PfSense-2.4.4 не открыаются Gmail и Youtube

max5775

ну что сказать, гугл как не открывался так и не открывается а в ютуб заходит, но ни одно видео не работает

max5775

Какая то каша вобщем, у меня тоже в логах есть ютуб, и даже как то он работает неуверенно, но у других - вообще нет. Кеш чистили, а хром вообще не работает

max5775

если вручную указываю адрес прокси в браузере, то нормально, попробую настроить WPAD

max5775

Короче беда оказалась в том, что у нас используется нестандартная адресация для подсети, т.е это не 192.168... или 10.10..,а адресация из белого диапазона. Не спрашивайте почему так - это тупость предыдущего админа. Сеть большая и мы все никак не переведем ее в нормальный диапазон, тем более что работа идет dв режиме 24/7. Я собрал тестовый стенд из чисто установленного PfSense и ноутбука, настроил все по -минимуму, подсеть стандартная 192.168.1.0/24 - ошибок гугла с ютубом не было. Но, стоило мне только перевести тестовый стенд на адресацию как в нашей подсети - сразу появилась эта чертова ошибка. Думаю это подстегнет нас поскорее перевести нашу сеть на нормальную адресацию. Спасибо все за советы.

werter

Доброго.

@max5775
Супер )

Только 192.168.{1,0}.0 для новой сети не пользуйте. Пользуйте что-то из 10.x.x.x.

serge80665393987

Вдруг кому поможет такой вариант решения проблемы.
Тоже долго бился с сайтами youtube.com google.com, и даже основной поисковик и сайт yandex.ru не хотел работать. Настроил Squid по скринам из этой ветки плюс в расширенные настройки в блок "Before Auth" внес строки:

acl SquidBypass dstdom_regex -i .*yandex.ru .*google.com .*youtube.com
ssl_bump none SquidBypass

и yandex.ru ожил, остальные нет. Решил проверить доступность сайтов на другом браузере (до этого использовал только ЯндексБраузер, т.к. это основной браузер клиентов, остальные хочу заблочить). Итак, IE без проблем открыл сайты, Opera - аналогично, все открывается, видео проигрывается. Значит pfSense работает как надо, а проблема в Яндексбраузере. Пошел в "Настройки-Безопасность" и в пункте "Защита соединений" отключил пункты "Использовать DNS-сервер для шифрования DNSCrypt" и "Использовать системный резолвер в случае недоступности DNS-сервера с шифрованием DNSCrypt". После этого Яндексбраузер стал все открывать без ошибок, причем потом я удалил вручную внесенные две строки в конфиг кальмара и сайты продолжили работать на разных браузерах. Как-то так.
P.S. pfSense видимо не дружит с хардом WD Blue - через некоторое время появляются ошибки чтения, а потом хард уходит в бутлуп. Сейчас использую хард Toshiba, пока все ок.

max5775

@serge80665393987 не работает это все, я уже убедился в этом неоднократно.
Меняешь какие-либо опции, перезапускаешь, вроде что-то начинает работать и потом спустя некоторое время все по новой отваливается с этой чертовой ssl error. Тот же гугл, через яндекс на него можно зайти, напрямую - нет, гуглопочта вообще никак. Ну и по мелочам еще много чего. Поэтому отключил пока этот HTTPS/SSL Interception нахер, т.к скоро выгонят с работы за постоянные отвалы сайтов. Поражает, что у некоторых все работает нормально. Подозреваю, что наш провайдер может какую-то фигню творить, типа того же MITM или наподобие.
Была попытка уйти на netshserver, так там gre не пробросить, пришлось сидеть на pf-е

max5775

Я даже больше скажу, сейчас через это шлюз не работает ни внутренний https сайт, ни openvpn, который использует сертификаты, в логах openvpn-сервера ошибки проверки сертификата. Даже полное отключение squid не решает проблему. Бред какой-то

werter

@serge80665393987 said in PfSense-2.4.4 не открыаются Gmail и Youtube:

P.S. pfSense видимо не дружит с хардом WD Blue - через некоторое время появляются ошибки чтения, а потом хард уходит в бутлуп. Сейчас использую хард Toshiba, пока все ок.

Бред. Пф глубоко наплевать Блю он у вас или Пурпл\Рэд\Грин. Проверяйте свой хард, БП, матплату, кабели питания и интерфейсные кабели.

Я даже больше скажу, сейчас через это шлюз не работает ни внутренний https сайт, ни openvpn, который использует сертификаты, в логах openvpn-сервера ошибки проверки сертификата. Даже полное отключение squid не решает проблему

Пф никакого отношения не имеет ко внутреннему сайту. Тем более с откл. сквидом. У вас же там с адресацией в сети полный аллес. Разберитесь. Проверьте также свитчи, патч-панели, витую пару, сетевые карты (и на пф тоже).

max5775

@werter, сеть уже перевели на серую. К сайту pfsense имеет отношение, т.к через его нат идет проброс портов

vladimirlind

Хосты за прокси и сам сквид резолвят имена по одним и тем же ДНС-ам? Google и тому подобные на пулах внешних айпи хостятся - чтобы SNI-check проходил успешно, нужно, чтобы DNS запросы сквид и хостов форвардились к одним и тем же апстрим DNS серверам.

https://docs.netgate.com/pfsense/en/latest/cache-proxy/squid-troubleshooting.html

werter

@max5775 said in PfSense-2.4.4 не открыаются Gmail и Youtube:

@werter, сеть уже перевели на серую. К сайту pfsense имеет отношение, т.к через его нат идет проброс портов

Гениально. "В гамаке и скафандре"
Настройте split dns - и внешнее имя сайта будет разрешаться во внутренний серый ip. Не надо вам nat loopback на пф.

чтобы SNI-check проходил успешно, нужно, чтобы DNS запросы сквид и хостов форвардились к одним и тем же апстрим DNS серверам.

Во-во. По этому-то и завернуты у нормальных людей все внешние dns-запросы на лок. адрес пф. И секурнее и без разночтений всяких.

max5775

@vladimirlind said in PfSense-2.4.4 не открыаются Gmail и Youtube:

и и сам сквид резолвят имена по одним и тем же ДНС-ам? Google и тому по

У хостов dns - pfsense, у него dns провайдера, у squid - тоже dns провайдера.

@werter said in PfSense-2.4.4 не открыаются Gmail и Youtube:

Настройте split dns - и внешнее имя сайта будет разрешаться во внутренний серый ip. Не надо вам nat loopback на пф.

Это Вы к чему вообще написали? Я подключаюсь к нашему сайту из дома, он резолвит мне серый адрес - что дальше? Я вродем не писал что, сайт не открывается из локальной сети.
Если по теме, то если я сейчас переустановлю все с нуля, то некотрое время это все будет отлично работать, скажем примерно месяц. Потом в один момент начинает твориться такая вот фигня. И да, я соврал, в сети еще не несколько ПК (штук 10 наверное), у которых остался старый адрес из белой подсети, их пока физически не получается перевести.
Поэтому на LAN интерфейсе шлюза был сделан ip-alias с добавочным адресом из белой сети.
Но если дело все в этом, то я не понимаю природу этой ошибки. Почему сначала все работает нормально...

vladimirlind

@max5775 То есть DNS резолвер на пфсенсе в режиме форвардинга (DNS Query Forwarding)? А у сквида настройки DNS (Use Alternate DNS Servers for the Proxy Server) по умолчанию?

max5775

@vladimirlind
Да, в сквиде ничего не прописано в данном поле, т.е он берет настроики dns из General Setup
Опция DNS Query Forwarding не установлена

vladimirlind

@max5775 said in PfSense-2.4.4 не открыаются Gmail и Youtube:

Опция DNS Query Forwarding не установлена

в таком случае резолвер итерирует запросы к корневым днс серверам, а не форвардит к DNS серверам провайдера в General Setup. Поставьте галочку в DNS Query Forwarding в резолвере.

max5775

@vladimirlind спасибо, попробую