Pacote não oficial E2guardian v5 para software pfsense®

fabricioguzzy

UPDATE 2: ** CRONTAB LDAP Search / RESTART de SERVIÇO

Olá pessoal,
Notei que a crontab, apesar de ter recebido os comandos do e2guardian, não consegue rodar automaticamente, sendo assim, não carrega os usuários novos no(s) grupo(s)
Peguei o mesmo comando e rodei na mão via shell e ele funciona, todavia ele não aplica/restarta os serviço do e2guardian, causando algumas vezes um erro "interessante": Ele acaba por tentar duplicar o serviço do e2guardian (Vê-se uma mensagem de erro nos logs, dizendo que a porta 8080 já está em uso e que não pode subir outra instãncia do e2guardian) - Claro, o serviço está no ar e a porta está uso pelo próprio e2guardian.
Para resolver isso, não basta tentar parar ou restartar o serviço via GUI do pfSense. você precisa matar (kill) o processo que está rodando (veja ps -axu), em seguida reinicia o serviço. Ai ele volta a funcionar já com os grupos atualizados.
Eu criei um novo script e coloquei manualmente na crontab para rodar o comando php que popula os usuários dos grupos com sucesso. Não sei ainda se o problema com o script original é de permissão, ou se por conta de estar rodando embaixo da crontab, não tem o PATH necessário.
Estou tentando....

Abraço,
Fabricio.

marcelocaetano

@tomaswaldow Não chegou nada de atualização para a última versão do e2Guardian. Como fazer a atualização com segurança?

Jean Carlos

@jean-carlos alguem com este mesmo problema, ainda não consegui resolver.

Charles Bruno

@chinaina Boa noite pessoal. Estive recentemente com o mesmo problema em relação ao anydesk. Eu conseguia me conectar de outro host na minha máquina, mas o inverso não tinha exito. Então fiz várias pesquisas e estou compartilhando aqui com todos o que eu fiz, para poder funcionar. Atualmente minha configuração do pfsense é E2Guardian, com proxy transparente e SSL. As regras de Firewall para as portas 443 e 80 estão bloqueadas. Criei uma regra no Aliases de porta para 6568 e 7070, adicionei esse Aliases nas regras do firewall permitindo. Na opção source coloquei como Lan Net, em destino adicionei meu Aliases em portas. Depois fui na opção do E2Guardian em ACLs e adicionei em Exception "*.net.anydesk.com" (sem as aspas). Feito esses procedimentos aqui na minha máquina de teste funcionou normalmente. O proxy está ativado e o anydesk está funcionando normalmente. Consigo acessar outro host externo e o inverso também funciona.

Pessoal se alguém tiver alguma outra forma de efetuar este procedimento seria bom deixar os comentários para que outros possam analisar e estudar cada caso. Se alguém tiver algum comentário por gentileza deixe aqui para podermos aprendermos mais e mais com nossas experiências. Agradeço a todos daqui do fórum que me ajudaram e sempre me ajudam. Espero poder retribuir da mesma forma.

tomaswaldow

@marcelocaetano não chegou porque foi atualizado somente o binário e não o pacote do pfSense, pode atualizar com: pkg install e2guardian

joancefet

Boa tarde, alguém conseguiu fazer o e2guardian funcionar com load balance?

susamlicubuk

@fabricioguzzy said in Pacote não oficial E2guardian v5 para software pfsense:

UPDATE: ** FUNCIONANDO 100%**

Pessoal, depois de bater cabeça aqui, descobri uma comida de bola da minha parte.
Havia um erro de configuração entre o SQUID e o E2Guardian.

• A maioria dos tutoriais pede que você configure o e2guardian na interface LAN/Loopback e o Squid no Loopback apenas.
  Acontece que se os pacotes da LAN, que vão entrar pelo e2guardian, entram pela interface LAN, estes devem sair também pela Interface LAN quando vc configurar a opção de PROXY PARENT, portanto não funciona.
  Há duas formas de se fazer funcionar:
  1- Configure o Proxy PArent para integrar com o SQUID no IP da própria LAN (Aqui o problema é que o SQUID fica visivel para a rede LAN, dando a possibilidade de um usuário com algum conhecimento, fazer by-pass do e2guardian)
  2- Coloque tanto o E2guardian quanto o SQUID apenas na Interface Loopback e crie uma regra de NAT para os pacotes que chegam na Interface LAN do firewall (apenas porta 8080) para a Interface Loopback.
  Há também que se habilitar a opção "ForwardedFor" no E2Guardian, e Desabilitá-la no SQuid (deixe em OFF)

Pronto, problema resolvido.
Vou escrever um tutorial com todos estes detalhes, caso alguém tenha a mesma configuração. (E2Guardian+Squid+SSO NTLM com "Proxy Não Transparente")

Cordialmente,
Fabricio.

The documentation about ntlm settings would be very useful
when you can publish.
thanks.

Leite.leite

Como faço para autenticar o E2guardian de forma que não apareça tela para login e senha?
Tenho um AD com mais de 1000 usuários.

Leite.leite

@digaovaa Existe alguma forma de autenticar p E2guardian de forma que não apareça tela de login e senha no navegador??
Instalei o Userauth e pede integração wmi.
Pode dar uma ajuda neste probleminha?

digaovaa

@leite-leite Infelizmente não coloquei ele em funcionamento dessa forma, porém acredito que para autenticação transparente precise do UserAuth ou do pf2ad (não sei se ainda tem suporte e se funciona na versão mais nova do pfsense). Acredito, então, que não consiga te ajudar muito mais do que dar essas duas dicas. O @marcelloc deve saber te explicar melhor. Abraço e boa sorte

tomaswaldow

@leite-leite só com UserAuth;

tomaswaldow

@leite-leite Userauth gratuito é para 8 usuarios, se comprou licença pede suporte;

EdIlS0N LiMa

bom dia Apos reiniciar não funciona mais internet, so funciona si colocar proxy no navegador.

tomaswaldow

@edils0n-lima crie uma regra na LAN, com destino para o pfSense, portas TCP/8080, TCP/8081

Leite.leite

@digaovaa Pois estou neste dilema. Tenho um ambiente complexo e preciso desta autenticação para definir as regras por grupos.

Leite.leite

@marcelloc Como faço para autenticar o E2guardian de forma transparente sem usar o userauth?

tomaswaldow

@leite-leite voce tem que configurar o squid para fazer essa autenticação para o e2guardian.

JackL

Buenas @leite-leite!

O UserAuth tem um manual de administrador bem vasto (acho que umas 70 páginas) abordando a instalação e configuração de todas as principais features do pacote: https://conexti.com.br/man-userauth

Na página do pacote, também há vídeos mostrando como fazer todas as principais integrações, bem como, vídeo hands-on mostrando como configurar o E2Guardian de forma básica e rápida: https://conexti.com.br/userauth

;-)

Abraços!
Jack

Leite.leite

@tomaswaldow COmo assim???
Estava pensando em usar só o E2guardian

JackL

@leite-leite

Você pode usar só o E2Guardian... sem qualquer problema.

Ele é livre e está empacotado (fora dos repo oficiais do pfSense). Mas com o UserAuth você ganha funcionalidades que por default nele não existem (nem no Squid), tipo: Autenticação transparente de usuários do AD, Integração com CP próprio pra aquelas estações que não fazem parte do AD, SocialLogin (autenticação pelo Facebook ou Google) e várias outras...

Além disso, ele permite criar 'regras de firewall por usuário'. Enfim... é uma ferramenta bem completa!

Abraços!
Jack