys
          last edited by

          Grazie dell'aiuto ma sto ancora avendo problemi.
          La cosa strana e che non sono tutti i siti che ferma: gia questo forum e https e non mi ha mai dato problemi a caricarlo, idem google e suoi servizi collegati. Altri siti come amazon o engadget in particolare non li carica quasi mai. E possibile che ci sia qualcosa in particolare in questi siti che crea problemi?

          Grazie ancora

          1 Reply Last reply Reply Quote 0
          • B
            bbassotti
            last edited by

            @randrys:

            Grazie dell'aiuto ma sto ancora avendo problemi.
            La cosa strana e che non sono tutti i siti che ferma: gia questo forum e https e non mi ha mai dato problemi a caricarlo, idem google e suoi servizi collegati. Altri siti come amazon o engadget in particolare non li carica quasi mai. E possibile che ci sia qualcosa in particolare in questi siti che crea problemi?

            Grazie ancora

            puoi postare i log di squid?

            1 Reply Last reply Reply Quote 0
            • R
              randrys
              last edited by

              @bbassotti:

              puoi postare i log di squid?

              Eccoli

              EDIT: ho notato che da quando ho attivato il proxy, i server ubuntu non riescono ad aggiornare alcuni pacchetti.
              Ho provato ad importare i *.crt ma non e servito. Questo e l'errore: E: Failed to fetch "…"    gnutls_handshake() failed: An unexpected TLS packet was received.

              cache.txt
              access.txt

              1 Reply Last reply Reply Quote 0
              • B
                bbassotti
                last edited by

                @randrys:

                @bbassotti:

                puoi postare i log di squid?

                Eccoli

                EDIT: ho notato che da quando ho attivato il proxy, i server ubuntu non riescono ad aggiornare alcuni pacchetti.
                Ho provato ad importare i *.crt ma non e servito. Questo e l'errore: E: Failed to fetch "…"    gnutls_handshake() failed: An unexpected TLS packet was received.

                da una macchina linux puoi eseguire il comando:

                openssl s_client -showcerts -connect api.nixstats.com:443
                e postare il risultato?

                1 Reply Last reply Reply Quote 0
                • R
                  randrys
                  last edited by

                  @bbassotti:

                  da una macchina linux puoi eseguire il comando:

                  openssl s_client -showcerts -connect api.nixstats.com:443
                  e postare il risultato?

                  CONNECTED(00000003)
                  140245638424216:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:794:
                  –-
                  no peer certificate available

                  No client certificate CA names sent

                  SSL handshake has read 7 bytes and written 305 bytes

                  New, (NONE), Cipher is (NONE)
                  Secure Renegotiation IS NOT supported
                  Compression: NONE
                  Expansion: NONE
                  No ALPN negotiated
                  SSL-Session:
                      Protocol  : TLSv1.2
                      Cipher    : 0000
                      Session-ID:
                      Session-ID-ctx:
                      Master-Key:
                      Key-Arg  : None
                      PSK identity: None
                      PSK identity hint: None
                      SRP username: None
                      Start Time: 1486134078
                      Timeout  : 300 (sec)
                      Verify return code: 0 (ok)

                  1 Reply Last reply Reply Quote 0
                  • B
                    bbassotti
                    last edited by

                    @randrys:

                    @bbassotti:

                    da una macchina linux puoi eseguire il comando:

                    openssl s_client -showcerts -connect api.nixstats.com:443
                    e postare il risultato?

                    CONNECTED(00000003)
                    140245638424216:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:794:
                    –-
                    no peer certificate available

                    No client certificate CA names sent

                    SSL handshake has read 7 bytes and written 305 bytes

                    New, (NONE), Cipher is (NONE)
                    Secure Renegotiation IS NOT supported
                    Compression: NONE
                    Expansion: NONE
                    No ALPN negotiated
                    SSL-Session:
                        Protocol  : TLSv1.2
                        Cipher    : 0000
                        Session-ID:
                        Session-ID-ctx:
                        Master-Key:
                        Key-Arg  : None
                        PSK identity: None
                        PSK identity hint: None
                        SRP username: None
                        Start Time: 1486134078
                        Timeout  : 300 (sec)
                        Verify return code: 0 (ok)

                    La tua configurazione non funziona, tira fuori la conf dal firewall, la trovi in :

                    /usr/local/etc/squid/squid.conf

                    e incollala qui.

                    1 Reply Last reply Reply Quote 0
                    • R
                      randrys
                      last edited by

                      Grazie dell'aiuto

                      squid_.txt
                      squidGuard.txt

                      1 Reply Last reply Reply Quote 0
                      • B
                        bbassotti
                        last edited by

                        @randrys:

                        Grazie dell'aiuto

                        disattiva l'antivirus (tanto non potresti usarlo con l'https) e riprova l'openssl s_client …. se funziona vedrai tutta la chain dei certificati.

                        1 Reply Last reply Reply Quote 0
                        • R
                          randrys
                          last edited by

                          @bbassotti:

                          @randrys:

                          Grazie dell'aiuto

                          disattiva l'antivirus (tanto non potresti usarlo con l'https) e riprova l'openssl s_client …. se funziona vedrai tutta la chain dei certificati.

                          Ancora niente.. Stesso risultato di prima

                          @:~$ openssl s_client -showcerts -connect api.nixstats.com:443 CONNECTED(00000003)
                          140344441861784:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:794:
                          –-
                          no peer certificate available

                          No client certificate CA names sent

                          SSL handshake has read 7 bytes and written 305 bytes

                          New, (NONE), Cipher is (NONE)
                          Secure Renegotiation IS NOT supported
                          Compression: NONE
                          Expansion: NONE
                          No ALPN negotiated
                          SSL-Session:
                              Protocol  : TLSv1.2
                              Cipher    : 0000
                              Session-ID:
                              Session-ID-ctx:
                              Master-Key:
                              Key-Arg  : None
                              PSK identity: None
                              PSK identity hint: None
                              SRP username: None
                              Start Time: 1486137854
                              Timeout  : 300 (sec)
                              Verify return code: 0 (ok)

                          1 Reply Last reply Reply Quote 0
                          • B
                            bbassotti
                            last edited by

                            @randrys:

                            @bbassotti:

                            @randrys:

                            Grazie dell'aiuto

                            disattiva l'antivirus (tanto non potresti usarlo con l'https) e riprova l'openssl s_client …. se funziona vedrai tutta la chain dei certificati.

                            Ancora niente.. Stesso risultato di prima

                            @:~$ openssl s_client -showcerts -connect api.nixstats.com:443 CONNECTED(00000003)
                            140344441861784:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:794:
                            –-
                            no peer certificate available

                            No client certificate CA names sent

                            SSL handshake has read 7 bytes and written 305 bytes

                            New, (NONE), Cipher is (NONE)
                            Secure Renegotiation IS NOT supported
                            Compression: NONE
                            Expansion: NONE
                            No ALPN negotiated
                            SSL-Session:
                                Protocol  : TLSv1.2
                                Cipher    : 0000
                                Session-ID:
                                Session-ID-ctx:
                                Master-Key:
                                Key-Arg  : None
                                PSK identity: None
                                PSK identity hint: None
                                SRP username: None
                                Start Time: 1486137854
                                Timeout  : 300 (sec)
                                Verify return code: 0 (ok)

                            prova ad abilitare il flag: sslproxy_flags DONT_VERIFY_PEER (do not verify remote certificate)

                            1 Reply Last reply Reply Quote 0
                            • R
                              randrys
                              last edited by

                              Adesso amazon lo carica "quasi" a colpo sicuro. Altri siti restano recidivi.
                              Mentre il comando che mi hai fatto mandare da command line su una macchina ubuntu mi risponde ancora allo stesso modo.

                              1 Reply Last reply Reply Quote 0
                              • B
                                bbassotti
                                last edited by

                                @randrys:

                                Adesso amazon lo carica "quasi" a colpo sicuro. Altri siti restano recidivi.
                                Mentre il comando che mi hai fatto mandare da command line su una macchina ubuntu mi risponde ancora allo stesso modo.

                                prova a rifare la CA cancellando la vecchia.

                                1 Reply Last reply Reply Quote 0
                                • R
                                  randrys
                                  last edited by

                                  @bbassotti:

                                  prova a rifare la CA cancellando la vecchia.

                                  Niente di nuovo..
                                  Ho fatto il nuovo CA e caricato sul server ma nessun cambiamento in risposta al comando open_ssl.
                                  Il certificato lo sto facendo su "SystemCertificate / Manager / CAs" e poi "Create an internal Certificate Authority" a 2048b e sha256.
                                  Il certificato sul server lo sto installando con "dpkg-reconfigure ca-certificates".

                                  1 Reply Last reply Reply Quote 0
                                  • B
                                    bbassotti
                                    last edited by

                                    @randrys:

                                    @bbassotti:

                                    prova a rifare la CA cancellando la vecchia.

                                    Niente di nuovo..
                                    Ho fatto il nuovo CA e caricato sul server ma nessun cambiamento in risposta al comando open_ssl.
                                    Il certificato lo sto facendo su "SystemCertificate / Manager / CAs" e poi "Create an internal Certificate Authority" a 2048b e sha256.
                                    Il certificato sul server lo sto installando con "dpkg-reconfigure ca-certificates".

                                    non serve installare la ca, mi sfugge qualcosa evidentemente. il fatto che il comando non ritorni nulla implica che la connessione non vada a buon fine e squid a parte potrebbero essere altri problemi. Prova ad eseguire sul firewall il comando:

                                    tcpdump -niNOME_INTEFACCIA_LAN -s0 host IP_DA_CUI_ESEGUI_OPENSSL

                                    poi esegui l'openssl e riporta entrambi gli output.

                                    1 Reply Last reply Reply Quote 0
                                    • R
                                      randrys
                                      last edited by

                                      Ecco il dump. Ho messo all'inizio quello del firewall e poi il server.

                                      dump.txt

                                      1 Reply Last reply Reply Quote 0
                                      • B
                                        bbassotti
                                        last edited by

                                        @randrys:

                                        Ecco il dump. Ho messo all'inizio quello del firewall e poi il server.

                                        è molto anomalo il dump, per esempio questo ping:

                                        10:15:02.904700 IP 192.168.100.243 > 8.8.8.8: ICMP echo request, id 29060, seq 2, length 64
                                        10:15:02.909962 IP 192.168.100.243 > 8.8.8.8: ICMP echo request, id 28940, seq 2, length 64
                                        10:15:02.916299 IP 192.168.100.243 > 8.8.8.8: ICMP echo request, id 19441, seq 2, length 64
                                        10:15:02.942392 IP 8.8.8.8 > 192.168.100.243: ICMP echo reply, id 29060, seq 2, length 64
                                        10:15:02.952082 IP 8.8.8.8 > 192.168.100.243: ICMP echo reply, id 28940, seq 2, length 64
                                        10:15:02.953823 IP 8.8.8.8 > 192.168.100.243: ICMP echo reply, id 19441, seq 2, length 64

                                        ci sono prima tre richieste e poi le tre risposte, normalmente avviene questo:

                                        18:10:50.718928 IP 10.0.0.1 > 8.8.8.8: ICMP echo request, id 8615, seq 1, length 64
                                        18:10:50.751147 IP 8.8.8.8 > 10.0.0.1: ICMP echo reply, id 8615, seq 1, length 64
                                        18:10:51.720471 IP 10.0.0.1 > 8.8.8.8: ICMP echo request, id 8615, seq 2, length 64
                                        18:10:51.752152 IP 8.8.8.8 > 10.0.0.1: ICMP echo reply, id 8615, seq 2, length 64
                                        18:10:52.722482 IP 10.0.0.1 > 8.8.8.8: ICMP echo request, id 8615, seq 3, length 64
                                        18:10:52.754059 IP 8.8.8.8 > 10.0.0.1: ICMP echo reply, id 8615, seq 3, length 64

                                        c'e' qualche configurazione errata.

                                        1 Reply Last reply Reply Quote 0
                                        • R
                                          randrys
                                          last edited by

                                          Finalmente ho risolto il problema: ho disabilitato "Do not allow IP-Addresses in URL" su Proxy SquidGuard. Adesso tutte le pagine vengono caricate e i server non hanno problemi con gli aggiornamenti.
                                          Ringrazio bbassotti per l'aiuto che mi ha dato.  ;)

                                          1 Reply Last reply Reply Quote 0
                                          • First post
                                            Last post
                                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.