Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Error en navegación con proxy transparente http y https

    Scheduled Pinned Locked Moved Español
    16 Posts 5 Posters 5.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • W
      win_bar
      last edited by

      Buenas a todos, tengo un asunto que no se por donde resolver, tengo montado PFsense 2.2.6 en modo transparente y funciona bien, tengo filtrado de paquetes usando las categorías.

      El asunto esta en que las paginas HTTPS ingresan de forma directa pero siempre queda la advertencia de HTTPS  no seguro y esto hace referencia la certificado que cree desde PFsense para el modo Man in the middle.

      Adjunto imágenes del tema

      Como todo funciona yo no tengo asunto alguno con esto, pero los usuarios… los usuarios ven este https con esa marca de no seguro y indican que podría ser peligroso para los temas que tienen con bancos y demás

      Una prueba que realice fue incrementar la seguridad del certificado local pero el resultado fue el mismo

      Agradezco cualquier aporte que me de una luz de como solucionar este tema

      De ante mano gracias   
      CERT1.GIF
      CERT2.GIF_thumb
      CERT2.GIF
      CERT1.GIF_thumb

      1 Reply Last reply Reply Quote 0
      • A
        Aleximper
        last edited by

        Buen día

        Te sugiero dejar de usar proxy transparente y usar proxy explicito con wpad para no configurar navegadores o GPO de windows si tienes un dominio

        https://www.javcasta.com/pfsense-2-3-wpad-con-ngnix-sin-revertir-gui-a-http/ este funciona bien

        1 Reply Last reply Reply Quote 0
        • W
          win_bar
          last edited by

          Mil gracias por la respuesta (Aleximper), es verdad lo que afirmas usar proxy explicito con wpad es la mejor opción lo conocí recién y lo implemente en otro lugar y funciona bien salvo por un asunto ajeno a PFsense y es un tema de configuración del servicio DNS con windows y el explorador Mozilla Firefox.

          Pero referente al asunto que cuestiono hay algo que se pueda hacer ?

          1 Reply Last reply Reply Quote 0
          • A
            Aleximper
            last edited by

            Buen día

            Pues con mozilla firefox, wpad no falla tampoco, ya que se crean 3 archivos 1 para IE, otro para chrome y otro para mozilla, y con GPO también se puede configurar mozilla, no se cual sea el tema al que te refieres.

            1 Reply Last reply Reply Quote 0
            • J
              jhonecl
              last edited by

              El tema es fácil de resolver. Le comento como yo lo hice

              1. Genere un nuevo certificado (ingrese a system > cert. manager). Da clic en el '+' y agrega uno nuevo "Create an internal certificate authority". Allí debe completar ciertos datos de su compañia para que se vea bonito el certificado.

              2. En services > squid proxy server debe habilitar el check box de la opción Enable SSL Filtering (SSL man in the middle filtering). Si mira más abajo está la opción de CA y allí relaciona en la lista desplegable el certificado que creo en la página anterior. Le sugiero que en "remote cert check" estén selecionadas ambas opciones.

              3. Al conectarse a las páginas verá que sigue colocandose en rojo la conexión segura. Esto es normal porque el proxy está parado en el medio de la conexión cuando ha de suponerse que el https va encriptado entre origen (diagamos un portal bancario) y destino (pc del usuario).

              4. Descargue el certificado e instalelo en cada computador (Yo se.. es cansón pero es la única forma cuando es proxy transparente)… Asegurarse que el certificado quede instalado en las entidades raiz de confianza.

              certificado.PNG_thumb
              certificado.PNG

              1 Reply Last reply Reply Quote 0
              • A
                Aleximper
                last edited by

                Buen día jhonecl

                No has entendido lo que quizo preguntar, ya tiene funcionando la configuración, lo que quiere decir que ya hizo lo que le indicas en tu mensaje, el detalle es que no quiere que en la barra de navegación se vea el icono https tachado diagonalmente en rojo, sino que sea vea verde como si no hubiese proxy.

                1 Reply Last reply Reply Quote 0
                • J
                  jhonecl
                  last edited by

                  Disculpa por no haber leido bien..

                  Instalar el certificado en cada PC, es la única forma. Si tiene active-directory distribuirlo, si no instalarlo manualmente en cada equipo.

                  En firefox se debe instalar a mano en el apartado de certificados… Para chrome, internet explorer y edge funciona sin necesidad de hacer nada extra.

                  Saludos.

                  1 Reply Last reply Reply Quote 0
                  • C
                    chicago_cs
                    last edited by

                    Hola

                    Tengo implementado en modo transparente y cada certificado funcionando adecuadamente por LAN. Ahora si la conexion a Pfsense es por wireless ( placa red modo access point en servidor pfsense), obtengo errores del tipo mencionado al comienzo de este tópico.
                    Tengo activado para LAN y WIFI en opción Man in the middle de SquidGuard.

                    ¿Alguna idea por donde encontrar solución?

                    1 Reply Last reply Reply Quote 0
                    • W
                      win_bar
                      last edited by

                      Gracias por los aporte, Aleximper el asunto al que me refiero con mozilla es que el funciona al resolver por DNS y mi DNS para esa implementación es un windows server y no lo he logrado configurar de modo que me funcione, por tu comentario revisare el tema utilizando una GPO, por otra parte como bien a notas el asunto del tachado de HTTPs de forma diagonal es lo que me ocupa en este post

                      Chicago_cs  ami el asunto me funciona y las paginas permiten ver el contenido en su totalidad y tengo accesos similares a los que menciona

                      El asunto del https tachado es una advertencia de seguridad relacionada con https://es.wikipedia.org/wiki/Ataque_Man-in-the-middle

                      Lo que no se es como evitar este mensaje sin dejar de usar el modo transparente

                      1 Reply Last reply Reply Quote 0
                      • gersonofstoneG
                        gersonofstone
                        last edited by

                        Hola

                        Que versión de squid tienes? Puedes colocar el pantallazo de la configuración del squid en la parte de filtrado https?

                        Papu!! :V

                        1 Reply Last reply Reply Quote 0
                        • A
                          Aleximper
                          last edited by

                          Buen día

                          La única solución viable es que compres un certificado (y su ca root )  que sea reconocido por todos los navegadores, y creería que no tienes que instalar dicha en los navegadores.

                          1 Reply Last reply Reply Quote 0
                          • J
                            jhonecl
                            last edited by

                            @Aleximper:

                            Buen día

                            La única solución viable es que compres un certificado (y su ca root )  que sea reconocido por todos los navegadores, y creería que no tienes que instalar dicha en los navegadores.

                            • 1
                            1 Reply Last reply Reply Quote 0
                            • W
                              win_bar
                              last edited by

                              Offline 😄😄😄, incluyo la configuración solicitada

                              Aleximper, validare el asunto del costo del certificado, y  si lo aprueban lo coloco y les cuento si esa es la solución

                              Cual me recomiendan ?
                              y si entiendo bien al colocar este certificado comprado es posible que no sea necesario instalarlo en cada Equipo?

                              Mil gracias

                              Cap.GIF
                              Cap.GIF_thumb

                              1 Reply Last reply Reply Quote 0
                              • A
                                Aleximper
                                last edited by

                                Buen día

                                Pues la verdad yo no invertiría en un certificado solo para ese propósito en el mercado están los de comodo, verisign,  prefiero mejor dejarlo así e informar a los usuarios que no se alarmen, eso sí, las páginas de los bancos las pongo en las que no deben ser filtradas por el proxy,  al igual que gmail. Pero como te dije la mejor solución es proxy explicito con wpad o GPO.

                                Saludos

                                1 Reply Last reply Reply Quote 0
                                • J
                                  jhonecl
                                  last edited by

                                  En hostinger compre uno y no son costosos.. Es fue para el portal https de mi empresa. Tocaría que validara..

                                  1 Reply Last reply Reply Quote 0
                                  • gersonofstoneG
                                    gersonofstone
                                    last edited by

                                    @win_bar:

                                    Offline 😄😄😄, incluyo la configuración solicitada

                                    Aleximper, validare el asunto del costo del certificado, y  si lo aprueban lo coloco y les cuento si esa es la solución

                                    Cual me recomiendan ?
                                    y si entiendo bien al colocar este certificado comprado es posible que no sea necesario instalarlo en cada Equipo?

                                    Mil gracias

                                    Hola Intenda dejandolo asi

                                    deja el puerto que tienes configurado,y ten presente el campo "SSL Certificate Deamon Children , Remote Cert Checks , Certificate Adapt "

                                    squid-https.png
                                    squid-https.png_thumb

                                    Papu!! :V

                                    1 Reply Last reply Reply Quote 0
                                    • First post
                                      Last post
                                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.