Squid no me deja ingresar a los sitios locales.

Esquirla

Gente a ver si me ayudan a solucionar este problema. Tengo instalado Pfsense con Squid+SquidGuard en forma No transparente. Cuando tengo configurado el navegador con la ip y el puerto del proxy, navego perfectamente pero a los sitios que tengo en la red no puedo ingresar (ver imagen). Ahora cuando saco la configuración del navegador no tengo problemas para ingresar.

Agrego que detras de la interface de LAN tengo montado toda una estructura de SWICH con 5 VLANS de las cuales una esta dedicada para Pfsense. Entre ellas se ven perfectamente, todas navegan por internet pero no logran entrar a los sitios locales.

Eso si, lo que probe fue poner una pc en la misma vlan que la del pfsense y al configurar el navegador con la direccion del proxy, no solo navega sino que puede entrar a los sitios locales que las demas no pueden.

Inkedred_LI.jpg_thumb

gersonofstone

habilita q las redes lan no sean filtradas

Esquirla

Primero gracias por responder, me podrías orientar un poco donde debería realizar esa configuración? gracias.

j.sejo1

Creo que lo que te pasa es lo siguiente:

Tienes a nivel de squidguard todo bloqueado Por lo que no te esta dejando navegar.
Tu pfsense esta por https y squidguard por defecto trabaja por http por tal motivo no se muestra el error. y da timeout el cual es la imagen que adjuntaste.

Te recomiendo, pon tu pfsense por http de forma temporal y trata de navegar primero y nos envias el error que bloqueo que te va a salir.

Saludos.

gersonofstone

@Esquirla:

Primero gracias por responder, me podrías orientar un poco donde debería realizar esa configuración? gracias.

intenta ingresar a la configuracion general de squid

PackageProxy Server: General SettingsGeneral

y habilita

Bypass Proxy for Private Address Destination

j.sejo1

Esto aplica: Bypass Proxy for Private Address Destination

Solo cuando el Proxy es transparente.

De acuerdo a lo que coloca el compañero, es No transparente.

Esquirla

![1.JPG]([img][img]Gracias a todos por responder. Les comento algo para aclarar, el proxy esta como explicito por lo que uso al SQUID por el puerto 3128 y le sumo el SQUIDGUARD para manejar las listas de control por grupos de ip. Solucione momentáneamente el problema haciendo que mi política de grupo distribuya la configuración del proxy en los navegadores exceptuando las ip locales que no me deja acceder (ver foto). Necesito que estoy se habilite desde PFsense porque sino cada tanto tendre que actualizar la politica y es un garron. 
 
 
<img class=) 1.JPG_thumb [/img][/img]" />

kazabe

Hola.

Creo que estas solucionando por donde no es.

Omitir el proxy no es solucion para resolver temas de proxy.

Desactiva squidguard y verifica que la navegacion opera correctamente.

Cuando naveguen bien solo con squid, habilita squidguard y asegurate de tener tu red local en una ACL para excepciones.

Te doy una recomendacion adicional.

Investiga acerca de la configuracion de proxy por medio de proxy.pac y resolveras ese problema de estar actualizando (y todos los demas relacionados con manejar proxy manual).

saludos.

Esquirla

Hola kazabe, gracias por escribir. Te cuento que ya probe deshabilitando el squidguard y esta confirmado que el que me impide abrir los sitios es el squid cuando la dirección es ejemplo: 192.168.1.60:8443, ahora si el sitio esta montado en 192.168.1.60:80 funciona perfecto, asi con cualquier ip de la lan que tenga puertos distintos a 80/443.

Tema del proxy.pac lo estoy viendo pero como manejo GPO no me molesta por ahora.

Un dato, en los logs del squid cuando ingreso a esos sitios en cuestión me dice lo siguiente para un par de sitios como ejemplo.

TAG_NONE/503
TCP_MISS/503

En las reglas del firewall/nat tengo configurado:
Protocol Source Port Destination Port Gateway
IPv4 TCP * * * * *

Porque esta configuración: para que quien se conecte a la red pueda navegar sin tener que configurar su proxy, sobre todo gente con notebook de forma transitoria, vlan sin ningun tipo de restricción, etc.

Agradezco su ayuda.

periko

Que tal, a ver si por aqui el problema?

Youtube Video

Saludos.

Esquirla

Bueno aquí mi solución al problema. Simplemente hice un wpad.dat con un script para hacer un bypass a ciertas direcciones e ip locales que no quiera que pasen por el Proxy (Squid). Luego todo lo que no es salteado, simplemente pasa por el proxy y la navegación termina siendo regulado con SquidGuard a través de sus listas de control y grupos de ip.

function FindProxyForURL(url, host)
{
// variable strings to return
var proxy_yes = "PROXY 192.168.1.1:3128";
var proxy_no = "DIRECT";

if (shExpMatch(url, "localhost")) { return proxy_no; }

if (shExpMatch(url, "cualquiercosa.com:9001")) { return proxy_no; }

if (shExpMatch(url, "ip_publica/vdweb/")) { return proxy_no;}

if (isInNet(host, "192.168.0.0", "255.255.0.0")) { return proxy_no; }

// Proxy anything else
return proxy_yes;
}

Una vez creado el archivo wpad.dat, lo distribuyo por política de grupo en mi dominio. La política de grupo la hice Configuración del usuario\Preferencias\windows\Registro
Cree una clave de registro nueva para que cargue el wpad desde una ubicación de red. Adjunto imagen.
La dirección de la clave de registro debe expresarse así: file://direccionlocal/wpad.dat
ADjunto otra imagen para que vean como queda configurado el proxy en el navegador.

InkedGPO_LI.jpg_thumb

Inkedproxy_LI.jpg_thumb

periko

Felicidades, nada mas tienes que mandarles el script manual?
Saludos.

Esquirla

Gracias, el script lo cargo por politica de grupo, no configuro nada manual, no se si a eso te referis. Saludos

acriollo

Buena solución!