Proxy + Certificado - Ajuda
-
Pessoal boa tarde,
Verifiquei diversos tópicos por aqui com um problema parecido ao meu, mas não vi ninguem que resolveu.. Pois bem gostaria de ajuda também.
Versão PFSense: 2.3.4-RELEASE (i386)
Versão Squid: 0.4.36_3
Versão Squidguard: 1.16.2Preciso configurar um proxy na rede, este proxy precisa ser transparente pois não terei acesso à todas as maquinas que estarão na empresa (tem máquinas de clientes) e também aos celulares. Fica inviável eu configurar proxy manualmente em todas as plataformas.
O que eu fiz:
- Realizei todas as configurações necessárias
- Criei um certificado
- Exportei o certificado e instalei no repositorio de certificado principal
- Criei a blacklist
- Marquei a opção para ativar SSL
- Selecionei o certificado criado
- Marquei as alterações no Remote CertCheck e no Certificate Adapt
Mas, mesmo assim, as outras máquinas e até a minha que tem o certificado instalado fica dando erros de Pagina não segura e clicar em avançado para prosseguir
Alguma luz? :-\
Preciso bloquear facebook (sem bloquear outros serviços como Whatsapp, Gmail..), se eu bloquear pelo firewall > rules ele vai de boa mas preciso colocar um range de IP e nesse range vai junto Whatsapp e etc
-
Continei as pesquisas por aqui, verifiquei uma opção onde deve-se ficar:
SSL/MITM Mode = Splice All (Antes eu deixei Splice Whitelist)
Vou permanecer em testar e instalar o Squidguard e aviso assim que tiver maiores novidade…
Uma duvida: Essa opção Splice All é ruim?
-
Com o splice all, não precisa instalar o certificado nas estações, so criar a CA e atribuir na configuração.
O grande porém e que as atualizações recentes dos navegadores não aceitam mais o certificado 'incompleto' gerado pelo squid e por isso o erro ao acessar o site permanece. -
Bom, eu sei de uma solução que vai te atender:
https://forum.pfsense.org/index.php?topic=118346.0
Proxy ATIVO com WPAD, sem precisar configurar nas estações clientes.
Porém, não funciona para dispositivos mobiles. Neste caso, o ideal seria uma outra interface com Captive Portal (somente para a rede wifi).
-
Com o splice all, não precisa instalar o certificado nas estações, so criar a CA e atribuir na configuração.
O grande porém e que as atualizações recentes dos navegadores não aceitam mais o certificado 'incompleto' gerado pelo squid e por isso o erro ao acessar o site permanece.Entendi, aparentemente ele se encontra funcionando e não da erro no navegador (Pessoal aqui usa IE, Chrome, Firefox, Opera). Estão acessando os sites de banco e da prefeitura certinho também.. Seria estranho?
Bom, eu sei de uma solução que vai te atender:
https://forum.pfsense.org/index.php?topic=118346.0
Proxy ATIVO com WPAD, sem precisar configurar nas estações clientes.
Porém, não funciona para dispositivos mobiles. Neste caso, o ideal seria uma outra interface com Captive Portal (somente para a rede wifi).
Eu li o post e me pareceu bem legal, já adianto os parabens pelo post… Porém vou ser sincero, sou novo no PF e precisarei descobrir como colocar uma outra interface (seria uma virtual interface?) e no caso a minha rede de wifi obrigatoriamente precisaria estar em uma outa subnet ou ela pode permanecer no mesmo range que minha LAN? (192.168.0.0 /24)
-
Eu li o post e me pareceu bem legal, já adianto os parabens pelo post… Porém vou ser sincero, sou novo no PF e precisarei descobrir como colocar uma outra interface (seria uma virtual interface?) e no caso a minha rede de wifi obrigatoriamente precisaria estar em uma outa subnet ou ela pode permanecer no mesmo range que minha LAN? (192.168.0.0 /24)
Pode ser uma VLAN sim. O ideal é que esteja separado em outra subnet/vlan.
