Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [RESOLVIDO]Problemas ao acessar serviços do google com proxy autenticado

    Scheduled Pinned Locked Moved Portuguese
    20 Posts 7 Posters 4.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • R
      rafaelpessoa
      last edited by

      Bom dia,

      tem duas semanas que implementei o pfsense na empresa que trabalho utilizando o squid proxy junto com squidguard  com o HTTPS/SSL Interception habilitado, autenticando em um servidor AD e com regras por grupo.

      Até ontem estava tudo uma maravilha, mas hoje vários serviços do google não estão funcionando como deveriam e aqui utilizamos Google Apps então isso é um baita problema  :(

      Ao analisar o realtime do squid percebi que várias requisições para endereços do google estão tendo o erro TAG_NONE/503 e o mais estranho é que no destino está aparecendo um endereçvo IPV6, e dês do dia da implementação eu não tinha visto isso acontecer(em anexo um print).

      Os serviços principais como o buscador e email estão acessando normalmente porem o hangouts e drive não entram(em anexo tela de erro).

      Já limpei todo o cache tanto do cliente quanto do disco do servidor, e mesmo assim o erro continua.

      Nos logs do firewall eu não consigo identificar essa requisição ipv6, então não sei se ele está bloqueando alguma coisa

      Alguem já passou por algo parecido?

      ![2017-01-19 (1).png](/public/imported_attachments/1/2017-01-19 (1).png)
      ![2017-01-19 (1).png_thumb](/public/imported_attachments/1/2017-01-19 (1).png_thumb)
      ![2017-01-19 (2).png](/public/imported_attachments/1/2017-01-19 (2).png)
      ![2017-01-19 (2).png_thumb](/public/imported_attachments/1/2017-01-19 (2).png_thumb)

      1 Reply Last reply Reply Quote 0
      • danilosv.03D
        danilosv.03
        last edited by

        Isso é simples de resolver.
        Pegue todos os ranger e domínios da Google, cria uma aliases e coloque o nome dessa aliases no Bypass Proxy for These Destination IPs do seu squid. Fazendo isso  todos os serviços da Google irá voltar a funcionar.


        :)
        |E-mail: danilosv.03@gmail.com
        |Skype: danilosv.03


        1 Reply Last reply Reply Quote 0
        • R
          rafaelpessoa
          last edited by

          mas o bypass não é só para proxy transparente?

          1 Reply Last reply Reply Quote 0
          • S
            Sorriso
            last edited by

            Você não está utilizando proxy transparente? Então porquê  o HTTPS/SSL Interception está habilitado? Está opção é exclusivamente para quem utiliza proxy transparente.

            
            Note: Transparent mode will filter SSL (port 443) if you enable man-in-the-middle options below.
            In order to proxy both HTTP and HTTPS protocols without intercepting SSL connections, configure WPAD/PAC options on your DNS/DHCP servers.
            
            
            1 Reply Last reply Reply Quote 0
            • danilosv.03D
              danilosv.03
              last edited by

              @Sorriso:

              Você não está utilizando proxy transparente? Então porquê  o HTTPS/SSL Interception está habilitado? Está opção é exclusivamente para quem utiliza proxy transparente.

              
              Note: Transparent mode will filter SSL (port 443) if you enable man-in-the-middle options below.
              In order to proxy both HTTP and HTTPS protocols without intercepting SSL connections, configure WPAD/PAC options on your DNS/DHCP servers.
              
              

              Exatamente.


              :)
              |E-mail: danilosv.03@gmail.com
              |Skype: danilosv.03


              1 Reply Last reply Reply Quote 0
              • R
                rafaelpessoa
                last edited by

                Mas porque dessa opção ser exclusiva para o uso com proxy transparente?

                Sei que para o proxy transparente funcionar com o https obrigatoriamente essa opção tem que estar marcada se não todos https vão passar direto, mas mesmo no autenticado essa opção é válida para poder fazer cache de sites https e também utilizar o safesearch do google ou eu estou enganado a respeito disso?

                E sobre o erro achei algumas dicas no fórum gringo sobre o erro poder ser no DNS, estou fazendo os testes agora e caso dê certo eu aviso

                1 Reply Last reply Reply Quote 0
                • C
                  charadasu
                  last edited by

                  boa tarde!

                  Eu uso autenticação local, e não uso HTTPS/SSL Interception por tive muitos problemas achei melhor desativar, mais tenta pegar esse dominio ai do google e colocar no Whitelist pra ver se passa , se usar squidguard cria uma Target categories coloca os domínios liberados e da allow neles, também pode tentar criar aliases com todos os ips e liberar no firewal, mais ainda acho que o problema ai seria essa HTTPS/SSL Interception boa sorte..

                  1 Reply Last reply Reply Quote 0
                  • R
                    rafaelpessoa
                    last edited by

                    Obrigado pela ajuda de todos, foram muito importantes para a resolução do problema.

                    Como eu tinha dito antes o problema estava no meu DNS, eu estava utilizando o DNS resolver e ao reconfigurar o sistema para utilizar o Forwarder o problema foi resolvido.

                    Ps. o meu HTTPS/SSL Interception está funcionando redondinho com minhas regras do Squid guard, apenas alguns sites de banco que eu tive que colocar na whitelist do squid para fazer funcionar, mas tirando isso tá uma maravilha. Principalmente a questão do safesearch pois no firewall antigo que eu usava tinham alguns usuários que aproveitavam o site do google liberado para pesquisar pornografica e ficar vendo apenas as imagens(já que não conseguiam entrar no site) e era muito complicado de controlar.

                    Mais uma vês obrigado a todos por terem dedicado um pouco do tempo para me ajudar.

                    1 Reply Last reply Reply Quote 0
                    • danilosv.03D
                      danilosv.03
                      last edited by

                      Tira um print da sua configuração DNS Forwarder para quando tiver alguém com o mesmo problema, ele já saber o que fazer.


                      :)
                      |E-mail: danilosv.03@gmail.com
                      |Skype: danilosv.03


                      1 Reply Last reply Reply Quote 0
                      • R
                        rafaelpessoa
                        last edited by

                        Segue anexo as configurações de DNS que eu utilizei.

                        Eu não sei marcar o tópico como resolvido  ;D

                        dns.png
                        dns.png_thumb

                        1 Reply Last reply Reply Quote 1
                        • danilosv.03D
                          danilosv.03
                          last edited by

                          é só você editar o seu primeiro post.


                          :)
                          |E-mail: danilosv.03@gmail.com
                          |Skype: danilosv.03


                          1 Reply Last reply Reply Quote 0
                          • R
                            rafaelpessoa
                            last edited by

                            Mais uma vês obrigado pela ajuda de todos

                            1 Reply Last reply Reply Quote 0
                            • T
                              terainfo
                              last edited by

                              Rafael tudo bem?

                              Cara, até hoje não consegui fazer funcionar direito o proxy ssl transparente..sites aleatorios como google e outros ficam inacessiveis sem nenhuma explicação.. ja mexi em tudo e não consegui resolver.. sempre acabo tendo que voltar pro proxy manual ..

                              Você tem certeza que esses sites https estão estaveis? ninguem reclama que hora acessa, hora não determinados sites https?

                              Poderia me mostrar suas configurações de proxy?

                              abs

                              1 Reply Last reply Reply Quote 0
                              • danilosv.03D
                                danilosv.03
                                last edited by

                                @terainfo:

                                Rafael tudo bem?

                                Cara, até hoje não consegui fazer funcionar direito o proxy ssl transparente..sites aleatorios como google e outros ficam inacessiveis sem nenhuma explicação.. ja mexi em tudo e não consegui resolver.. sempre acabo tendo que voltar pro proxy manual ..

                                Você tem certeza que esses sites https estão estaveis? ninguem reclama que hora acessa, hora não determinados sites https?

                                Poderia me mostrar suas configurações de proxy?

                                abs

                                Com certeza seu problema está em suas configurações ou falta de conhecimento na ferramenta de uso.


                                :)
                                |E-mail: danilosv.03@gmail.com
                                |Skype: danilosv.03


                                1 Reply Last reply Reply Quote 0
                                • T
                                  terainfo
                                  last edited by

                                  @danilosv.03:

                                  @terainfo:

                                  Rafael tudo bem?

                                  Cara, até hoje não consegui fazer funcionar direito o proxy ssl transparente..sites aleatorios como google e outros ficam inacessiveis sem nenhuma explicação.. ja mexi em tudo e não consegui resolver.. sempre acabo tendo que voltar pro proxy manual ..

                                  Você tem certeza que esses sites https estão estaveis? ninguem reclama que hora acessa, hora não determinados sites https?

                                  Poderia me mostrar suas configurações de proxy?

                                  abs

                                  Com certeza seu problema está em suas configurações ou falta de conhecimento na ferramenta de uso.

                                  Não me diga!! e porque você não tenta contribuir ao invés de achar… óbvio que estudei o que pude nas documentações antes de postar meu comentario

                                  1 Reply Last reply Reply Quote 1
                                  • danilosv.03D
                                    danilosv.03
                                    last edited by

                                    Não quero entrar em discórdia aqui amigo. Ainda assim acredito que você esteja fazendo errado sim, seguindo receita de bolo etc. Me dê um acesso que resolvo isso pra você.


                                    :)
                                    |E-mail: danilosv.03@gmail.com
                                    |Skype: danilosv.03


                                    1 Reply Last reply Reply Quote 0
                                    • T
                                      terainfo
                                      last edited by

                                      Não me leva a mau, agradeço sua vontade mas não posso conceder acesso a um servidor em produção para um desconhecido.. se puder ajudar de outra maneira lhe agradeço..

                                      1 Reply Last reply Reply Quote 0
                                      • marcellocM
                                        marcelloc
                                        last edited by

                                        @Sorriso:

                                        Você não está utilizando proxy transparente? Então porquê  o HTTPS/SSL Interception está habilitado? Está opção é exclusivamente para quem utiliza proxy transparente.

                                        A interceptação de SSL não é exclusiva do modo transparente. Ela funciona nos dois modos.

                                        Treinamentos de Elite: http://sys-squad.com

                                        Help a community developer! ;D

                                        1 Reply Last reply Reply Quote 0
                                        • danilosv.03D
                                          danilosv.03
                                          last edited by

                                          @terainfo:

                                          Não me leva a mau, agradeço sua vontade mas não posso conceder acesso a um servidor em produção para um desconhecido.. se puder ajudar de outra maneira lhe agradeço..

                                          No caso recomendo você rever suas configurações. Dê uma pesquisada aqui no forum, já ajudei bastante gente sobre esse seu problema.


                                          :)
                                          |E-mail: danilosv.03@gmail.com
                                          |Skype: danilosv.03


                                          R 1 Reply Last reply Reply Quote 0
                                          • R
                                            rogeriomaia @danilosv.03
                                            last edited by rogeriomaia

                                            @danilosv-03 entrando nesse topico ja que poucos ou ninguém responde uns que ja postei e vi que vc sempre tenta ajudar, me tira uma duvida, trabalho em uma empresa onde uso hoje o endian, mas estou migrando para o pfsense porem estou com um grande problema configurar para acesso por grupo, pois como você deve saber em ambientes corporativos alguns tem que acessar determinados sites que outros não podem, o problema é que eu não quero usar proxy autenticado pois da muito problemas com as ferramentas que hoje utilizamos para reuniões remotas como google meet entre outras, sem contar com as sincronizações com googledrive do pc dropbox , então se eu usar o proxy transparente nesses aplicativos funcionam perfeito, porém para bloqueios por grupo e liberações so terei a opção das acls no squid proxy serve usando black list e colocando os ips que não quero que sejam filtrados pela regra no Unrestricted IPs, vi que vc tem bom conhecimento na ferramenta , então você teria alguma dica para me ajudar , temos um cenario que usamos mais de 300 computadores em rede. com proxy autenticado eu ja conseguir fazer tudo porem como falei as plataformas de reuniões on-line não funcionam bem como tb googledrive dropbox entre outros , msm fazendo todo tipo de liberação que a ferramenta fornece.

                                            1 Reply Last reply Reply Quote 1
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.