Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Man in the middle pfsense 2.3 Solucionado

    Scheduled Pinned Locked Moved Español
    9 Posts 6 Posters 3.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • W
      win_bar
      last edited by

      Buenas tardes foro

      Busco de sus buenos oficios en pro de poder aclarar y solucionar este asunto al cual le he buscado solución y no lo he logrado.

      Quiero filtrar trafico https en modo trasparente usando squid y squidguard, con la opción Man In the middle pero al tratar de hacerlo con la última versión de PFsense 2.3.3 no funciona.
      El navegador mozilla o Chrome presentan un error de certificado y las paginas https no ingresan.

      Tras mucho buscar encontré el foro en ingles:  https://forum.pfsense.org/index.php?topic=112283.0

      En el cual presentan el mismo error que actualmente tengo al detalle, lo preocupante es que al final del foro se sugiere que el tema es más un asunto de squid y no de pfsense!!!

      Para resumir:

      Los certificados no funcionan, sean creados, open ó comprados.

      Al final de la historia como requería desarrollar la labor tuve que regresar a la versión 2.2.6 en la cual este asunto funciona de maravilla tal cual se sugiere en:

      https://turbofuture.com/internet/Intercepting-HTTPS-Traffic-Using-the-Squid-Proxy-in-pfSense

      y

      https://www.youtube.com/watch?v=Vx9RsCwMsl4

      Con lo anterior perdí todas las virtudes de la nueva versión de PFsense 2.3.x junto a sus mejoras
      Si ustedes conocen o saben cómo solucionar este asunto les agradezco pues la idea es ir para adelante no para atrás

      De ante mano mil gracias :) :) :)

      1 Reply Last reply Reply Quote 0
      • gersonofstoneG
        gersonofstone
        last edited by

        Hola

        El problema q tú  tienes es generado por el squiguardian..

        Antes de q actualices monta una red de pruebas y prueba en ella o con un cluster

        Saludos

        Papu!! :V

        1 Reply Last reply Reply Quote 0
        • W
          win_bar
          last edited by

          Ok gracias por la respuesta, pero que en el squiguardian debo revisar ?

          1 Reply Last reply Reply Quote 0
          • A
            Aleximper
            last edited by

            Buen día

            Instalaste la certification authority creada en pfsense en todos los equipos de la red?, mira en la documentación del foro, que hay está el proceso para el proxy transparente y funciona bien.

            Saludos

            1 Reply Last reply Reply Quote 0
            • S
              solerjon
              last edited by

              Amigo creo que el problema que tienes es que no has instalado el certificado en los equipos, si usas man in the middle squid nesecita un certificado para poder desencriptar el contenido SSL, yo tengo ese esenario funcionando en produccion sin problemas.

              Este tutorial explica muy bien el proceso de crear el certificado y como agregarlo a lo clientes:
              https://turbofuture.com/internet/Intercepting-HTTPS-Traffic-Using-the-Squid-Proxy-in-pfSense

              Cualquier duda con gusto!

              Saludos

              1 Reply Last reply Reply Quote 0
              • W
                win_bar
                last edited by

                Mil gracias a todos, el tema quedo solucionado, para hacerlo me faltaba:

                Colocar el certificado en el controlador del dominio quien es mi DNS
                Para el tema de GMAIL decidí pasarlo por alto del proxy, la seguridad que usa hace que el certificado creado por PFsense no sea suficiente

                Nota.

                El filtrado por categorías para https funciona perfecto con esta versión.

                1 Reply Last reply Reply Quote 0
                • R
                  ramalave
                  last edited by

                  He instalado SSL Man In the Middle Filtering en mi 2.3.1-RELEASE-p5 (amd64) y funciona de maravilla, pero hay paginas especificas que da problemas con el certificado.
                  www.gmail.com
                  web.whatsapp.com
                  Apliqué Bypass Proxy for These Destination IPs a whatsapp y funciona por los momentos, hay otras paginas que no cargan completo por ejemplo:
                  https://support.mozilla.com/
                  Me gustaría que me ayudaran a este problema, no se, si tengo q comprar un certificado CA autorizado para solventar el problema ????

                  1 Reply Last reply Reply Quote 0
                  • gersonofstoneG
                    gersonofstone
                    last edited by

                    hola

                    lo de mozilla se debe a que ellos usan alias en los dominos me imagino que carga el texto pero no el contenido vusual de la pagina, para eso  te uqedarai mejor crear un alias que haga baypass de proxy

                    y lo del certificado no es precisamente comprar, es validar ante una entidad certificadoras

                    Papu!! :V

                    1 Reply Last reply Reply Quote 0
                    • S
                      sistemasrefrinorte.com
                      last edited by

                      @win_bar:

                      Mil gracias a todos, el tema quedo solucionado, para hacerlo me faltaba:

                      Colocar el certificado en el controlador del dominio quien es mi DNS
                      Para el tema de GMAIL decidí pasarlo por alto del proxy, la seguridad que usa hace que el certificado creado por PFsense no sea suficiente

                      Nota.

                      El filtrado por categorías para https funciona perfecto con esta versión.

                      Hola
                      Podrias explicar eso del colocar eo certificado en el controlador de dominio?
                      Tu DNS es un equipo diferente a donde esta instalado el pfsense?

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post
                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.