Man in the middle pfsense 2.3 Solucionado



  • Buenas tardes foro

    Busco de sus buenos oficios en pro de poder aclarar y solucionar este asunto al cual le he buscado solución y no lo he logrado.

    Quiero filtrar trafico https en modo trasparente usando squid y squidguard, con la opción Man In the middle pero al tratar de hacerlo con la última versión de PFsense 2.3.3 no funciona.
    El navegador mozilla o Chrome presentan un error de certificado y las paginas https no ingresan.

    Tras mucho buscar encontré el foro en ingles:  https://forum.pfsense.org/index.php?topic=112283.0

    En el cual presentan el mismo error que actualmente tengo al detalle, lo preocupante es que al final del foro se sugiere que el tema es más un asunto de squid y no de pfsense!!!

    Para resumir:

    Los certificados no funcionan, sean creados, open ó comprados.

    Al final de la historia como requería desarrollar la labor tuve que regresar a la versión 2.2.6 en la cual este asunto funciona de maravilla tal cual se sugiere en:

    https://turbofuture.com/internet/Intercepting-HTTPS-Traffic-Using-the-Squid-Proxy-in-pfSense

    y

    https://www.youtube.com/watch?v=Vx9RsCwMsl4

    Con lo anterior perdí todas las virtudes de la nueva versión de PFsense 2.3.x junto a sus mejoras
    Si ustedes conocen o saben cómo solucionar este asunto les agradezco pues la idea es ir para adelante no para atrás

    De ante mano mil gracias :) :) :)



  • Hola

    El problema q tú  tienes es generado por el squiguardian..

    Antes de q actualices monta una red de pruebas y prueba en ella o con un cluster

    Saludos



  • Ok gracias por la respuesta, pero que en el squiguardian debo revisar ?



  • Buen día

    Instalaste la certification authority creada en pfsense en todos los equipos de la red?, mira en la documentación del foro, que hay está el proceso para el proxy transparente y funciona bien.

    Saludos



  • Amigo creo que el problema que tienes es que no has instalado el certificado en los equipos, si usas man in the middle squid nesecita un certificado para poder desencriptar el contenido SSL, yo tengo ese esenario funcionando en produccion sin problemas.

    Este tutorial explica muy bien el proceso de crear el certificado y como agregarlo a lo clientes:
    https://turbofuture.com/internet/Intercepting-HTTPS-Traffic-Using-the-Squid-Proxy-in-pfSense

    Cualquier duda con gusto!

    Saludos



  • Mil gracias a todos, el tema quedo solucionado, para hacerlo me faltaba:

    Colocar el certificado en el controlador del dominio quien es mi DNS
    Para el tema de GMAIL decidí pasarlo por alto del proxy, la seguridad que usa hace que el certificado creado por PFsense no sea suficiente

    Nota.

    El filtrado por categorías para https funciona perfecto con esta versión.



  • He instalado SSL Man In the Middle Filtering en mi 2.3.1-RELEASE-p5 (amd64) y funciona de maravilla, pero hay paginas especificas que da problemas con el certificado.
    www.gmail.com
    web.whatsapp.com
    Apliqué Bypass Proxy for These Destination IPs a whatsapp y funciona por los momentos, hay otras paginas que no cargan completo por ejemplo:
    https://support.mozilla.com/
    Me gustaría que me ayudaran a este problema, no se, si tengo q comprar un certificado CA autorizado para solventar el problema ????



  • hola

    lo de mozilla se debe a que ellos usan alias en los dominos me imagino que carga el texto pero no el contenido vusual de la pagina, para eso  te uqedarai mejor crear un alias que haga baypass de proxy

    y lo del certificado no es precisamente comprar, es validar ante una entidad certificadoras



  • @win_bar:

    Mil gracias a todos, el tema quedo solucionado, para hacerlo me faltaba:

    Colocar el certificado en el controlador del dominio quien es mi DNS
    Para el tema de GMAIL decidí pasarlo por alto del proxy, la seguridad que usa hace que el certificado creado por PFsense no sea suficiente

    Nota.

    El filtrado por categorías para https funciona perfecto con esta versión.

    Hola
    Podrias explicar eso del colocar eo certificado en el controlador de dominio?
    Tu DNS es un equipo diferente a donde esta instalado el pfsense?