Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Squidguard+ squid problemi pagine https

    Scheduled Pinned Locked Moved Italiano
    25 Posts 4 Posters 6.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • R
      randrys
      last edited by

      Grazie dell'aiuto

      squid_.txt
      squidGuard.txt

      1 Reply Last reply Reply Quote 0
      • B
        bbassotti
        last edited by

        @randrys:

        Grazie dell'aiuto

        disattiva l'antivirus (tanto non potresti usarlo con l'https) e riprova l'openssl s_client …. se funziona vedrai tutta la chain dei certificati.

        1 Reply Last reply Reply Quote 0
        • R
          randrys
          last edited by

          @bbassotti:

          @randrys:

          Grazie dell'aiuto

          disattiva l'antivirus (tanto non potresti usarlo con l'https) e riprova l'openssl s_client …. se funziona vedrai tutta la chain dei certificati.

          Ancora niente.. Stesso risultato di prima

          @:~$ openssl s_client -showcerts -connect api.nixstats.com:443 CONNECTED(00000003)
          140344441861784:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:794:
          –-
          no peer certificate available

          No client certificate CA names sent

          SSL handshake has read 7 bytes and written 305 bytes

          New, (NONE), Cipher is (NONE)
          Secure Renegotiation IS NOT supported
          Compression: NONE
          Expansion: NONE
          No ALPN negotiated
          SSL-Session:
              Protocol  : TLSv1.2
              Cipher    : 0000
              Session-ID:
              Session-ID-ctx:
              Master-Key:
              Key-Arg  : None
              PSK identity: None
              PSK identity hint: None
              SRP username: None
              Start Time: 1486137854
              Timeout  : 300 (sec)
              Verify return code: 0 (ok)

          1 Reply Last reply Reply Quote 0
          • B
            bbassotti
            last edited by

            @randrys:

            @bbassotti:

            @randrys:

            Grazie dell'aiuto

            disattiva l'antivirus (tanto non potresti usarlo con l'https) e riprova l'openssl s_client …. se funziona vedrai tutta la chain dei certificati.

            Ancora niente.. Stesso risultato di prima

            @:~$ openssl s_client -showcerts -connect api.nixstats.com:443 CONNECTED(00000003)
            140344441861784:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:794:
            –-
            no peer certificate available

            No client certificate CA names sent

            SSL handshake has read 7 bytes and written 305 bytes

            New, (NONE), Cipher is (NONE)
            Secure Renegotiation IS NOT supported
            Compression: NONE
            Expansion: NONE
            No ALPN negotiated
            SSL-Session:
                Protocol  : TLSv1.2
                Cipher    : 0000
                Session-ID:
                Session-ID-ctx:
                Master-Key:
                Key-Arg  : None
                PSK identity: None
                PSK identity hint: None
                SRP username: None
                Start Time: 1486137854
                Timeout  : 300 (sec)
                Verify return code: 0 (ok)

            prova ad abilitare il flag: sslproxy_flags DONT_VERIFY_PEER (do not verify remote certificate)

            1 Reply Last reply Reply Quote 0
            • R
              randrys
              last edited by

              Adesso amazon lo carica "quasi" a colpo sicuro. Altri siti restano recidivi.
              Mentre il comando che mi hai fatto mandare da command line su una macchina ubuntu mi risponde ancora allo stesso modo.

              1 Reply Last reply Reply Quote 0
              • B
                bbassotti
                last edited by

                @randrys:

                Adesso amazon lo carica "quasi" a colpo sicuro. Altri siti restano recidivi.
                Mentre il comando che mi hai fatto mandare da command line su una macchina ubuntu mi risponde ancora allo stesso modo.

                prova a rifare la CA cancellando la vecchia.

                1 Reply Last reply Reply Quote 0
                • R
                  randrys
                  last edited by

                  @bbassotti:

                  prova a rifare la CA cancellando la vecchia.

                  Niente di nuovo..
                  Ho fatto il nuovo CA e caricato sul server ma nessun cambiamento in risposta al comando open_ssl.
                  Il certificato lo sto facendo su "SystemCertificate / Manager / CAs" e poi "Create an internal Certificate Authority" a 2048b e sha256.
                  Il certificato sul server lo sto installando con "dpkg-reconfigure ca-certificates".

                  1 Reply Last reply Reply Quote 0
                  • B
                    bbassotti
                    last edited by

                    @randrys:

                    @bbassotti:

                    prova a rifare la CA cancellando la vecchia.

                    Niente di nuovo..
                    Ho fatto il nuovo CA e caricato sul server ma nessun cambiamento in risposta al comando open_ssl.
                    Il certificato lo sto facendo su "SystemCertificate / Manager / CAs" e poi "Create an internal Certificate Authority" a 2048b e sha256.
                    Il certificato sul server lo sto installando con "dpkg-reconfigure ca-certificates".

                    non serve installare la ca, mi sfugge qualcosa evidentemente. il fatto che il comando non ritorni nulla implica che la connessione non vada a buon fine e squid a parte potrebbero essere altri problemi. Prova ad eseguire sul firewall il comando:

                    tcpdump -niNOME_INTEFACCIA_LAN -s0 host IP_DA_CUI_ESEGUI_OPENSSL

                    poi esegui l'openssl e riporta entrambi gli output.

                    1 Reply Last reply Reply Quote 0
                    • R
                      randrys
                      last edited by

                      Ecco il dump. Ho messo all'inizio quello del firewall e poi il server.

                      dump.txt

                      1 Reply Last reply Reply Quote 0
                      • B
                        bbassotti
                        last edited by

                        @randrys:

                        Ecco il dump. Ho messo all'inizio quello del firewall e poi il server.

                        è molto anomalo il dump, per esempio questo ping:

                        10:15:02.904700 IP 192.168.100.243 > 8.8.8.8: ICMP echo request, id 29060, seq 2, length 64
                        10:15:02.909962 IP 192.168.100.243 > 8.8.8.8: ICMP echo request, id 28940, seq 2, length 64
                        10:15:02.916299 IP 192.168.100.243 > 8.8.8.8: ICMP echo request, id 19441, seq 2, length 64
                        10:15:02.942392 IP 8.8.8.8 > 192.168.100.243: ICMP echo reply, id 29060, seq 2, length 64
                        10:15:02.952082 IP 8.8.8.8 > 192.168.100.243: ICMP echo reply, id 28940, seq 2, length 64
                        10:15:02.953823 IP 8.8.8.8 > 192.168.100.243: ICMP echo reply, id 19441, seq 2, length 64

                        ci sono prima tre richieste e poi le tre risposte, normalmente avviene questo:

                        18:10:50.718928 IP 10.0.0.1 > 8.8.8.8: ICMP echo request, id 8615, seq 1, length 64
                        18:10:50.751147 IP 8.8.8.8 > 10.0.0.1: ICMP echo reply, id 8615, seq 1, length 64
                        18:10:51.720471 IP 10.0.0.1 > 8.8.8.8: ICMP echo request, id 8615, seq 2, length 64
                        18:10:51.752152 IP 8.8.8.8 > 10.0.0.1: ICMP echo reply, id 8615, seq 2, length 64
                        18:10:52.722482 IP 10.0.0.1 > 8.8.8.8: ICMP echo request, id 8615, seq 3, length 64
                        18:10:52.754059 IP 8.8.8.8 > 10.0.0.1: ICMP echo reply, id 8615, seq 3, length 64

                        c'e' qualche configurazione errata.

                        1 Reply Last reply Reply Quote 0
                        • R
                          randrys
                          last edited by

                          Finalmente ho risolto il problema: ho disabilitato "Do not allow IP-Addresses in URL" su Proxy SquidGuard. Adesso tutte le pagine vengono caricate e i server non hanno problemi con gli aggiornamenti.
                          Ringrazio bbassotti per l'aiuto che mi ha dato.  ;)

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.