Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PfSense 2.3 Squid não funciona em sub rede

    Scheduled Pinned Locked Moved Portuguese
    10 Posts 4 Posters 2.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      carlosvalter
      last edited by

      Olá pessoal esse é meu primeiro contato nesse forum.

      Essa é a primeira vez que instalo um PfSense, sempre usei firewall com Slackware Linux, Iptables + Squid;

      Estou tento dificuldade em colocar para funcionar o Squid com sub redes, no meu firewall Slackware funcionava muito bem.

      Na verdade quando coloco as máquinas para navegar sem proxy, usando somente o gateway 192.168.x.2 funciona tudo normal.

      Porem quando ativo proxy nos navegadores somente a rede 192.168.0.0/24 que funciona, as demais sub redes (192.168.2.0/24 e 192.168.130.0/24) essas não navegam através do proxy.

      Minha rede esta assim:

      192.168.0.0/24
      192.168.2.0/24
      192.168.130.0/24

      No PfSense:

      Interfaces:
      WAN: 177.x.x.x/30 (ip fixo)
      LAN: 192.168.0.2/24

      Firewall / Virtual IPs:
      192.168.2.2/24 (LAN)
      192.168.130.2/24 (LAN)

      Squid proxy server:

      • Proxy Interface(s): LAN
      • Allow Users on Interface: On ou Off (já tentei dos duas forma)
      • Allowed Subnets:
        –192.168.2.0/24
        --192.168.130.0/24

      Já tentei com e sem Allowed Subnets, mas não navega tb.

      1 Reply Last reply Reply Quote 0
      • D
        didonsom
        last edited by

        Olá Amigo,

        Bem vindo ao fórum, vamos ver se consigo te ajudar :)

        1- Nunca poste o seu ip.
        o ip da sua wan parece valido, sugiro editar esse post e remover ele :)

        2 -  Tente realizar essas configurações e veja se funciona:

        • Em  ACLS, allow subnet coloque dessa forma, em linhas separadas.
          192.168.0.0/24
          192.168.2.0/24
          192.168.130.0/24

        Em General,
        Marque Allow Users on Interface e proxy interface set lan

        Depois sete o proxy nas estações. Veja se o serviço do squid está ativo quando você coloca as subnets.

        3 - Qual o método de autenticação que você está utilizando no squid? Como Você criou os usuários no próprio squid?
        4 - Em Firewall > Rules, você criou uma regra direcionando o trafego para a porta 3128? e outra regra bloqueando o trafego da porta 80 e 443?
        5 - A Conexão com as subnets está funcionando corretamente? você criou uma regra em Firewall > Rules > liberando o trafego para a subnet?

        Abraços,

        Diego

        1 Reply Last reply Reply Quote 0
        • C
          carlosvalter
          last edited by

          Muito obrigado @didonsom

          Bem fiz o que vc falou, na verdade eu já tinha testado dessa forma, mas infelizmente não funcionou.

          1 - Vc esta correto em não postar o IP real, mas essa não é meu IP não OK. Valeu a dica;

          2 - Realizei add o IP 192.168.0.0/24 mas ainda não funcionou;

          3 - Qual o método de autenticação que você está utilizando no squid? Como Você criou os usuários no próprio squid?

          Não estou usando método de autenticação e nem usuários, estou pensando em usar proxy transparente, porem ainda não ativei para realizar teste.

          4 - Em Firewall > Rules, você criou uma regra direcionando o trafego para a porta 3128? e outra regra bloqueando o trafego da porta 80 e 443?

          Ainda não fiz isso pq estou colocando a porta 3128 diretamente nos navegadores dos usuários, mas quando o proxy estiver redondo vou fazer isso sim. Também não bloqueei 80 e 443 pelo mesmo motivo.

          5 - A Conexão com as subnets está funcionando corretamente? você criou uma regra em Firewall > Rules > liberando o trafego para a subnet?

          Olha só, se eu tiro o proxy dos navegadores nas estações, a internet funciona normalmente em todas as subnet. Porem em Firewall / NAT / Outbound foi criado regras automaticamente para todas subnets fazendo NAT da WAN para cada subnet.

          1 Reply Last reply Reply Quote 0
          • C
            carlosvalter
            last edited by

            E então pessoal, ninguém vai conseguir me ajudar :(…

            Terei que voltar para meu velho Slackware?

            Pior que uma coisa tão simples, que nunca precisei preocupar com isso antes. Sempre funcionava com as configurações padrão do Squid.

            Será que existe algum bug nessa versão 2.3 do PfSense?

            Alguém ai esta rodando com subnet usando proxy?

            Tem um Service chamado Squid Reverse Proxy... O que é isso? Não configurei nada nisso.

            Por favor...

            1 Reply Last reply Reply Quote 0
            • T
              tomaswaldow
              last edited by

              Acho que dessa forma não vai funcionar, acho que com VLAN e criando uma interface para cada rede.

              Tomas @ 2W Consultoria

              1 Reply Last reply Reply Quote 0
              • C
                carlosvalter
                last edited by

                Opa Tomas, a princípio eu tinha começado a tentar fazer através de VLAN, mas o problema que percebi é que VLAN só funciona se tiver um switch gerenciável.

                Ou estou enganado?

                E quando eu usava squid + iptables + ip virtual no Slackware, não precisei de VLAN.

                Me ajude galera, please…

                1 Reply Last reply Reply Quote 0
                • T
                  tomaswaldow
                  last edited by

                  Como te falei, no pfSense não vai funcionar dessa forma que usava no Linux.
                  Pelo menos até onde eu sei não tem jeito. Também do ponto de vista de rede fica uma bagunça, ideal é VLAN.

                  Tomas @ 2W Consultoria

                  1 Reply Last reply Reply Quote 0
                  • marcellocM
                    marcelloc
                    last edited by

                    @carlosvalter:

                    percebi é que VLAN só funciona se tiver um switch gerenciável.

                    Exatamente.

                    @carlosvalter:

                    E quando eu usava squid + iptables + ip virtual no Slackware, não precisei de VLAN.

                    Esse conceito é segurança por obscuridade. Trazendo para um português mais simples, bagunça mesmo.

                    A interface web de configuração do squid pergunta em qual interface quer ouvir, imaginando que você acredita em segmentação de rede.

                    Para incrementar o gato de varias subredes no mesmo segmento de rede, você tem duas opções.

                    • Fazer um nat do ip virtual2 apontando para o ip em que o squid está ouvindo/localhost

                    • Incluir nas custom options a linha do squid.conf que faz o listening da porta 3128

                    Treinamentos de Elite: http://sys-squad.com

                    Help a community developer! ;D

                    1 Reply Last reply Reply Quote 0
                    • C
                      carlosvalter
                      last edited by

                      Desculpe mas não acho q essa forma de usar sub rede sem switch gerenciável seja "errado", pois existem máscaras para limitar os ranges de IPs e sim posso limitar setores de uma empresa com uso dessas máscaras.

                      @marcelloc não deu certo com o Nat q vc sugeriu.

                      Bem eu achei uma solução para meu caso específico:

                      • Criei os IPs virtuais para cada sub rede, fazendo que o PfSense seja o gateway para cada sub rede (192.168.0.2, 192.168.2.2, 192.168.130.2);

                      • No Squid deixei a opção: Allow Users on Interface desmarcada;

                      • Nas ACLs do Squid coloquei em Allowed Subnets os IPs da sub redes: (cada um em uma linha)
                        192.168.2.0/24
                        192.168.130.0/24
                        192.168.0.0/24

                      • Nas estações, setei o gateway como sendo o PfSense de acordo com a sub rede;

                      • Nos navegadores das estações coloquei o proxy sendo sempre o 192.168.0.2 (LAN do PfSense) independente de qual sub rede esteja o proxy sempre será esse.

                      Creio q não foi a solução mais elegante, porem resolvi sem o switch gerenciável, pois minha estrutura de rede seria impraticável o uso desse tipo de switch, pq temos diversos switchs espalhados pelo prédio, etc…

                      Obrigado a todos, e agora continuarei as configurações.

                      1 Reply Last reply Reply Quote 0
                      • T
                        tomaswaldow
                        last edited by

                        @carlosvalter:

                        Creio q não foi a solução mais elegante, porem resolvi sem o switch gerenciável, pois minha estrutura de rede seria impraticável o uso desse tipo de switch, pq temos diversos switchs espalhados pelo prédio, etc…

                        Você pode ter apenas uma Switch com suporte a VLAN e fazer a separação das redes nela.

                        Tomas @ 2W Consultoria

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.