PfSense-2.4.4 не открыаются Gmail и Youtube

max5775

Прошерстил всю ветку, либо она как-то называется по-другому, если можно ткните в эту статью.
Также, пока копался, нашел кое-что про pfBlockerNG, поставил, базово настроил.
Перестало открываться облако mail.ru, выдает ошибку сертификата. Никакие исключения и пр. настройки эфекта не дали - отключил. Короче беда какая-то с этими долбанными ошибками сертификатов, бесит уже.

werter

@max5775
По какому слову(-ам) искали?
Сделали то, что я раньше описал?

max5775

transparent, прозрачный
сделал по мануалу, но ничего не поменялось
Сейчас плюнул на все, собираю шлюз на чистой FreeBSD+IPFW и Squid

max5775

и получилось то же самое, я в ступоре, похоже на глюк сквида

max5775

спасибо, попробую
на днях несколько альтернатив смотрел, но про него как то и забыл

max5775

ну прочитал, ничего нового не узнал
все что в инструкции все делал, бестолку

max5775

Настроил.
Все равно такая же фигня
И на NethServer тоже один в один, весь день убил на его настройки и итог тот же

max5775

может есть вариант, как эти сайты пробросить мимо squid?

max5775

@oleg1969 а до этого не работало?

max5775

Мдаа, вот же проблема то.
Я же правильно все указал?

max5775

увы то же самое

max5775

да оно не влияет если включена галочка Allow User in interface

werter

@max5775

Не надо использовать свой сертификат. Он у вас не пф-ом подписан. Генерьте CA прямо в гуи пф.

Зы. Плохо ищите (
https://forum.netgate.com/topic/139956/filter-http-s-with-squidguard-splice-mitm-sni-dns-redirect-nat

max5775

@werter у меня теперь 2 сертификата, первый который был на этапе установки и 2-й который я генерил вручную и ошибка на обоих. Меня другое напрягает, что NethServer туже самую ошибку выдает.
Конечно попробую по мануалу настроить еще раз, но я уже что-то не верю, что взлетит.
Соль в том, что до недавнего времени все работало. Когда начались проблемы, я сначала подумал, что проблема в списках доступа сквида, а в итоге оказалось вот что.
Можете объяснить, почему в IE11, при включенном SSL2.0 гуглосервисы начинают работать? На что это может указывать?

max5775

ну что сказать, гугл как не открывался так и не открывается а в ютуб заходит, но ни одно видео не работает

max5775

Какая то каша вобщем, у меня тоже в логах есть ютуб, и даже как то он работает неуверенно, но у других - вообще нет. Кеш чистили, а хром вообще не работает

max5775

если вручную указываю адрес прокси в браузере, то нормально, попробую настроить WPAD

max5775

Короче беда оказалась в том, что у нас используется нестандартная адресация для подсети, т.е это не 192.168... или 10.10..,а адресация из белого диапазона. Не спрашивайте почему так - это тупость предыдущего админа. Сеть большая и мы все никак не переведем ее в нормальный диапазон, тем более что работа идет dв режиме 24/7. Я собрал тестовый стенд из чисто установленного PfSense и ноутбука, настроил все по -минимуму, подсеть стандартная 192.168.1.0/24 - ошибок гугла с ютубом не было. Но, стоило мне только перевести тестовый стенд на адресацию как в нашей подсети - сразу появилась эта чертова ошибка. Думаю это подстегнет нас поскорее перевести нашу сеть на нормальную адресацию. Спасибо все за советы.

werter

Доброго.

@max5775
Супер )

Только 192.168.{1,0}.0 для новой сети не пользуйте. Пользуйте что-то из 10.x.x.x.

serge80665393987

Вдруг кому поможет такой вариант решения проблемы.
Тоже долго бился с сайтами youtube.com google.com, и даже основной поисковик и сайт yandex.ru не хотел работать. Настроил Squid по скринам из этой ветки плюс в расширенные настройки в блок "Before Auth" внес строки:

acl SquidBypass dstdom_regex -i .*yandex.ru .*google.com .*youtube.com
ssl_bump none SquidBypass

и yandex.ru ожил, остальные нет. Решил проверить доступность сайтов на другом браузере (до этого использовал только ЯндексБраузер, т.к. это основной браузер клиентов, остальные хочу заблочить). Итак, IE без проблем открыл сайты, Opera - аналогично, все открывается, видео проигрывается. Значит pfSense работает как надо, а проблема в Яндексбраузере. Пошел в "Настройки-Безопасность" и в пункте "Защита соединений" отключил пункты "Использовать DNS-сервер для шифрования DNSCrypt" и "Использовать системный резолвер в случае недоступности DNS-сервера с шифрованием DNSCrypt". После этого Яндексбраузер стал все открывать без ошибок, причем потом я удалил вручную внесенные две строки в конфиг кальмара и сайты продолжили работать на разных браузерах. Как-то так.
P.S. pfSense видимо не дружит с хардом WD Blue - через некоторое время появляются ошибки чтения, а потом хард уходит в бутлуп. Сейчас использую хард Toshiba, пока все ок.