• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

Squidguard+ squid problemi pagine https

Scheduled Pinned Locked Moved Italiano
25 Posts 4 Posters 6.9k Views
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • R
    randrys
    last edited by Feb 3, 2017, 3:35 PM

    Grazie dell'aiuto

    squid_.txt
    squidGuard.txt

    1 Reply Last reply Reply Quote 0
    • B
      bbassotti
      last edited by Feb 3, 2017, 4:00 PM

      @randrys:

      Grazie dell'aiuto

      disattiva l'antivirus (tanto non potresti usarlo con l'https) e riprova l'openssl s_client …. se funziona vedrai tutta la chain dei certificati.

      1 Reply Last reply Reply Quote 0
      • R
        randrys
        last edited by Feb 3, 2017, 4:07 PM

        @bbassotti:

        @randrys:

        Grazie dell'aiuto

        disattiva l'antivirus (tanto non potresti usarlo con l'https) e riprova l'openssl s_client …. se funziona vedrai tutta la chain dei certificati.

        Ancora niente.. Stesso risultato di prima

        @:~$ openssl s_client -showcerts -connect api.nixstats.com:443 CONNECTED(00000003)
        140344441861784:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:794:
        –-
        no peer certificate available

        No client certificate CA names sent

        SSL handshake has read 7 bytes and written 305 bytes

        New, (NONE), Cipher is (NONE)
        Secure Renegotiation IS NOT supported
        Compression: NONE
        Expansion: NONE
        No ALPN negotiated
        SSL-Session:
            Protocol  : TLSv1.2
            Cipher    : 0000
            Session-ID:
            Session-ID-ctx:
            Master-Key:
            Key-Arg  : None
            PSK identity: None
            PSK identity hint: None
            SRP username: None
            Start Time: 1486137854
            Timeout  : 300 (sec)
            Verify return code: 0 (ok)

        1 Reply Last reply Reply Quote 0
        • B
          bbassotti
          last edited by Feb 3, 2017, 4:27 PM

          @randrys:

          @bbassotti:

          @randrys:

          Grazie dell'aiuto

          disattiva l'antivirus (tanto non potresti usarlo con l'https) e riprova l'openssl s_client …. se funziona vedrai tutta la chain dei certificati.

          Ancora niente.. Stesso risultato di prima

          @:~$ openssl s_client -showcerts -connect api.nixstats.com:443 CONNECTED(00000003)
          140344441861784:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:794:
          –-
          no peer certificate available

          No client certificate CA names sent

          SSL handshake has read 7 bytes and written 305 bytes

          New, (NONE), Cipher is (NONE)
          Secure Renegotiation IS NOT supported
          Compression: NONE
          Expansion: NONE
          No ALPN negotiated
          SSL-Session:
              Protocol  : TLSv1.2
              Cipher    : 0000
              Session-ID:
              Session-ID-ctx:
              Master-Key:
              Key-Arg  : None
              PSK identity: None
              PSK identity hint: None
              SRP username: None
              Start Time: 1486137854
              Timeout  : 300 (sec)
              Verify return code: 0 (ok)

          prova ad abilitare il flag: sslproxy_flags DONT_VERIFY_PEER (do not verify remote certificate)

          1 Reply Last reply Reply Quote 0
          • R
            randrys
            last edited by Feb 3, 2017, 5:06 PM

            Adesso amazon lo carica "quasi" a colpo sicuro. Altri siti restano recidivi.
            Mentre il comando che mi hai fatto mandare da command line su una macchina ubuntu mi risponde ancora allo stesso modo.

            1 Reply Last reply Reply Quote 0
            • B
              bbassotti
              last edited by Feb 4, 2017, 6:58 AM

              @randrys:

              Adesso amazon lo carica "quasi" a colpo sicuro. Altri siti restano recidivi.
              Mentre il comando che mi hai fatto mandare da command line su una macchina ubuntu mi risponde ancora allo stesso modo.

              prova a rifare la CA cancellando la vecchia.

              1 Reply Last reply Reply Quote 0
              • R
                randrys
                last edited by Feb 6, 2017, 8:37 AM

                @bbassotti:

                prova a rifare la CA cancellando la vecchia.

                Niente di nuovo..
                Ho fatto il nuovo CA e caricato sul server ma nessun cambiamento in risposta al comando open_ssl.
                Il certificato lo sto facendo su "SystemCertificate / Manager / CAs" e poi "Create an internal Certificate Authority" a 2048b e sha256.
                Il certificato sul server lo sto installando con "dpkg-reconfigure ca-certificates".

                1 Reply Last reply Reply Quote 0
                • B
                  bbassotti
                  last edited by Feb 6, 2017, 9:09 AM

                  @randrys:

                  @bbassotti:

                  prova a rifare la CA cancellando la vecchia.

                  Niente di nuovo..
                  Ho fatto il nuovo CA e caricato sul server ma nessun cambiamento in risposta al comando open_ssl.
                  Il certificato lo sto facendo su "SystemCertificate / Manager / CAs" e poi "Create an internal Certificate Authority" a 2048b e sha256.
                  Il certificato sul server lo sto installando con "dpkg-reconfigure ca-certificates".

                  non serve installare la ca, mi sfugge qualcosa evidentemente. il fatto che il comando non ritorni nulla implica che la connessione non vada a buon fine e squid a parte potrebbero essere altri problemi. Prova ad eseguire sul firewall il comando:

                  tcpdump -niNOME_INTEFACCIA_LAN -s0 host IP_DA_CUI_ESEGUI_OPENSSL

                  poi esegui l'openssl e riporta entrambi gli output.

                  1 Reply Last reply Reply Quote 0
                  • R
                    randrys
                    last edited by Feb 6, 2017, 9:20 AM

                    Ecco il dump. Ho messo all'inizio quello del firewall e poi il server.

                    dump.txt

                    1 Reply Last reply Reply Quote 0
                    • B
                      bbassotti
                      last edited by Feb 6, 2017, 5:12 PM

                      @randrys:

                      Ecco il dump. Ho messo all'inizio quello del firewall e poi il server.

                      è molto anomalo il dump, per esempio questo ping:

                      10:15:02.904700 IP 192.168.100.243 > 8.8.8.8: ICMP echo request, id 29060, seq 2, length 64
                      10:15:02.909962 IP 192.168.100.243 > 8.8.8.8: ICMP echo request, id 28940, seq 2, length 64
                      10:15:02.916299 IP 192.168.100.243 > 8.8.8.8: ICMP echo request, id 19441, seq 2, length 64
                      10:15:02.942392 IP 8.8.8.8 > 192.168.100.243: ICMP echo reply, id 29060, seq 2, length 64
                      10:15:02.952082 IP 8.8.8.8 > 192.168.100.243: ICMP echo reply, id 28940, seq 2, length 64
                      10:15:02.953823 IP 8.8.8.8 > 192.168.100.243: ICMP echo reply, id 19441, seq 2, length 64

                      ci sono prima tre richieste e poi le tre risposte, normalmente avviene questo:

                      18:10:50.718928 IP 10.0.0.1 > 8.8.8.8: ICMP echo request, id 8615, seq 1, length 64
                      18:10:50.751147 IP 8.8.8.8 > 10.0.0.1: ICMP echo reply, id 8615, seq 1, length 64
                      18:10:51.720471 IP 10.0.0.1 > 8.8.8.8: ICMP echo request, id 8615, seq 2, length 64
                      18:10:51.752152 IP 8.8.8.8 > 10.0.0.1: ICMP echo reply, id 8615, seq 2, length 64
                      18:10:52.722482 IP 10.0.0.1 > 8.8.8.8: ICMP echo request, id 8615, seq 3, length 64
                      18:10:52.754059 IP 8.8.8.8 > 10.0.0.1: ICMP echo reply, id 8615, seq 3, length 64

                      c'e' qualche configurazione errata.

                      1 Reply Last reply Reply Quote 0
                      • R
                        randrys
                        last edited by Feb 8, 2017, 8:24 AM

                        Finalmente ho risolto il problema: ho disabilitato "Do not allow IP-Addresses in URL" su Proxy SquidGuard. Adesso tutte le pagine vengono caricate e i server non hanno problemi con gli aggiornamenti.
                        Ringrazio bbassotti per l'aiuto che mi ha dato.  ;)

                        1 Reply Last reply Reply Quote 0
                        24 out of 25
                        • First post
                          24/25
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.
                          This community forum collects and processes your personal information.
                          consent.not_received