• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

[GUIA] Proxy HTTP/HTTPS + SquidGuard + sgerror.php + WPAD via DHCP e DNS 100%

Scheduled Pinned Locked Moved Portuguese
182 Posts 40 Posters 58.2k Views
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • G
    gerardocoelho
    last edited by Aug 22, 2017, 4:28 PM

    Boa tarde, Pessoal.

    Fiz as configurações e funcionou perfeitamente.
    Fico agradecido pela ajuda do colega.

    Agora estou com dois problemas:

    1º Não consigo acessar o relatório do lightsquid (Dou um refresh, mas a página não abre e o endereço dos logs está correto. Está marcado loopback no squid como pede tb.

    2º Tenho duas interfaces de rede com classe de IPs diferentes, gostaria que funcionasse nas duas, mas não deu certo aqui. Instalei o pacote wpad do marcelo, criei uma outra instancia para a outra placa de rede. Configurei o serviço de dhcp dessa placa buscando os arquivos, mas não deu certo. Quando tento da outra rede acessar o arquivo proxy.pac da outra rede que já funcona não encontra.

    Alguém pode me ajudar?

    Fico agradecido desde entao.

    1 Reply Last reply Reply Quote 0
    • C
      cairo
      last edited by Aug 22, 2017, 5:47 PM

      @robertoseg:

      Bom dia! estou com problema no certificado o navegador fala que não e seguro  ai vou em avançado e noa tem opção para continuar como faço para resolver esse problema ??

      Amigo, já tentou em outro navegador?

      1 Reply Last reply Reply Quote 0
      • G
        gerardocoelho
        last edited by Aug 23, 2017, 2:07 AM

        @gerardocoelho:

        Boa tarde, Pessoal.

        Fiz as configurações e funcionou perfeitamente.
        Fico agradecido pela ajuda do colega.

        Agora estou com dois problemas:

        1º Não consigo acessar o relatório do lightsquid (Dou um refresh, mas a página não abre e o endereço dos logs está correto. Está marcado loopback no squid como pede tb.

        2º Tenho duas interfaces de rede com classe de IPs diferentes, gostaria que funcionasse nas duas, mas não deu certo aqui. Instalei o pacote wpad do marcelo, criei uma outra instancia para a outra placa de rede. Configurei o serviço de dhcp dessa placa buscando os arquivos, mas não deu certo. Quando tento da outra rede acessar o arquivo proxy.pac da outra rede que já funcona não encontra.

        Alguém pode me ajudar?

        Fico agradecido desde entao.

        Resolvi o 1º problema criando uma regra no firewall da segunda placa para se comunicar com o ip do pfsense (outra placa).
        Resolvi o lightsquid depois de muito tentar… Desinstalei o pacote, instalei novamente, instalei alguns outros pacotes... Já estava quase desistindo, quando resolvi mais uma vez desinstalar e instalar novamente, ai funcionou... Não sei o que aconteceu.

        1 Reply Last reply Reply Quote 0
        • D
          diegovaz
          last edited by Aug 23, 2017, 6:04 PM

          Bruno,

          blz cara!

          consegue colocar pra funcionar aqui, valeu meu amigo pela contribuiçao e pela ajuda.

          @brunok:

          @Douglas:

          Boa noite..

          Muito legal bem detalhado ..

          porem existem algumas duvidas até pq ja utilizei por muito tempo wpad
          quais foram os problemas encontrados no decorrer..

          1 parou de funcionar no firefox devido a alguma atualização.

          quando eu consegui faze funciona no firefox dava erro no internet….

          o seu funciona no firefox e no internet explorer e chrome (apesar no chrome ser espelho do internet)

          2 . Infelismente Macs e Celulares como android IOS tinha que fazer algumas configurações mais avançadas para que funcionasse...

          Mais estou meio correria pretendo testa suas configs..
          Fico no aguardo do seu retorno.

          Alguns navegadores tentam capturar proxy.pac e outros wpad.dat. Por isso, criamos links do proxy.pac para não ocorrer nenhum problema.

          Realmente para aparelhos mobile, os navegadores vem configurados sem a instrução de buscar por wpad/proxy.pac.

          Somente configurando manualmente, ou criando uma VLAN só para celulares com captive portal. Ou ainda, uma segunda instância do squid em modo transparente.

          agora mais uma duvida kkkkk

          como seria esta soluçao para resolver o problema dos celulares?

          Somente configurando manualmente, ou criando uma VLAN só para celulares com captive portal.

          Teria como me dar uma explicaçao?

          Vlw

          1 Reply Last reply Reply Quote 0
          • C
            cairo
            last edited by Aug 28, 2017, 7:29 PM

            Senhores,
            Configurei do zero uma máquina com pfSense e segui este tutorial (como em outras vezes) passo-a-passo e no ambiente de testes aqui tudo ok pelos testes que eu havia feito. Porém implantei no cliente e o bloqueio não funcionou corretamente.

            Já refiz todos os passos, conferi as opções no DHCP para a entrega do arquivo wpad;
            Testei e o arquivo está acessível aos PCs da Lan (fiz download pelo navegador);
            Conferi o conteúdo do arquivo wpad (já tentei até reescrevê-lo), sem sucesso;

            O cenário é:
            SE nas opções de internet não há nenhuma opção setada, o PC navega sem bloqueios
            SE nas opções de internet eu habilito 'detectar automaticamente..', o PC navega sem bloqueios
            SE nas opções de internet eu coloco manualmente o caminho do arquivo wpad, bloqueios OK
            SE nas opções de internet eu coloco o endereço do proxy manualmente, bloqueios OK

            Já revisei a configuração do squid e o Enable SSL filtering está marcado, com as configurações exatamente iguais a do tutorial. Não faço idéia de onde esteja meu erro… Alguém pode me dar uma luz? To ficando maluco já...  :o

            1 Reply Last reply Reply Quote 0
            • M
              marcelloc
              last edited by Aug 30, 2017, 4:27 PM

              @Cairo:

              Porém implantei no cliente e o bloqueio não funcionou corretamente.

              As configurações que alterou no dhcp só terão efeito quando a maquina renovar o lease do dhcp

              Treinamentos de Elite: http://sys-squad.com

              Help a community developer! ;D

              1 Reply Last reply Reply Quote 0
              • C
                cairo
                last edited by Aug 30, 2017, 4:59 PM

                @marcelloc:

                @Cairo:

                Porém implantei no cliente e o bloqueio não funcionou corretamente.

                As configurações que alterou no dhcp só terão efeito quando a maquina renovar o lease do dhcp

                cheguei a dar comando 'ipconfig /release' e 'ipconfig /renew' mas não tinha dado efeito…

                Hoje pela manhã fiz um novo servidor, dessa vez com a versão 2.3.3 (e não a 2.3.4 como de costume)  e segui este tutorial aqui e o resultado, inicialmente foi o mesmo = sem a configuração automatica nas 'opções de internet' o PC navegava sem bloqueios.
                Porém nesta versão inclui agora regras de LAN para bloquear os PCs da LAN NET para trafegar dados diretamente pela 80 (HTTP) e 443 (HTTPS)... Em princípio pelos testes que fiz agora sim funcionou e os PCS nao navegam se a configuração automática de rede não estiver marcada.

                Portanto nos testes que fiz até agora somente o tutorial não deixa 100% funcionando, tive que incluir bloqueios da Lan Net para a 80/443.
                Caso alguem puder testar também e o autor do tópico incluir essa instrução, se for o caso, agradeço.

                1 Reply Last reply Reply Quote 0
                • A
                  agn_aaa
                  last edited by Sep 17, 2017, 2:36 PM

                  Cairo Augusto,

                  eu passei pelo mesmo problema e consegui achar uma solução, porém não sei responder a relação das minhas ações com o problema resolvido!!! mas vamos lá.

                  Nas Opções de Internet \ Conexões \ Configurações da Lan \  deixe marcado a opção "Detectar Automaticamente as Configurações"
                  No Mozilla (caso vc utilize) Vá até Menu de configurações \ Opções \ Avançado \ Na Aba "Rede" \ Clique em "Configurar Conexões" e Marque a opção "Autodetectar as Configurações de Proxy para esta Rede"

                  No PfSense vá até o SquidGuard e Desabilite-o (se vc usar o SquidGuard). Depois vá até o Squid Proxy Server e desabilite-o também. Agora habilite o Squid Proxy Server e habilite o SquidGuard clicando em Save e depois clique em "Apply".
                  Feche o Navegado e abra novamente, faça os teste que todos os bloqueios vão funcionar. Como você já bloqueou as portas 443 e 80, assim ficou implícito que os usuários não conseguiram navegar fora do proxy mesmo.

                  Espero que tenha ajudado.

                  1 Reply Last reply Reply Quote 0
                  • A
                    agn_aaa
                    last edited by Sep 17, 2017, 3:00 PM

                    Eu tb segui o tutorial certinho e tudo funciona perfeitamente exceto a página sgerror.php quando o site bloqueado é https. Neste caso a página é exibida como na imagem anexada. Alguém sabe como deixar fazer com o PfSense possa redirecionar sites https para o sgerror.php ?
                    Já olhei em diversos lugares e achei que esse tutorial além de realizar o proxy autodetectavel, corrigiria este problema também.

                    Uso o PfSense 2.3.4-RELEASE-p1, Squid Proxy Server e bloqueios com o SquidGuard. Conforme recomenda no tutorial.

                    Agradeço se alguém puder ajudar.

                    sgerror.php_Https.PNG
                    sgerror.php_Https.PNG_thumb

                    1 Reply Last reply Reply Quote 0
                    • empbillyE
                      empbilly
                      last edited by Sep 17, 2017, 6:58 PM

                      Alguém sabe como deixar fazer com o PfSense possa redirecionar sites https para o sgerror.php ?
                      Já olhei em diversos lugares e achei que esse tutorial além de realizar o proxy autodetectavel, corrigiria este problema também.

                      Em paginas https não irá funcionar o redirecionador. Veja o porque no link abaixo.
                      https://wiki.squid-cache.org/Features/CustomErrors?highlight=%2528faqlisted.yes%2529#Custom_error_pages_not_displayed_for_HTTPS

                      https://eliasmoraispereira.wordpress.com/

                      1 Reply Last reply Reply Quote 0
                      • A
                        andrefreire
                        last edited by Sep 28, 2017, 12:13 PM

                        Bom dia !

                        Não estou conseguindo instalar o WPAD. O repositório está off. Alguém sabe se o Marcelo removeu o pacote?

                        Obrigado

                        1 Reply Last reply Reply Quote 0
                        • empbillyE
                          empbilly
                          last edited by Sep 28, 2017, 2:02 PM

                          @andrefreire:

                          Bom dia !

                          Não estou conseguindo instalar o WPAD. O repositório está off. Alguém sabe se o Marcelo removeu o pacote?

                          Obrigado

                          Pelo jeito está com problemas mesmo. Aparece a mensagem abaixo ao tentar acessar o repositorio.

                          400: Invalid request
                          

                          Experimente fazer via

                          pkg add
                          

                          Ex:

                          pkg add https://github.com/marcelloc/Unofficial-pfSense-packages/raw/master/repo/e2guardian-3.5.1.txz
                           pkg add https://github.com/marcelloc/Unofficial-pfSense-packages/raw/master/repo/pfSense-pkg-E2guardian-0.9.txz
                          

                          https://eliasmoraispereira.wordpress.com/

                          1 Reply Last reply Reply Quote 0
                          • A
                            andrefreire
                            last edited by Sep 28, 2017, 3:32 PM

                            Boa tarde !

                            Aparentemente voltou a funcionar. Provável que o Marcelo estivesse atualizando algo.

                            1 Reply Last reply Reply Quote 0
                            • A
                              andrefreire
                              last edited by Sep 28, 2017, 4:30 PM

                              Na realidade o acesso voltou mas ainda estou tendo problemas com o repositório.

                              Não aparece o WPAD na lista do package manager

                              Pelo console tentei atualizar os repositórios mas retorna o seguinte erro:

                              pkg update

                              Updating Unofficial repository catalogue…

                              pkg: Repository Unofficial load error: access repo file(/var/db/pkg/repo-Unofficial.sqlite) failed: No such file or directory

                              pkg: wrong architecture: freebsd:10:x86:32 instead of FreeBSD:10:amd64

                              pkg: repository Unofficial contains packages with wrong ABI: freebsd:10:x86:32

                              Unable to update repository Unofficial

                              Eu peguei a opção 64bits mas ele informa erro de arquitetura além da falta de um arquivo.

                              1 Reply Last reply Reply Quote 0
                              • M
                                marcelloc
                                last edited by Oct 2, 2017, 3:12 PM

                                @andrefreire:

                                pkg: wrong architecture: freebsd:10:x86:32 instead of FreeBSD:10:amd64

                                pkg: repository Unofficial contains packages with wrong ABI: freebsd:10:x86:32

                                Acabe de corrigir o repositório. Tenta novamente.

                                Treinamentos de Elite: http://sys-squad.com

                                Help a community developer! ;D

                                1 Reply Last reply Reply Quote 0
                                • A
                                  andrefreire
                                  last edited by Oct 2, 2017, 8:41 PM

                                  Testado. Funcionando novamente. Obrigado Marcelo.

                                  1 Reply Last reply Reply Quote 0
                                  • B
                                    brunok
                                    last edited by Oct 10, 2017, 5:31 PM

                                    @diegovaz:

                                    Bruno,

                                    blz cara!

                                    consegue colocar pra funcionar aqui, valeu meu amigo pela contribuiçao e pela ajuda.

                                    @brunok:

                                    @Douglas:

                                    Boa noite..

                                    Muito legal bem detalhado ..

                                    porem existem algumas duvidas até pq ja utilizei por muito tempo wpad
                                    quais foram os problemas encontrados no decorrer..

                                    1 parou de funcionar no firefox devido a alguma atualização.

                                    quando eu consegui faze funciona no firefox dava erro no internet….

                                    o seu funciona no firefox e no internet explorer e chrome (apesar no chrome ser espelho do internet)

                                    2 . Infelismente Macs e Celulares como android IOS tinha que fazer algumas configurações mais avançadas para que funcionasse...

                                    Mais estou meio correria pretendo testa suas configs..
                                    Fico no aguardo do seu retorno.

                                    Alguns navegadores tentam capturar proxy.pac e outros wpad.dat. Por isso, criamos links do proxy.pac para não ocorrer nenhum problema.

                                    Realmente para aparelhos mobile, os navegadores vem configurados sem a instrução de buscar por wpad/proxy.pac.

                                    Somente configurando manualmente, ou criando uma VLAN só para celulares com captive portal. Ou ainda, uma segunda instância do squid em modo transparente.

                                    agora mais uma duvida kkkkk

                                    como seria esta soluçao para resolver o problema dos celulares?

                                    Somente configurando manualmente, ou criando uma VLAN só para celulares com captive portal.

                                    Teria como me dar uma explicaçao?

                                    Vlw

                                    Desculpem o meu sumiço, estava com outros projetos, além da faculdade.

                                    Para dispositivos mobiles, eles não aceitam WPAD automaticamente. Você teria que ir em cada aparelho e apontar o ip e porta do seu proxy manualmente. Trabalhoso, não?

                                    Neste caso, uma VLAN com captive portal pode ajudar. Você precisa ter um switch que aceite VLAN e criar uma subnet exclusiva.

                                    Outra opção dentro deste contexto, seria limitar a banda de quem está nessa VLAN, ou cadastrar uma ACL no squid, com limitação de banda.

                                    1 Reply Last reply Reply Quote 0
                                    • B
                                      brunok
                                      last edited by Oct 10, 2017, 5:36 PM

                                      @Cairo:

                                      @marcelloc:

                                      @Cairo:

                                      Porém implantei no cliente e o bloqueio não funcionou corretamente.

                                      As configurações que alterou no dhcp só terão efeito quando a maquina renovar o lease do dhcp

                                      cheguei a dar comando 'ipconfig /release' e 'ipconfig /renew' mas não tinha dado efeito…

                                      Hoje pela manhã fiz um novo servidor, dessa vez com a versão 2.3.3 (e não a 2.3.4 como de costume)  e segui este tutorial aqui e o resultado, inicialmente foi o mesmo = sem a configuração automatica nas 'opções de internet' o PC navegava sem bloqueios.
                                      Porém nesta versão inclui agora regras de LAN para bloquear os PCs da LAN NET para trafegar dados diretamente pela 80 (HTTP) e 443 (HTTPS)... Em princípio pelos testes que fiz agora sim funcionou e os PCS nao navegam se a configuração automática de rede não estiver marcada.

                                      Portanto nos testes que fiz até agora somente o tutorial não deixa 100% funcionando, tive que incluir bloqueios da Lan Net para a 80/443.
                                      Caso alguem puder testar também e o autor do tópico incluir essa instrução, se for o caso, agradeço.

                                      Boa tarde Cairo.

                                      Este cenário eu montei quando a versão release era a 2.3.2. Fiz testes na 2.3.3 e também funcionaram perfeitamente. Não cheguei a validar na 2.3.4x, mas acredito que não tenha tido uma mudança tão significante.

                                      Montarei um lab pra testar, quando sobrar um tempo.

                                      Quanto as regras de firewall, acho que são pertinentes de cada local e do administrador, mas neste caso, posso deixar como dica o bloqueio das portas 80/443.
                                      Vou editar o tópico.  ;)

                                      1 Reply Last reply Reply Quote 0
                                      • M
                                        mbj5
                                        last edited by Oct 10, 2017, 5:55 PM

                                        olá !
                                        segui o tutorial e o ambiente está funcionando quase 100%
                                        a única coisa que não esta ok é a página de erro no internet explorer e edge aparece uma página de erro genérica do browser, me refiro a página de erro para bloqueios HTTP não https, no chrome e no firefox funciona perfeitamente.

                                        se eu colocar o endereço http://192.168.0.1/sgerror.php no internet explorer ou edge ele exibe a página normalmente mas se eu colocar o endereço conforme orientado no tutorial  http://192.168.0.1/sgerror.php?url=302%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u a página não é exibida.

                                        meu cenário é o seguinte: pfSense 2.3.4-release amd64 + squid 0.4.40 + squidguard 1.16.3

                                        alguém passou por isso ? ou tem idéia do que pode ser ?

                                        obrigado !

                                        1 Reply Last reply Reply Quote 0
                                        • B
                                          brunok
                                          last edited by Oct 10, 2017, 6:15 PM

                                          @mbj5:

                                          olá !
                                          segui o tutorial e o ambiente está funcionando quase 100%
                                          a única coisa que não esta ok é a página de erro no internet explorer e edge aparece uma página de erro genérica do browser, me refiro a página de erro para bloqueios HTTP não https, no chrome e no firefox funciona perfeitamente.

                                          se eu colocar o endereço http://192.168.0.1/sgerror.php no internet explorer ou edge ele exibe a página normalmente mas se eu colocar o endereço conforme orientado no tutorial  http://192.168.0.1/sgerror.php?url=302%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u a página não é exibida.

                                          meu cenário é o seguinte: pfSense 2.3.4-release amd64 + squid 0.4.40 + squidguard 1.16.3

                                          alguém passou por isso ? ou tem idéia do que pode ser ?

                                          obrigado !

                                          Eu não lembro deste problema, mas nem uso o IE.  :-X

                                          Faça o seguinte, teste no navegador, esse endereço aqui:

                                          http://192.168.0.1/sgerror.php?&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u

                                          ou

                                          http://192.168.0.1/sgerror.php?url=302&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u

                                          1 Reply Last reply Reply Quote 0
                                          • First post
                                            Last post
                                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.
                                            This community forum collects and processes your personal information.
                                            consent.not_received