[GUIA] Proxy HTTP/HTTPS + SquidGuard + sgerror.php + WPAD via DHCP e DNS 100%

gerardocoelho

Boa tarde, Pessoal.

Fiz as configurações e funcionou perfeitamente.
Fico agradecido pela ajuda do colega.

Agora estou com dois problemas:

1º Não consigo acessar o relatório do lightsquid (Dou um refresh, mas a página não abre e o endereço dos logs está correto. Está marcado loopback no squid como pede tb.

2º Tenho duas interfaces de rede com classe de IPs diferentes, gostaria que funcionasse nas duas, mas não deu certo aqui. Instalei o pacote wpad do marcelo, criei uma outra instancia para a outra placa de rede. Configurei o serviço de dhcp dessa placa buscando os arquivos, mas não deu certo. Quando tento da outra rede acessar o arquivo proxy.pac da outra rede que já funcona não encontra.

Alguém pode me ajudar?

Fico agradecido desde entao.

cairo

@robertoseg:

Bom dia! estou com problema no certificado o navegador fala que não e seguro  ai vou em avançado e noa tem opção para continuar como faço para resolver esse problema ??

Amigo, já tentou em outro navegador?

gerardocoelho

@gerardocoelho:

Boa tarde, Pessoal.

Fiz as configurações e funcionou perfeitamente.
Fico agradecido pela ajuda do colega.

Agora estou com dois problemas:

1º Não consigo acessar o relatório do lightsquid (Dou um refresh, mas a página não abre e o endereço dos logs está correto. Está marcado loopback no squid como pede tb.

2º Tenho duas interfaces de rede com classe de IPs diferentes, gostaria que funcionasse nas duas, mas não deu certo aqui. Instalei o pacote wpad do marcelo, criei uma outra instancia para a outra placa de rede. Configurei o serviço de dhcp dessa placa buscando os arquivos, mas não deu certo. Quando tento da outra rede acessar o arquivo proxy.pac da outra rede que já funcona não encontra.

Alguém pode me ajudar?

Fico agradecido desde entao.

Resolvi o 1º problema criando uma regra no firewall da segunda placa para se comunicar com o ip do pfsense (outra placa).
Resolvi o lightsquid depois de muito tentar… Desinstalei o pacote, instalei novamente, instalei alguns outros pacotes... Já estava quase desistindo, quando resolvi mais uma vez desinstalar e instalar novamente, ai funcionou... Não sei o que aconteceu.

diegovaz

Bruno,

blz cara!

consegue colocar pra funcionar aqui, valeu meu amigo pela contribuiçao e pela ajuda.

@brunok:

@Douglas:

Boa noite..

Muito legal bem detalhado ..

porem existem algumas duvidas até pq ja utilizei por muito tempo wpad
quais foram os problemas encontrados no decorrer..

1 parou de funcionar no firefox devido a alguma atualização.

quando eu consegui faze funciona no firefox dava erro no internet….

o seu funciona no firefox e no internet explorer e chrome (apesar no chrome ser espelho do internet)

2 . Infelismente Macs e Celulares como android IOS tinha que fazer algumas configurações mais avançadas para que funcionasse...

Mais estou meio correria pretendo testa suas configs..
Fico no aguardo do seu retorno.

Alguns navegadores tentam capturar proxy.pac e outros wpad.dat. Por isso, criamos links do proxy.pac para não ocorrer nenhum problema.

Realmente para aparelhos mobile, os navegadores vem configurados sem a instrução de buscar por wpad/proxy.pac.

Somente configurando manualmente, ou criando uma VLAN só para celulares com captive portal. Ou ainda, uma segunda instância do squid em modo transparente.

agora mais uma duvida kkkkk

como seria esta soluçao para resolver o problema dos celulares?

Somente configurando manualmente, ou criando uma VLAN só para celulares com captive portal.

Teria como me dar uma explicaçao?

Vlw

cairo

Senhores,
Configurei do zero uma máquina com pfSense e segui este tutorial (como em outras vezes) passo-a-passo e no ambiente de testes aqui tudo ok pelos testes que eu havia feito. Porém implantei no cliente e o bloqueio não funcionou corretamente.

Já refiz todos os passos, conferi as opções no DHCP para a entrega do arquivo wpad;
Testei e o arquivo está acessível aos PCs da Lan (fiz download pelo navegador);
Conferi o conteúdo do arquivo wpad (já tentei até reescrevê-lo), sem sucesso;

O cenário é:
SE nas opções de internet não há nenhuma opção setada, o PC navega sem bloqueios
SE nas opções de internet eu habilito 'detectar automaticamente..', o PC navega sem bloqueios
SE nas opções de internet eu coloco manualmente o caminho do arquivo wpad, bloqueios OK
SE nas opções de internet eu coloco o endereço do proxy manualmente, bloqueios OK

Já revisei a configuração do squid e o Enable SSL filtering está marcado, com as configurações exatamente iguais a do tutorial. Não faço idéia de onde esteja meu erro… Alguém pode me dar uma luz? To ficando maluco já...  :o

marcelloc

@Cairo:

Porém implantei no cliente e o bloqueio não funcionou corretamente.

As configurações que alterou no dhcp só terão efeito quando a maquina renovar o lease do dhcp

cairo

@marcelloc:

@Cairo:

Porém implantei no cliente e o bloqueio não funcionou corretamente.

As configurações que alterou no dhcp só terão efeito quando a maquina renovar o lease do dhcp

cheguei a dar comando 'ipconfig /release' e 'ipconfig /renew' mas não tinha dado efeito…

Hoje pela manhã fiz um novo servidor, dessa vez com a versão 2.3.3 (e não a 2.3.4 como de costume)  e segui este tutorial aqui e o resultado, inicialmente foi o mesmo = sem a configuração automatica nas 'opções de internet' o PC navegava sem bloqueios.
Porém nesta versão inclui agora regras de LAN para bloquear os PCs da LAN NET para trafegar dados diretamente pela 80 (HTTP) e 443 (HTTPS)... Em princípio pelos testes que fiz agora sim funcionou e os PCS nao navegam se a configuração automática de rede não estiver marcada.

Portanto nos testes que fiz até agora somente o tutorial não deixa 100% funcionando, tive que incluir bloqueios da Lan Net para a 80/443.
Caso alguem puder testar também e o autor do tópico incluir essa instrução, se for o caso, agradeço.

agn_aaa

Cairo Augusto,

eu passei pelo mesmo problema e consegui achar uma solução, porém não sei responder a relação das minhas ações com o problema resolvido!!! mas vamos lá.

Nas Opções de Internet \ Conexões \ Configurações da Lan \  deixe marcado a opção "Detectar Automaticamente as Configurações"
No Mozilla (caso vc utilize) Vá até Menu de configurações \ Opções \ Avançado \ Na Aba "Rede" \ Clique em "Configurar Conexões" e Marque a opção "Autodetectar as Configurações de Proxy para esta Rede"

No PfSense vá até o SquidGuard e Desabilite-o (se vc usar o SquidGuard). Depois vá até o Squid Proxy Server e desabilite-o também. Agora habilite o Squid Proxy Server e habilite o SquidGuard clicando em Save e depois clique em "Apply".
Feche o Navegado e abra novamente, faça os teste que todos os bloqueios vão funcionar. Como você já bloqueou as portas 443 e 80, assim ficou implícito que os usuários não conseguiram navegar fora do proxy mesmo.

Espero que tenha ajudado.

agn_aaa

Eu tb segui o tutorial certinho e tudo funciona perfeitamente exceto a página sgerror.php quando o site bloqueado é https. Neste caso a página é exibida como na imagem anexada. Alguém sabe como deixar fazer com o PfSense possa redirecionar sites https para o sgerror.php ?
Já olhei em diversos lugares e achei que esse tutorial além de realizar o proxy autodetectavel, corrigiria este problema também.

Uso o PfSense 2.3.4-RELEASE-p1, Squid Proxy Server e bloqueios com o SquidGuard. Conforme recomenda no tutorial.

Agradeço se alguém puder ajudar.

empbilly

Alguém sabe como deixar fazer com o PfSense possa redirecionar sites https para o sgerror.php ?
Já olhei em diversos lugares e achei que esse tutorial além de realizar o proxy autodetectavel, corrigiria este problema também.

Em paginas https não irá funcionar o redirecionador. Veja o porque no link abaixo.
https://wiki.squid-cache.org/Features/CustomErrors?highlight=%2528faqlisted.yes%2529#Custom_error_pages_not_displayed_for_HTTPS

andrefreire

Bom dia !

Não estou conseguindo instalar o WPAD. O repositório está off. Alguém sabe se o Marcelo removeu o pacote?

Obrigado

empbilly

@andrefreire:

Bom dia !

Não estou conseguindo instalar o WPAD. O repositório está off. Alguém sabe se o Marcelo removeu o pacote?

Obrigado

Pelo jeito está com problemas mesmo. Aparece a mensagem abaixo ao tentar acessar o repositorio.

400: Invalid request

Experimente fazer via

pkg add

Ex:

pkg add https://github.com/marcelloc/Unofficial-pfSense-packages/raw/master/repo/e2guardian-3.5.1.txz
 pkg add https://github.com/marcelloc/Unofficial-pfSense-packages/raw/master/repo/pfSense-pkg-E2guardian-0.9.txz

andrefreire

Boa tarde !

Aparentemente voltou a funcionar. Provável que o Marcelo estivesse atualizando algo.

andrefreire

Na realidade o acesso voltou mas ainda estou tendo problemas com o repositório.

Não aparece o WPAD na lista do package manager

Pelo console tentei atualizar os repositórios mas retorna o seguinte erro:

pkg update

Updating Unofficial repository catalogue…

pkg: Repository Unofficial load error: access repo file(/var/db/pkg/repo-Unofficial.sqlite) failed: No such file or directory

pkg: wrong architecture: freebsd:10:x86:32 instead of FreeBSD:10:amd64

pkg: repository Unofficial contains packages with wrong ABI: freebsd:10:x86:32

Unable to update repository Unofficial

Eu peguei a opção 64bits mas ele informa erro de arquitetura além da falta de um arquivo.

marcelloc

@andrefreire:

pkg: wrong architecture: freebsd:10:x86:32 instead of FreeBSD:10:amd64

pkg: repository Unofficial contains packages with wrong ABI: freebsd:10:x86:32

Acabe de corrigir o repositório. Tenta novamente.

andrefreire

Testado. Funcionando novamente. Obrigado Marcelo.

brunok

@diegovaz:

Bruno,

blz cara!

consegue colocar pra funcionar aqui, valeu meu amigo pela contribuiçao e pela ajuda.

@brunok:

@Douglas:

Boa noite..

Muito legal bem detalhado ..

porem existem algumas duvidas até pq ja utilizei por muito tempo wpad
quais foram os problemas encontrados no decorrer..

1 parou de funcionar no firefox devido a alguma atualização.

quando eu consegui faze funciona no firefox dava erro no internet….

o seu funciona no firefox e no internet explorer e chrome (apesar no chrome ser espelho do internet)

2 . Infelismente Macs e Celulares como android IOS tinha que fazer algumas configurações mais avançadas para que funcionasse...

Mais estou meio correria pretendo testa suas configs..
Fico no aguardo do seu retorno.

Alguns navegadores tentam capturar proxy.pac e outros wpad.dat. Por isso, criamos links do proxy.pac para não ocorrer nenhum problema.

Realmente para aparelhos mobile, os navegadores vem configurados sem a instrução de buscar por wpad/proxy.pac.

Somente configurando manualmente, ou criando uma VLAN só para celulares com captive portal. Ou ainda, uma segunda instância do squid em modo transparente.

agora mais uma duvida kkkkk

como seria esta soluçao para resolver o problema dos celulares?

Somente configurando manualmente, ou criando uma VLAN só para celulares com captive portal.

Teria como me dar uma explicaçao?

Vlw

Desculpem o meu sumiço, estava com outros projetos, além da faculdade.

Para dispositivos mobiles, eles não aceitam WPAD automaticamente. Você teria que ir em cada aparelho e apontar o ip e porta do seu proxy manualmente. Trabalhoso, não?

Neste caso, uma VLAN com captive portal pode ajudar. Você precisa ter um switch que aceite VLAN e criar uma subnet exclusiva.

Outra opção dentro deste contexto, seria limitar a banda de quem está nessa VLAN, ou cadastrar uma ACL no squid, com limitação de banda.

brunok

@Cairo:

@marcelloc:

@Cairo:

Porém implantei no cliente e o bloqueio não funcionou corretamente.

As configurações que alterou no dhcp só terão efeito quando a maquina renovar o lease do dhcp

cheguei a dar comando 'ipconfig /release' e 'ipconfig /renew' mas não tinha dado efeito…

Hoje pela manhã fiz um novo servidor, dessa vez com a versão 2.3.3 (e não a 2.3.4 como de costume)  e segui este tutorial aqui e o resultado, inicialmente foi o mesmo = sem a configuração automatica nas 'opções de internet' o PC navegava sem bloqueios.
Porém nesta versão inclui agora regras de LAN para bloquear os PCs da LAN NET para trafegar dados diretamente pela 80 (HTTP) e 443 (HTTPS)... Em princípio pelos testes que fiz agora sim funcionou e os PCS nao navegam se a configuração automática de rede não estiver marcada.

Portanto nos testes que fiz até agora somente o tutorial não deixa 100% funcionando, tive que incluir bloqueios da Lan Net para a 80/443.
Caso alguem puder testar também e o autor do tópico incluir essa instrução, se for o caso, agradeço.

Boa tarde Cairo.

Este cenário eu montei quando a versão release era a 2.3.2. Fiz testes na 2.3.3 e também funcionaram perfeitamente. Não cheguei a validar na 2.3.4x, mas acredito que não tenha tido uma mudança tão significante.

Montarei um lab pra testar, quando sobrar um tempo.

Quanto as regras de firewall, acho que são pertinentes de cada local e do administrador, mas neste caso, posso deixar como dica o bloqueio das portas 80/443.
Vou editar o tópico.  ;)

mbj5

olá !
segui o tutorial e o ambiente está funcionando quase 100%
a única coisa que não esta ok é a página de erro no internet explorer e edge aparece uma página de erro genérica do browser, me refiro a página de erro para bloqueios HTTP não https, no chrome e no firefox funciona perfeitamente.

se eu colocar o endereço http://192.168.0.1/sgerror.php no internet explorer ou edge ele exibe a página normalmente mas se eu colocar o endereço conforme orientado no tutorial  http://192.168.0.1/sgerror.php?url=302%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u a página não é exibida.

meu cenário é o seguinte: pfSense 2.3.4-release amd64 + squid 0.4.40 + squidguard 1.16.3

alguém passou por isso ? ou tem idéia do que pode ser ?

obrigado !

brunok

@mbj5:

olá !
segui o tutorial e o ambiente está funcionando quase 100%
a única coisa que não esta ok é a página de erro no internet explorer e edge aparece uma página de erro genérica do browser, me refiro a página de erro para bloqueios HTTP não https, no chrome e no firefox funciona perfeitamente.

se eu colocar o endereço http://192.168.0.1/sgerror.php no internet explorer ou edge ele exibe a página normalmente mas se eu colocar o endereço conforme orientado no tutorial  http://192.168.0.1/sgerror.php?url=302%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u a página não é exibida.

meu cenário é o seguinte: pfSense 2.3.4-release amd64 + squid 0.4.40 + squidguard 1.16.3

alguém passou por isso ? ou tem idéia do que pode ser ?

obrigado !

Eu não lembro deste problema, mas nem uso o IE.  :-X

Faça o seguinte, teste no navegador, esse endereço aqui:

http://192.168.0.1/sgerror.php?&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u

ou

http://192.168.0.1/sgerror.php?url=302&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u