[Resolvido] erro consulta cnpj receita
-
KFellipe
Com excessão do SQUIDGUARD, o seu cenário é o mesmo que o meu.
Criando o ALIAS e colocando ele no BY PASS, não deu certo? Tente colocar esses endereços em uma ACL personalizada no SQUIDGUARD informando Whitelist. -
Prezados. obrigado pelo retorno.
eu testei com squid e sem squid, e nao deu certo, pra minha surpresa no outro dia voltou a funcionar, mas juro para voces que testei nos dois gateways (pfsense e debian) no pfsense nao carregava e no debian td certo. agora nem mesmo a pagina inicial para informar os dados abre.
coloquei os ips que o ghislenidroid forneceu na whitelist do squid (uso proxy nao transparente) e olha ai o log:Date IP Status Address User Destination
09.03.2017 09:47:49 192.168.1.12 TCP_TUNNEL/200 www.receita.fazenda.gov.br:443 - 161.148.231.100porém nao caregou a pagina
cara, não sei nem por onde começar..
-
Prezados. obrigado pelo retorno.
eu testei com squid e sem squid, e nao deu certo, pra minha surpresa no outro dia voltou a funcionar, mas juro para voces que testei nos dois gateways (pfsense e debian) no pfsense nao carregava e no debian td certo. agora nem mesmo a pagina inicial para informar os dados abre.
coloquei os ips que o ghislenidroid forneceu na whitelist do squid (uso proxy nao transparente) e olha ai o log:Date IP Status Address User Destination
09.03.2017 09:47:49 192.168.1.12 TCP_TUNNEL/200 www.receita.fazenda.gov.br:443 - 161.148.231.100porém nao caregou a pagina
cara, não sei nem por onde começar..
Em tempo, uma correção
Só é necessário o endereço 161.148.231.100, os demais eram do Google ou Kaspersky.Quando ele não está no By Pass For These Destination no meu ambiente carrega a mensagem abaixo;
O seguinte erro foi encontrado ao tentar recuperar a URL: https://161.148.231.100/*
Falha ao estabelecer uma conexão segura com 161.148.231.100
The system returned:
(92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)
Handshake with SSL server failed: [No Error]Este proxy e o host remoto falharam em negociar uma configuração de segurança aceitável entre si para atender sua requisição. É possível que o host remoto não suporte conexões seguras ou que o proxy não está satisfeito com as credenciais de segurança do host.
-
Esta usando proxy transparente para HTTPS?
-
-
Transparente ou não transparente o proxy?
-
eu estou usando proxy nao transparente sem SSL Man In the Middle Filtering, mas tenho a CA criada no pfsense instalada em todas as maquinas, para nao dar aquele erro de segurança no navegador quando acesso o webconfigurator. uma coisa que eu nao fiz, foi testar duas maquinas simultaneamente uma no pfsense e outra no debian, quando o erro voltar a acontecer posto o resultado do teste aqui
-
Boa tarde,
Alguém conseguiu resolver esse problema?
Meu cenário é proxy transparente com SquidGuard e pra mim aparece o seguinte erro ao tentar acessar o link https://www.receita.fazenda.gov.br/pessoajuridica/cnpj/cnpjreva/cnpjreva_solicitacao2.aspNão é possível acessar esse site
A conexão foi redefinida.
Tente:
Verificar a conexão
Verificar o proxy e o firewall
Executar o Diagnóstico de Rede do Windows
ERR_CONNECTION_RESET -
Boa tarde,
Alguém conseguiu resolver esse problema?
Meu cenário é proxy transparente com SquidGuard e pra mim aparece o seguinte erro ao tentar acessar o link https://www.receita.fazenda.gov.br/pessoajuridica/cnpj/cnpjreva/cnpjreva_solicitacao2.aspNão é possível acessar esse site
A conexão foi redefinida.
Tente:
Verificar a conexão
Verificar o proxy e o firewall
Executar o Diagnóstico de Rede do Windows
ERR_CONNECTION_RESETUtiliza interceptação ssl no modo splice all? O que tu já tentou?
-
Boa tarde,
Alguém conseguiu resolver esse problema?
Meu cenário é proxy transparente com SquidGuard e pra mim aparece o seguinte erro ao tentar acessar o link https://www.receita.fazenda.gov.br/pessoajuridica/cnpj/cnpjreva/cnpjreva_solicitacao2.aspNão é possível acessar esse site
A conexão foi redefinida.
Tente:
Verificar a conexão
Verificar o proxy e o firewall
Executar o Diagnóstico de Rede do Windows
ERR_CONNECTION_RESETUtiliza interceptação ssl no modo splice all? O que tu já tentou?
Não uso nenhuma interceptação SSL e acho que já tentei de tudo… rs...
Já criei um ALIAS com os IPs e inseri uma regra LAN no firewall
Já coloquei o ALIAS no ByPass do Squid
Já inclui os IPs na whitelist do SquidGuardNão sei mais o que posso tentar pra liberar essa consulta.
-
Não sei mais o que posso tentar pra liberar essa consulta.
-
tcpdump na console ouvindo o ip da estação
-
tail -f nos logs do squid.
-
um f12 no navegador do cliente (aba rede) para ver todas as Urls que o site solicita
-
-
Não sei mais o que posso tentar pra liberar essa consulta.
-
tcpdump na console ouvindo o ip da estação
-
tail -f nos logs do squid.
-
um f12 no navegador do cliente (aba rede) para ver todas as Urls que o site solicita
Consegui realizar a liberação completa do endereço realizando este processo citado pelo marcelloc, alterando simplesmente o Alias de IPs do site da receita federal que eu utilizava para um Alias com a URL do site retirada da inspeção de elemento (f12), não consegui entender o porque disto, pois o IP da URL é o mesmo que estava no primeiro Alias, porem, deu certo.
 -
-
Caros.
Estou com exatamente o mesmo problema desse tópico. Fazer com que o a conexão passe direto não é problema, mas isso não é uma boa solução para mim. Gostaria de uma solução para fazer a página funcionar, passando pelo squid.
Ainda preciso investigar melhor os pacotes com tcpdump, mas poxa, não faz sentido algum o acesso ficar intermitente quando é feito pelo Squid. Pior ainda sabendo que ocorre apenas com esse site.
-
Caros.
Estou com exatamente o mesmo problema desse tópico. Fazer com que o a conexão passe direto não é problema, mas isso não é uma boa solução para mim. Gostaria de uma solução para fazer a página funcionar, passando pelo squid.
Ainda preciso investigar melhor os pacotes com tcpdump, mas poxa, não faz sentido algum o acesso ficar intermitente quando é feito pelo Squid. Pior ainda sabendo que ocorre apenas com esse site.
Infelizmente alguns sites não funcionam via proxy, uns por limitações da framework utilizada outros por péssimos hábitos ou erros de programação.
-
É bem triste saber disso. Mas será que não dá para contornar isso de alguma maneira? Saberia me citar alguns problemas comuns de programação que podem atrapalhar a vida do Squid, só para clarear um pouco minha mente?
Se eu contornar o squid, o acesso ao site da Receita ocorre muito bem (meu teste prático é abrir umas 20 abas simultaneamente e ver quantas dão timeout). Quando contorno o squid (pelo Outbond NAT), nenhuma aba dá timeout. Mas quando uso o squid, mesmo que faça always_direct, a grande maioria das abas acabam em timeout.
Vi em um site por aí que o site da Receita estaria fazendo uma requisição interna incorreta, para um IP local 10.x.x.x (https://www.vivaolinux.com.br/topico/Squid-Iptables/Site-receita-federal-x-squid). No entanto, não visualizei nenhum acesso estranho no Wireshark. Como o post é antigo, suponho que a Receita já tenha resolvido esse problema.
Amanhã vou investigar melhor esse problema. Não tentei ainda desativar o cache para ver se melhora algo. Meus próximos passos serão:
- Desativar o cache;
- Analisar a diferença dos tcpdump/Wireshark entre acesso via NAT e acesso via Proxy;
- Configurar uma Squid-Box de teste a partir dos fontes (só para saber se é alguma coisa relacionada à versão do Squid no pfSense);
- Fazer simpatia/pacto com o capeta/sei lá…
Mas aceito dicas...
Se nada der certo, minha última saída vai ser alterar o PAC (Proxy Auto Config) para dizer ao browser para acessar os sites terminados em .gov.br diretamente. Mas queria esgotar outras opções antes. ;/
-
É bem triste saber disso. Mas será que não dá para contornar isso de alguma maneira? Saberia me citar alguns problemas comuns de programação que podem atrapalhar a vida do Squid, só para clarear um pouco minha mente?
um dos últimos que vi fou um site que usava a porta 80 com métodos de porta segura, então no logo do squid no lugar de um GET, aparecia um CONNECT
Se nada der certo, minha última saída vai ser alterar o PAC (Proxy Auto Config) para dizer ao browser para acessar os sites terminados em .gov.br diretamente. Mas queria esgotar outras opções antes. ;/
Vou cadastrando um a um destes casos no wpad. Esse é um dos motivos da utilização de script de configuração automática.
-
Não sei se ajuda mas estou fora do pais e ao acessar o link da erro de certificado e estou acessando de um modem comum diretamente.
-
É bem triste saber disso. Mas será que não dá para contornar isso de alguma maneira? Saberia me citar alguns problemas comuns de programação que podem atrapalhar a vida do Squid, só para clarear um pouco minha mente?
Se eu contornar o squid, o acesso ao site da Receita ocorre muito bem (meu teste prático é abrir umas 20 abas simultaneamente e ver quantas dão timeout). Quando contorno o squid (pelo Outbond NAT), nenhuma aba dá timeout. Mas quando uso o squid, mesmo que faça always_direct, a grande maioria das abas acabam em timeout.
Vi em um site por aí que o site da Receita estaria fazendo uma requisição interna incorreta, para um IP local 10.x.x.x (https://www.vivaolinux.com.br/topico/Squid-Iptables/Site-receita-federal-x-squid). No entanto, não visualizei nenhum acesso estranho no Wireshark. Como o post é antigo, suponho que a Receita já tenha resolvido esse problema.
Amanhã vou investigar melhor esse problema. Não tentei ainda desativar o cache para ver se melhora algo. Meus próximos passos serão:
- Desativar o cache;
- Analisar a diferença dos tcpdump/Wireshark entre acesso via NAT e acesso via Proxy;
- Configurar uma Squid-Box de teste a partir dos fontes (só para saber se é alguma coisa relacionada à versão do Squid no pfSense);
- Fazer simpatia/pacto com o capeta/sei lá…
Mas aceito dicas...
Se nada der certo, minha última saída vai ser alterar o PAC (Proxy Auto Config) para dizer ao browser para acessar os sites terminados em .gov.br diretamente. Mas queria esgotar outras opções antes. ;/
Olá Diego, estava com o mesmo problema em outro site e consegui resolver da seguinte maneira. Descubra o IP do site em questão, depois no PfSense vá em Firewall > Alias e adicione o IP do tipo URL(IPs), somente isso já resolveu, tente e veja se te ajuda.
-
Olá Diego, estava com o mesmo problema em outro site e consegui resolver da seguinte maneira. Descubra o IP do site em questão, depois no PfSense vá em Firewall > Alias e adicione o IP do tipo URL(IPs), somente isso já resolveu, tente e veja se te ajuda.
O problema não é resolver. Contornar é relativamente fácil.
A questão é entender porque isso acontece. Eu não quero ter que criar uma exceção para cada site, porque isso é serviço de corno (perdoem o termo). Na pior das hipóteses, eu libero todo o TLD .gov.br. Mas ainda quero esgotar as alternativas antes de fazer isso.
No entanto, não tive tempo para analisar isso nos últimos dias. Desde então, os usuários estão trabalhando sem proxy (liberei o acesso via NAT).
-
Proxy transparente + interceptação SSL + SPLICE ALL + BYPASS DST
também não funciona…
Alguma sugestão?
