Pacote não oficial E2guardian v5 para software pfsense®

gui.ap

Olá montei um ambiente com a ultima versão do pfsense, instalei o squid e o e2guardian v5, instalei o squid porque preciso filtrar por usuário e não IP.

O problema é que o site do google e uol por exemplo apresentam erro.

Seguem os prints da configuração e do erro.

Obs: foi instalado o certificado no browser, tanto que site do submarino que é https abre normalmente.

sevenstones

Boa noite pessoal hoje me deparei com o seguinte erro que não deixa o serviço levantar:

SB warning: Undefined list addheader used at line 32 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list addheader used at line 73 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 85 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localgrey used at line 86 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localbanned used at line 87 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 105 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localbanned used at line 106 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localgrey used at line 120 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localbanned used at line 125 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 130 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list exceptionuseragent used at line 137 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list exceptionuseragent used at line 144 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 163 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list addheader used at line 32 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list addheader used at line 73 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 85 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localgrey used at line 86 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localbanned used at line 87 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 105 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localbanned used at line 106 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localgrey used at line 120 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localbanned used at line 125 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 130 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list exceptionuseragent used at line 137 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list exceptionuseragent used at line 144 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 163 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list addheader used at line 32 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list addheader used at line 73 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 85 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localgrey used at line 86 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localbanned used at line 87 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 105 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localbanned used at line 106 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localgrey used at line 120 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localbanned used at line 125 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 130 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list exceptionuseragent used at line 137 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list exceptionuseragent used at line 144 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 163 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list addheader used at line 32 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list addheader used at line 73 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 85 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localgrey used at line 86 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localbanned used at line 87 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 105 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localbanned used at line 106 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localgrey used at line 120 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localbanned used at line 125 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 130 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list exceptionuseragent used at line 137 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list exceptionuseragent used at line 144 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 163 of /usr/local/etc/e2guardian/common.story
Reporting_level is : 0 file /usr/local/etc/e2guardian/e2guardianf5.conf
SB warning: Undefined list addheader used at line 32 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list addheader used at line 73 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 85 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localgrey used at line 86 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localbanned used at line 87 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 105 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localbanned used at line 106 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localgrey used at line 120 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localbanned used at line 125 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 130 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list exceptionuseragent used at line 137 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list exceptionuseragent used at line 144 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 163 of /usr/local/etc/e2guardian/common.story
master: Error binding server thttps socket: (Address already in use)
Exiting with error

marcelloc

@sevenstones:

Boa noite pessoal hoje me deparei com o seguinte erro que não deixa o serviço levantar:

SB warning: Undefined list addheader used at line 32 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list addheader used at line 73 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 85 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localgrey used at line 86 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localbanned used at line 87 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 105 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localbanned used at line 106 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localgrey used at line 120 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localbanned used at line 125 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 130 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list exceptionuseragent used at line 137 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list exceptionuseragent used at line 144 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 163 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list addheader used at line 32 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list addheader used at line 73 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 85 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localgrey used at line 86 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localbanned used at line 87 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 105 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localbanned used at line 106 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localgrey used at line 120 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localbanned used at line 125 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 130 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list exceptionuseragent used at line 137 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list exceptionuseragent used at line 144 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 163 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list addheader used at line 32 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list addheader used at line 73 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 85 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localgrey used at line 86 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localbanned used at line 87 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 105 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localbanned used at line 106 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localgrey used at line 120 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localbanned used at line 125 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 130 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list exceptionuseragent used at line 137 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list exceptionuseragent used at line 144 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 163 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list addheader used at line 32 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list addheader used at line 73 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 85 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localgrey used at line 86 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localbanned used at line 87 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 105 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localbanned used at line 106 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localgrey used at line 120 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localbanned used at line 125 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 130 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list exceptionuseragent used at line 137 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list exceptionuseragent used at line 144 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 163 of /usr/local/etc/e2guardian/common.story
Reporting_level is : 0 file /usr/local/etc/e2guardian/e2guardianf5.conf
SB warning: Undefined list addheader used at line 32 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list addheader used at line 73 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 85 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localgrey used at line 86 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localbanned used at line 87 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 105 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localbanned used at line 106 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localgrey used at line 120 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localbanned used at line 125 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 130 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list exceptionuseragent used at line 137 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list exceptionuseragent used at line 144 of /usr/local/etc/e2guardian/common.story
SB warning: Undefined list localexception used at line 163 of /usr/local/etc/e2guardian/common.story
master: Error binding server thttps socket: (Address already in use)
Exiting with error

Fora todos esses warnings de listas vazias, o erro diz que já tem um processo ouvindo na porta

master: Error binding server thttps socket: (Address already in use)

marcelloc

@gui.ap:

Olá montei um ambiente com a ultima versão do pfsense, instalei o squid e o e2guardian v5, instalei o squid porque preciso filtrar por usuário e não IP.

O problema é que o site do google e uol por exemplo apresentam erro.

Seguem os prints da configuração e do erro.

Obs: foi instalado o certificado no browser, tanto que site do submarino que é https abre normalmente.

Desativa a interceptação de ssl do squid e deixa o e2guardian na frente.

Na aba daemon do e2g, configure ele no lugar de direct connect para remote proxy, preenchendo ip e porta da lan do squid.
no squid, remova as configurações de parent que colocou .

gui.ap

@marcelloc:

@gui.ap:

Olá montei um ambiente com a ultima versão do pfsense, instalei o squid e o e2guardian v5, instalei o squid porque preciso filtrar por usuário e não IP.

O problema é que o site do google e uol por exemplo apresentam erro.

Seguem os prints da configuração e do erro.

Obs: foi instalado o certificado no browser, tanto que site do submarino que é https abre normalmente.

Desativa a interceptação de ssl do squid e deixa o e2guardian na frente.

Na aba daemon do e2g, configure ele no lugar de direct connect para remote proxy, preenchendo ip e porta da lan do squid.
no squid, remova as configurações de parent que colocou .

Obrigado pelo retorno marcelloc, fiz conforme suas orientações, agora se acesso um site sem ssl da acesso negado, e quando tentar acessar o google por exemplo, demora muito e quando carrega diz que tenho que fazer autenticação, porém eu já fiz no captive portal.

Segume os prints do erro e das configurações após as alterações

marcelloc

O squid ainda está com Proxy transparente habilitado.

Está integrando com o captive? Se tiver, talvez precise alterar alguma coisa nas custom acls do squid porque o ip que vai aparecer no log é o do e2guardian que está na frente.

Procure por custom acls do squid que registram o ip do x_forwarded_for e no e2guardian, habilite o envio da variável x_forwarded_for

gui.ap

@marcelloc:

O squid ainda está com Proxy transparente habilitado.

Está integrando com o captive? Se tiver, talvez precise alterar alguma coisa nas custom acls do squid porque o ip que vai aparecer no log é o do e2guardian que está na frente.

Procure por custom acls do squid que registram o ip do x_forwarded_for e no e2guardian, habilite o envio da variável x_forwarded_for

Primeiro vou tentar fazer funcionar sem autenticar por usuario, com um filtro padrao do e2guardian, depois vejo a parte de integração com o cp.

Eu desabilitei o a opção de proxy transparente do squid, e voltou o do jeito que estava no começo, sites sem ssl abrem normalmente, e alguns sites com ssl apresentam erro, como o google e uol.

marcelloc

Deixa só o e2guardian ativo(lan e loopback + transparente na lan), lembrando de deixar ele no modo direct connect. Salva e aplica.

Monitora pelos logs se o tráfego está indo pra ele mesmo e começa a evoluir a configuração (acls, grupos, etc).

A autenticação por ip é bem eficiente para entender e ajustar os grupos antes de ir para configurações mais complexas.

gui.ap

Fala marcelo, acho que descobri o problema, no inicio  das configs do e2guardian, eu nao tinha criado um certificado, entao usei o do freeradius.

Mas ai depois criei uma ca e coloquei no e2guardian, porém pelo que vi o e2guardian não esta mudando o certificado.

marcelloc

@gui.ap:

Fala marcelo, acho que descobri o problema, no inicio  das configs do e2guardian, eu nao tinha criado um certificado, entao usei o do freeradius.

Mas ai depois criei uma ca e coloquei no e2guardian, porém pelo que vi o e2guardian não esta mudando o certificado.

A interceptação ocorre com a definição da na aba daemon e nas opções do grupo.
Se no grupo não estiver habilitado a interceptação, ele vai filtrar baseado no certificado do site, sem fazer o MITM, semelhante ao spliceall do squid.

gui.ap

Eu sei, já deu certo aqui, instalei o certificado antigo do freeradius. Tem um bug ai, uma vez que vc seleciona um certificado no e2guardian, e depois muda para outro, ele não esta alterando nas configs.

Testa ai pra vc ver, por isso eu estava com erros de certificado.

marcelloc

O Pacote faz cache dos certificados gerados, ele deve estar entregando um certificado já gerado.

Vou colocar na lista de 'coisas a verificar'.

Valeu pelo feedback.

gui.ap

Poderia me informar qual arquivo de configuração vc salva essa informação do certificado para que eu passo mudar manualmente para continuar os testes com o certificado certo?

marcelloc

@gui.ap:

Poderia me informar qual arquivo de configuração vc salva essa informação do certificado para que eu passo mudar manualmente para continuar os testes com o certificado certo?

olhando rapidamente o código, acredito que fica aqui

/usr/local/etc/e2guardian/ssl/generatedcerts

gui.ap

O serviço sobe normalmente, o que acontece, é que no inicio usei um certificado, depois criei outro, e ao mudar o certificado no e2guardian, aparentemente ele não esta mudando nas configs, somente na tela do browser, por isso queria confirmar nas configs.

marcelloc

Ja troquei o certificado algumas vezes. Talvez precise só remover os certificados gerados, parar o serviço, subir novamente ou coisas do tipo.

De qualquer forma vou conferir a rotina quando o certificado é trocado. Talvez forçar a exclusão do cache de certifidos seja a melhor opção.

gui.ap

Apaguei o certificado antigo em Cert Manager, parei o serviço do e2guardian, e iniciei, deu certo, pegou o novo.

gui.ap

Marcelloc agora coloquei o squid na frente e voltou a dar erro de certificado no browser, ai olhando no browser esta com o  certificado do freeradius, porém eu já exclui esse certificado, no squid e no e2guardian estão com o certificado novo.

MRamon

:'( Não sei oque houve estava tudo correndo bem mas meu e2guardian agora esta bloqueando todo o trafego https se eu deixar marcada a opção filter ssl sites forging ssl certficates (off) pra funcionar tenho que deixar isso desmarcado nos grupos o que que faz com que a tela de bloquei desapareça ficando apenas uma tela de erro de carregamento de pagina, fazendo com que o e2guardian funcione como o squidguard no modo splice all, o que sera que houve? :'( :'( :'(

Quando deixo marcado a opção filter ssl sites forging ssl certficates (off) o  trafego https só e liberado nas estações que tem instalado a CA

marcelloc

@MRamon:

Quando deixo marcado a opção filter ssl sites forging ssl certficates (off) o  trafego https só e liberado nas estações que tem instalado a CA

É exatamente assim que tem que funcionar. A página de erro só aparece quando o trafego é de fato interceptado.

Quando o filtro ssl está habilitado mas a interceptação não, o teste é feito no certificado e caso seja negado, o proxy só pode fazer isso recusando a conexão.

Resumindo a configuração:

Em redes wifi, hotspot e etc, onde você não tem o controle das estações, modo verificação de certificado(splice_all) e mensagem de conexão recusada para ssl
Em redes coorporativas onde podemos instalar a CA nas estações, habilitamos a interceptação e temos pagina de bloqueio formatada para sites https bloqueados.