Erro em acessa alguns sites HTTPS

admclayton

Prezados,

Possuo pfsense v2.3.4 como maquina virtual com Squid + Squidguard + integrado com AD com proxy transparente, estava funcionado perfeitamente depois que alguns usuarios começaram relata problemas em acessa alguns site HTTPS, e exibido uma mensagem de erro ao acessa este sites

O seguinte erro foi encontrado ao tentar recuperar a URL: https://www.fedex.com/*

Falha ao estabelecer uma conexão segura com 104.80.1.146

The system returned:

(92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)
Handshake with SSL server failed: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure

Este proxy e o host remoto falharam em negociar uma configuração de segurança aceitável entre si para atender sua requisição. É possível que o host remoto não suporte conexões seguras ou que o proxy não está satisfeito com as credenciais de segurança do host.

Alguém passou por este problema?

tomaswaldow

@admclayton:

Prezados,

Possuo pfsense v2.3.4 como maquina virtual com Squid + Squidguard + integrado com AD com proxy transparente, estava funcionado perfeitamente depois que alguns usuarios começaram relata problemas em acessa alguns site HTTPS, e exibido uma mensagem de erro ao acessa este sites

O seguinte erro foi encontrado ao tentar recuperar a URL: https://www.fedex.com/*

Falha ao estabelecer uma conexão segura com 104.80.1.146

The system returned:

(92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)
Handshake with SSL server failed: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure

Este proxy e o host remoto falharam em negociar uma configuração de segurança aceitável entre si para atender sua requisição. É possível que o host remoto não suporte conexões seguras ou que o proxy não está satisfeito com as credenciais de segurança do host.

Alguém passou por este problema?

O sites que apresentam esse "problema" tera que fazer bypass

admclayton

Para utilizar bypass terem que ativa proxy transparente e eu não estou usado o proxy transparente.

tomaswaldow

@admclayton:

Para utilizar bypass terem que ativa proxy transparente e eu não estou usado o proxy transparente.

No seu post inicial você fala de proxy transparente, por isso que dei a resposta.

@admclayton:

Prezados,

Possuo pfsense v2.3.4 como maquina virtual com Squid + Squidguard + integrado com AD com proxy transparente, estava funcionado perfeitamente depois que alguns usuarios começaram relata problemas em acessa alguns site HTTPS, e exibido uma mensagem de erro ao acessa este sites

O seguinte erro foi encontrado ao tentar recuperar a URL: https://www.fedex.com/*

Falha ao estabelecer uma conexão segura com 104.80.1.146

The system returned:

(92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)
Handshake with SSL server failed: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure

Este proxy e o host remoto falharam em negociar uma configuração de segurança aceitável entre si para atender sua requisição. É possível que o host remoto não suporte conexões seguras ou que o proxy não está satisfeito com as credenciais de segurança do host.

Alguém passou por este problema?

admclayton

Foi mesmo, errei na descrição do post, não utilizo proxy transparente no meu pfsense.
Mas o erro no site persisti, alguem já passou por este problema.
Ja coloquei url e o ip na whitelist não resolveu.

terainfo

@admclayton:

Foi mesmo, errei na descrição do post, não utilizo proxy transparente no meu pfsense.
Mas o erro no site persisti, alguem já passou por este problema.
Ja coloquei url e o ip na whitelist não resolveu.

cara, a quanto tempo você utiliza esse sistema ou ativou o proxy.

vou ser bem sincero, no modo bump é insuportavel utilizar o squid.. eu não sei como as pessoas lançam os tutoriais e não mencionam antes o inferno que você irá passar se implantar..  80% dos sites com ssl não irão funcionar… receita.. etc... tudo pau de handshake, você vai ficar maluco de tanto remendo (bypass).

sugiro que utilize splice_all

dreivi

Eu tentei usar a Interceptação SSL mas desisti, deixou a navegação lenta e me dava muito trabalho, tem alguns sites que não funciona de jeito nenhum ai vc precisa.
No SquidGuard  em Target criar uma categoria por Exemplo: Liberadosgeral colocar todos os sites que dão esse erro e em Common ACL você coloca essa mesma categoria em Whitelist.

No Squid proxy Server ACL em Whitelist coloque os mesmos sites que colocou em Liberados geral (Cuidado com a separação de cada site no Squid pula linha já no Squidguard é espaço).

gcavalcante

@admclayton Tópico antigo mas mesmo assim vou responder. Tive o problema e resolvi colocando em SSL Proxy Compatibility Mode a opção Intermediate. Isso usando squid transparente + SSL certificado.

helviojr

Show! Obrigado.

sergiotrindade_4

Bom dia!

Passei pela mesma experiência, resolveu pra mim também, obrigado!

Só uma dúvida, isso pode impactar na segurança ?