Pacote não oficial E2guardian v5 para software pfsense®
-
@leite-leite Veja na pagina do pacote no guthub, la informa o que precisa ser feito:
https://github.com/marcelloc/Unofficial-pfSense-packages
UPDATE: Since 2.4.4, only official packages are listed under package manager by default. To install unofficial/extra packages on pfSense 2.4.4 or higher, you need to apply via system patches the file 244_unofficial_packages_list.patch
-
@tomaswaldow eu estou usando a interceptação ssl, mas não ta abilitado o MITM. to trabalhando desta forma.
-
Lá na guia Daemon, eu deixo marcado no Enable SSL support.
E no exemplo da imagem acima, eu deixo desmarcado esta opção Filter ssl sites forging SSL Certificates (off) fica só a primeira e a segunda selecionada.
Minha memória nunca passou dos 16% de 8Gb de ram
-
@digaovaa said in Pacote não oficial E2guardian v5 para software pfsense:
Olá @marcelloc tudo bem? Cara, primeiramente, parabéns pelo seu trabalho, simplesmente fantástico.
"Segundamente" ehehe: configurei Stunnel pra uma base LDAP do google, captive portal autenticando certinho, Squid configurado para autenticar no CP, até aí ok, nos logs do squid aparece usuário autenticado.Informei as opçoes abaixo no squid (Before Auth) e os logs aparecem no realtime do e2guardian, bloqueia e tudo mais, porém não lista usuário.
cache_peer 127.0.0.1 parent 8080 0 login=*:password
always_direct deny all
never_direct allow allVersão do pfsense: 2.4.4.1
e2guardian 5Desde já obrigado
Consegui fazer funcionar. Meu cenário:
Estou configurando o pfSense para uma escola. Nessa escola, possui 2 SSID com 8 Unifi AP (ALUNOS e PROFESSORES). Configurei no AD o NPS e para cada SSID valida usuários de cada grupo, não permitindo alunos conectarem na rede professores e vice-versa. Tenho, então, captive portal autenticando no AD e o squid, por sua vez, autenticando no CP. Para controle de navegação por grupos, instalei o e2guardian5 (com autenticacao basic e ntlm marcadas) e o mesmo está buscando usuários no AD e colocando nos grupos automaticamente. Consigo bloquear HTTPS sem precisar instalar o certificado (Splice ALL no squid). Única dúvida que tenho:É normal o e2guardian mostrar o ip 127.0.0.1 invés do IP do dispositivo do usuário?
Obs: Estou com a versão 2.4.4_p2 do pfsense.
-
Como faço para inserir este arquivo no pf sense https://github.com/marcelloc/Unofficial-pfSense-packages/blob/master/244_unofficial_packages_list.patch
-
@leite-leite said in Pacote não oficial E2guardian v5 para software pfsense:
Como faço para inserir este arquivo no pf sense https://github.com/marcelloc/Unofficial-pfSense-packages/blob/master/244_unofficial_packages_list.patch
Acesse o link abaixo, está bem explicadinho:
https://www.conexti.com.br/fw/docs/patches/man_patch_add_repo_pf244.pdf -
@digaovaa Valeu, vou olhar!
-
@leite-leite said in Pacote não oficial E2guardian v5 para software pfsense:
@digaovaa Valeu, vou olhar!
se não conseguir com a URL que está lá, tente com esta abaixo:
https://raw.githubusercontent.com/marcelloc/Unofficial-pfSense-packages/master/244_unofficial_packages_list.patch
-
@digaovaa eu coloco este script e não funciona:
--- /etc/inc/pkg-utils.orig 2018-09-24 17: 51: 32.458825000 -0300
+++ /etc/inc/pkg-utils.inc 2018-09-24 17: 51: 54.387033000 -0300
@@ -388,7 +388,7 @@
if ($ base_packages) {
$ repo_param = "";
} outro {-
$ repo_param = "-r {$ g ['nome_do_produto']}";
-
$ repo_param = "";
}
/ *
@@ -485,7 +485,7 @@
$ err);
if (! $ base_packages &&
rtrim ($ out)! = $ g ['product_name']) {
-
continuar;
-
// continuar; } $ pkg_info ['instalado'] = verdadeiro;
Aparece este detalhe quando irei testar
/usr/bin/patch --directory=/ -t -p1 -i /var/patches/5c349f10573cd.patch --check --forward --ignore-whitespace
Hmm... Looks like a unified diff to me...
The text leading up to this was:-- /etc/inc/pkg-utils.orig 2018-09-24 17: 51: 32.458825000 -0300
+++ /etc/inc/pkg-utils.inc 2018-09-24 17: 51: 54.387033000 -0300 Patching file etc/inc/pkg-utils.inc using Plan A... Hunk #1 failed at 388. Hunk #2 failed at 485. 2 out of 2 hunks failed while patching etc/inc/pkg-utils.inc done -
-
@leite-leite
Exclui o Patch e cria outro fazendo assim:
informe na url apenas esse link:
https://raw.githubusercontent.com/marcelloc/Unofficial-pfSense-packages/master/244_unofficial_packages_list.patch e não informe nada no Patc Contents -
@digaovaa Funcionou direitinho consegui aplicar mas, quando vou no prompt de comando para inserir este ink fetch -q -o /usr/local/etc/pkg/repos/Unofficial.conf https://raw.githubusercontent.com/marceloc/Unofficial-pfSense-packages/master/Unofficial.conf exiber que a url não foi encontrada
-
@leite-leite Faltou um L no marcelloc. Segue url correta
https://raw.githubusercontent.com/marcelloc/Unofficial-pfSense-packages/master/Unofficial.conf -
-
@leite-leite Que bom.. eu fiquei brincando com o e2guardian desde o natal kkkk ontem a noite consegui fazer o que queria hehehe. Vou deixar em testes até final do mês e aí coloco em produção
-
@digaovaa Tenho um ambiente com mias de 1000 máquinas e uso o Squid + SquidGuard que anda dando uma dor de cabeça.
Espero que o E2Guardian resolva meu problema -
Realmente acho que vai resolver. Agora que consegui configurar como eu precisava, percebi que é muito fácil a configuração/integração entre as duas ferramentas. Se tiver alguma dúvida e eu puder auxiliar.. estou a disposição. abraços
-
@digaovaa Tranquilo, vlw pela força
-
Ola Marcelo, executei o repositorio , felizmente veio execução bem sucedida, meu espanto é que o pacote não aparece alguma dica!
-
@blutsa10 said in Pacote não oficial E2guardian v5 para software pfsense:
Ola Marcelo, executei o repositorio , felizmente veio execução bem sucedida, meu espanto é que o pacote não aparece alguma dica!
Você aplicou o patch conforme consta acima?
https://forum.netgate.com/topic/128007/pacote-n%C3%A3o-oficial-e2guardian-v5-para-software-pfsense/555 -
Funcionou, meus parabens!!!!
-
Olá Pessoal,
Instalei o e2guardian + Squid (uso integração com AD por NTLM e Kerberos) sem problemas.
Venho testando durante toda a semana e pude perceber alguns detalhes (Feedback) os quais descrevo abaixo:- O e2guardian sozinho funciona "perfeitamente" - NOTA 10 - Só não dá pra fazer autenticação NTLM/Kerberos apenas com ele stand-alone.
- Usei uma blacklist proprietária (mas que segue o padrão da shalla) - Funcionou perfeitamente. Minha BL é bem maior que a Shalla e não tive problema algum de performance. Tudo OK.
- A integração SQUID //E2guardian é bem "difícil" - Tentei diversas configurações diferentes, mas nenhuma funcionou a contento. Tentei Squid na frente, E2Guardian na frente e nada.
Com o Squid na frente (por que preciso da autenticação), o E2guardian não filtra HTTPS - Talvez pq o squid não esteja "redirecionando" o tráfego HTTPS para o e2guardian?! Os Sites HTTP são bloqueados (às vezes) - parece não estar estável por alguma razão que ainda não descobri.
Com o e2guardian na frente, a Autenticação não funciona (creio ser obvio) - Faltou um tutorial de configuração para o modelo SQUID+E2Guardian+ Autenticação.
- Procurei documentação na Internet e não pude encontrar quase nada. Mesmo a documentação do antigo DansGuardian é bastante limitada.
Eu estou tomando nota de todos os detalhes de configuração deste modelo SQUID+e2guardian+Autenticação NTLM para postar no futuro e ajudar aos que usam (ou pretendem usar) este mesmo modelo.
Caso alguém tenha conhecimento das configurações neste modelo, peço que compartilhe algumas ideias.
Cordialmente,
Fabricio. -
UPDATE: ** FUNCIONANDO 100%**
Pessoal, depois de bater cabeça aqui, descobri uma comida de bola da minha parte.
Havia um erro de configuração entre o SQUID e o E2Guardian.- A maioria dos tutoriais pede que você configure o e2guardian na interface LAN/Loopback e o Squid no Loopback apenas.
Acontece que se os pacotes da LAN, que vão entrar pelo e2guardian, entram pela interface LAN, estes devem sair também pela Interface LAN quando vc configurar a opção de PROXY PARENT, portanto não funciona.
Há duas formas de se fazer funcionar:
1- Configure o Proxy PArent para integrar com o SQUID no IP da própria LAN (Aqui o problema é que o SQUID fica visivel para a rede LAN, dando a possibilidade de um usuário com algum conhecimento, fazer by-pass do e2guardian)
2- Coloque tanto o E2guardian quanto o SQUID apenas na Interface Loopback e crie uma regra de NAT para os pacotes que chegam na Interface LAN do firewall (apenas porta 8080) para a Interface Loopback.
Há também que se habilitar a opção "ForwardedFor" no E2Guardian, e Desabilitá-la no SQuid (deixe em OFF)
Pronto, problema resolvido.
Vou escrever um tutorial com todos estes detalhes, caso alguém tenha a mesma configuração. (E2Guardian+Squid+SSO NTLM com "Proxy Não Transparente")Cordialmente,
Fabricio. - A maioria dos tutoriais pede que você configure o e2guardian na interface LAN/Loopback e o Squid no Loopback apenas.
-
UPDATE 2: ** CRONTAB LDAP Search / RESTART de SERVIÇO
Olá pessoal,
Notei que a crontab, apesar de ter recebido os comandos do e2guardian, não consegue rodar automaticamente, sendo assim, não carrega os usuários novos no(s) grupo(s)
Peguei o mesmo comando e rodei na mão via shell e ele funciona, todavia ele não aplica/restarta os serviço do e2guardian, causando algumas vezes um erro "interessante": Ele acaba por tentar duplicar o serviço do e2guardian (Vê-se uma mensagem de erro nos logs, dizendo que a porta 8080 já está em uso e que não pode subir outra instãncia do e2guardian) - Claro, o serviço está no ar e a porta está uso pelo próprio e2guardian.
Para resolver isso, não basta tentar parar ou restartar o serviço via GUI do pfSense. você precisa matar (kill) o processo que está rodando (veja ps -axu), em seguida reinicia o serviço. Ai ele volta a funcionar já com os grupos atualizados.
Eu criei um novo script e coloquei manualmente na crontab para rodar o comando php que popula os usuários dos grupos com sucesso. Não sei ainda se o problema com o script original é de permissão, ou se por conta de estar rodando embaixo da crontab, não tem o PATH necessário.
Estou tentando....Abraço,
Fabricio. -
@tomaswaldow Não chegou nada de atualização para a última versão do e2Guardian. Como fazer a atualização com segurança?
-
@jean-carlos alguem com este mesmo problema, ainda não consegui resolver.
-
@chinaina Boa noite pessoal. Estive recentemente com o mesmo problema em relação ao anydesk. Eu conseguia me conectar de outro host na minha máquina, mas o inverso não tinha exito. Então fiz várias pesquisas e estou compartilhando aqui com todos o que eu fiz, para poder funcionar. Atualmente minha configuração do pfsense é E2Guardian, com proxy transparente e SSL. As regras de Firewall para as portas 443 e 80 estão bloqueadas. Criei uma regra no Aliases de porta para 6568 e 7070, adicionei esse Aliases nas regras do firewall permitindo. Na opção source coloquei como Lan Net, em destino adicionei meu Aliases em portas. Depois fui na opção do E2Guardian em ACLs e adicionei em Exception "*.net.anydesk.com" (sem as aspas). Feito esses procedimentos aqui na minha máquina de teste funcionou normalmente. O proxy está ativado e o anydesk está funcionando normalmente. Consigo acessar outro host externo e o inverso também funciona.
Pessoal se alguém tiver alguma outra forma de efetuar este procedimento seria bom deixar os comentários para que outros possam analisar e estudar cada caso. Se alguém tiver algum comentário por gentileza deixe aqui para podermos aprendermos mais e mais com nossas experiências. Agradeço a todos daqui do fórum que me ajudaram e sempre me ajudam. Espero poder retribuir da mesma forma.
-
@marcelocaetano não chegou porque foi atualizado somente o binário e não o pacote do pfSense, pode atualizar com: pkg install e2guardian
-
Boa tarde, alguém conseguiu fazer o e2guardian funcionar com load balance?
-
@fabricioguzzy said in Pacote não oficial E2guardian v5 para software pfsense:
UPDATE: ** FUNCIONANDO 100%**
Pessoal, depois de bater cabeça aqui, descobri uma comida de bola da minha parte.
Havia um erro de configuração entre o SQUID e o E2Guardian.- A maioria dos tutoriais pede que você configure o e2guardian na interface LAN/Loopback e o Squid no Loopback apenas.
Acontece que se os pacotes da LAN, que vão entrar pelo e2guardian, entram pela interface LAN, estes devem sair também pela Interface LAN quando vc configurar a opção de PROXY PARENT, portanto não funciona.
Há duas formas de se fazer funcionar:
1- Configure o Proxy PArent para integrar com o SQUID no IP da própria LAN (Aqui o problema é que o SQUID fica visivel para a rede LAN, dando a possibilidade de um usuário com algum conhecimento, fazer by-pass do e2guardian)
2- Coloque tanto o E2guardian quanto o SQUID apenas na Interface Loopback e crie uma regra de NAT para os pacotes que chegam na Interface LAN do firewall (apenas porta 8080) para a Interface Loopback.
Há também que se habilitar a opção "ForwardedFor" no E2Guardian, e Desabilitá-la no SQuid (deixe em OFF)
Pronto, problema resolvido.
Vou escrever um tutorial com todos estes detalhes, caso alguém tenha a mesma configuração. (E2Guardian+Squid+SSO NTLM com "Proxy Não Transparente")Cordialmente,
Fabricio.The documentation about ntlm settings would be very useful
when you can publish.
thanks. - A maioria dos tutoriais pede que você configure o e2guardian na interface LAN/Loopback e o Squid no Loopback apenas.
-
Como faço para autenticar o E2guardian de forma que não apareça tela para login e senha?
Tenho um AD com mais de 1000 usuários. -
@digaovaa Existe alguma forma de autenticar p E2guardian de forma que não apareça tela de login e senha no navegador??
Instalei o Userauth e pede integração wmi.
Pode dar uma ajuda neste probleminha? -
@leite-leite Infelizmente não coloquei ele em funcionamento dessa forma, porém acredito que para autenticação transparente precise do UserAuth ou do pf2ad (não sei se ainda tem suporte e se funciona na versão mais nova do pfsense). Acredito, então, que não consiga te ajudar muito mais do que dar essas duas dicas. O @marcelloc deve saber te explicar melhor. Abraço e boa sorte
-
@leite-leite só com UserAuth;
-
@leite-leite Userauth gratuito é para 8 usuarios, se comprou licença pede suporte;
-
bom dia Apos reiniciar não funciona mais internet, so funciona si colocar proxy no navegador.
-
@edils0n-lima crie uma regra na LAN, com destino para o pfSense, portas TCP/8080, TCP/8081
-
@digaovaa Pois estou neste dilema. Tenho um ambiente complexo e preciso desta autenticação para definir as regras por grupos.
-
@marcelloc Como faço para autenticar o E2guardian de forma transparente sem usar o userauth?
-
@leite-leite voce tem que configurar o squid para fazer essa autenticação para o e2guardian.
-
Buenas @leite-leite!
O UserAuth tem um manual de administrador bem vasto (acho que umas 70 páginas) abordando a instalação e configuração de todas as principais features do pacote: https://conexti.com.br/man-userauth
Na página do pacote, também há vídeos mostrando como fazer todas as principais integrações, bem como, vídeo hands-on mostrando como configurar o E2Guardian de forma básica e rápida: https://conexti.com.br/userauth
;-)
Abraços!
Jack