• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

Error en navegación con proxy transparente http y https

Scheduled Pinned Locked Moved Español
16 Posts 5 Posters 5.1k Views
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • W
    win_bar
    last edited by Aug 17, 2016, 5:14 AM

    Buenas a todos, tengo un asunto que no se por donde resolver, tengo montado PFsense 2.2.6 en modo transparente y funciona bien, tengo filtrado de paquetes usando las categorías.

    El asunto esta en que las paginas HTTPS ingresan de forma directa pero siempre queda la advertencia de HTTPS  no seguro y esto hace referencia la certificado que cree desde PFsense para el modo Man in the middle.

    Adjunto imágenes del tema

    Como todo funciona yo no tengo asunto alguno con esto, pero los usuarios… los usuarios ven este https con esa marca de no seguro y indican que podría ser peligroso para los temas que tienen con bancos y demás

    Una prueba que realice fue incrementar la seguridad del certificado local pero el resultado fue el mismo

    Agradezco cualquier aporte que me de una luz de como solucionar este tema

    De ante mano gracias   
    CERT1.GIF
    CERT2.GIF_thumb
    CERT2.GIF
    CERT1.GIF_thumb

    1 Reply Last reply Reply Quote 0
    • A
      Aleximper
      last edited by Aug 17, 2016, 1:29 PM

      Buen día

      Te sugiero dejar de usar proxy transparente y usar proxy explicito con wpad para no configurar navegadores o GPO de windows si tienes un dominio

      https://www.javcasta.com/pfsense-2-3-wpad-con-ngnix-sin-revertir-gui-a-http/ este funciona bien

      1 Reply Last reply Reply Quote 0
      • W
        win_bar
        last edited by Aug 17, 2016, 3:39 PM

        Mil gracias por la respuesta (Aleximper), es verdad lo que afirmas usar proxy explicito con wpad es la mejor opción lo conocí recién y lo implemente en otro lugar y funciona bien salvo por un asunto ajeno a PFsense y es un tema de configuración del servicio DNS con windows y el explorador Mozilla Firefox.

        Pero referente al asunto que cuestiono hay algo que se pueda hacer ?

        1 Reply Last reply Reply Quote 0
        • A
          Aleximper
          last edited by Aug 17, 2016, 3:46 PM

          Buen día

          Pues con mozilla firefox, wpad no falla tampoco, ya que se crean 3 archivos 1 para IE, otro para chrome y otro para mozilla, y con GPO también se puede configurar mozilla, no se cual sea el tema al que te refieres.

          1 Reply Last reply Reply Quote 0
          • J
            jhonecl
            last edited by Aug 17, 2016, 4:25 PM

            El tema es fácil de resolver. Le comento como yo lo hice

            1. Genere un nuevo certificado (ingrese a system > cert. manager). Da clic en el '+' y agrega uno nuevo "Create an internal certificate authority". Allí debe completar ciertos datos de su compañia para que se vea bonito el certificado.

            2. En services > squid proxy server debe habilitar el check box de la opción Enable SSL Filtering (SSL man in the middle filtering). Si mira más abajo está la opción de CA y allí relaciona en la lista desplegable el certificado que creo en la página anterior. Le sugiero que en "remote cert check" estén selecionadas ambas opciones.

            3. Al conectarse a las páginas verá que sigue colocandose en rojo la conexión segura. Esto es normal porque el proxy está parado en el medio de la conexión cuando ha de suponerse que el https va encriptado entre origen (diagamos un portal bancario) y destino (pc del usuario).

            4. Descargue el certificado e instalelo en cada computador (Yo se.. es cansón pero es la única forma cuando es proxy transparente)… Asegurarse que el certificado quede instalado en las entidades raiz de confianza.

            certificado.PNG_thumb
            certificado.PNG

            1 Reply Last reply Reply Quote 0
            • A
              Aleximper
              last edited by Aug 17, 2016, 4:31 PM

              Buen día jhonecl

              No has entendido lo que quizo preguntar, ya tiene funcionando la configuración, lo que quiere decir que ya hizo lo que le indicas en tu mensaje, el detalle es que no quiere que en la barra de navegación se vea el icono https tachado diagonalmente en rojo, sino que sea vea verde como si no hubiese proxy.

              1 Reply Last reply Reply Quote 0
              • J
                jhonecl
                last edited by Aug 17, 2016, 4:44 PM

                Disculpa por no haber leido bien..

                Instalar el certificado en cada PC, es la única forma. Si tiene active-directory distribuirlo, si no instalarlo manualmente en cada equipo.

                En firefox se debe instalar a mano en el apartado de certificados… Para chrome, internet explorer y edge funciona sin necesidad de hacer nada extra.

                Saludos.

                1 Reply Last reply Reply Quote 0
                • C
                  chicago_cs
                  last edited by Aug 17, 2016, 4:56 PM

                  Hola

                  Tengo implementado en modo transparente y cada certificado funcionando adecuadamente por LAN. Ahora si la conexion a Pfsense es por wireless ( placa red modo access point en servidor pfsense), obtengo errores del tipo mencionado al comienzo de este tópico.
                  Tengo activado para LAN y WIFI en opción Man in the middle de SquidGuard.

                  ¿Alguna idea por donde encontrar solución?

                  1 Reply Last reply Reply Quote 0
                  • W
                    win_bar
                    last edited by Aug 18, 2016, 3:47 AM

                    Gracias por los aporte, Aleximper el asunto al que me refiero con mozilla es que el funciona al resolver por DNS y mi DNS para esa implementación es un windows server y no lo he logrado configurar de modo que me funcione, por tu comentario revisare el tema utilizando una GPO, por otra parte como bien a notas el asunto del tachado de HTTPs de forma diagonal es lo que me ocupa en este post

                    Chicago_cs  ami el asunto me funciona y las paginas permiten ver el contenido en su totalidad y tengo accesos similares a los que menciona

                    El asunto del https tachado es una advertencia de seguridad relacionada con https://es.wikipedia.org/wiki/Ataque_Man-in-the-middle

                    Lo que no se es como evitar este mensaje sin dejar de usar el modo transparente

                    1 Reply Last reply Reply Quote 0
                    • G
                      gersonofstone
                      last edited by Aug 18, 2016, 11:56 AM

                      Hola

                      Que versión de squid tienes? Puedes colocar el pantallazo de la configuración del squid en la parte de filtrado https?

                      Papu!! :V

                      1 Reply Last reply Reply Quote 0
                      • A
                        Aleximper
                        last edited by Aug 18, 2016, 1:17 PM

                        Buen día

                        La única solución viable es que compres un certificado (y su ca root )  que sea reconocido por todos los navegadores, y creería que no tienes que instalar dicha en los navegadores.

                        1 Reply Last reply Reply Quote 0
                        • J
                          jhonecl
                          last edited by Aug 18, 2016, 2:59 PM

                          @Aleximper:

                          Buen día

                          La única solución viable es que compres un certificado (y su ca root )  que sea reconocido por todos los navegadores, y creería que no tienes que instalar dicha en los navegadores.

                          • 1
                          1 Reply Last reply Reply Quote 0
                          • W
                            win_bar
                            last edited by Aug 18, 2016, 3:45 PM Aug 18, 2016, 3:39 PM

                            Offline 😄😄😄, incluyo la configuración solicitada

                            Aleximper, validare el asunto del costo del certificado, y  si lo aprueban lo coloco y les cuento si esa es la solución

                            Cual me recomiendan ?
                            y si entiendo bien al colocar este certificado comprado es posible que no sea necesario instalarlo en cada Equipo?

                            Mil gracias

                            Cap.GIF
                            Cap.GIF_thumb

                            1 Reply Last reply Reply Quote 0
                            • A
                              Aleximper
                              last edited by Aug 18, 2016, 3:54 PM

                              Buen día

                              Pues la verdad yo no invertiría en un certificado solo para ese propósito en el mercado están los de comodo, verisign,  prefiero mejor dejarlo así e informar a los usuarios que no se alarmen, eso sí, las páginas de los bancos las pongo en las que no deben ser filtradas por el proxy,  al igual que gmail. Pero como te dije la mejor solución es proxy explicito con wpad o GPO.

                              Saludos

                              1 Reply Last reply Reply Quote 0
                              • J
                                jhonecl
                                last edited by Aug 18, 2016, 3:57 PM

                                En hostinger compre uno y no son costosos.. Es fue para el portal https de mi empresa. Tocaría que validara..

                                1 Reply Last reply Reply Quote 0
                                • G
                                  gersonofstone
                                  last edited by Aug 18, 2016, 4:39 PM

                                  @win_bar:

                                  Offline 😄😄😄, incluyo la configuración solicitada

                                  Aleximper, validare el asunto del costo del certificado, y  si lo aprueban lo coloco y les cuento si esa es la solución

                                  Cual me recomiendan ?
                                  y si entiendo bien al colocar este certificado comprado es posible que no sea necesario instalarlo en cada Equipo?

                                  Mil gracias

                                  Hola Intenda dejandolo asi

                                  deja el puerto que tienes configurado,y ten presente el campo "SSL Certificate Deamon Children , Remote Cert Checks , Certificate Adapt "

                                  squid-https.png
                                  squid-https.png_thumb

                                  Papu!! :V

                                  1 Reply Last reply Reply Quote 0
                                  16 out of 16
                                  • First post
                                    16/16
                                    Last post
                                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.
                                    This community forum collects and processes your personal information.
                                    consent.not_received