[Resolvido] erro consulta cnpj receita



  • Prezados!!

    meu pfsense(2.3.2) nao está fazendo a consulta de cnpj da receita, o endereço (https://www.receita.fazenda.gov.br/pessoajuridica/cnpj/cnpjreva/cnpjreva_solicitacao2.asp) carrega, só a ação é que não funciona, como se fosse um endereço inválido. criei uma regra com tudo liberado e não aparece nenhum bloqueio no log(anexo). Eu tenho um outro gateway com um debian e lá funciona normal. Alguem está passando por este problema?

    desde Já

    Muito Obrigado



  • @gilberto.lps:

    Prezados!!

    meu pfsense(2.3.2) nao está fazendo a consulta de cnpj da receita, o endereço (https://www.receita.fazenda.gov.br/pessoajuridica/cnpj/cnpjreva/cnpjreva_solicitacao2.asp) carrega, só a ação é que não funciona, como se fosse um endereço inválido. criei uma regra com tudo liberado e não aparece nenhum bloqueio no log(anexo). Eu tenho um outro gateway com um debian e lá funciona normal. Alguem está passando por este problema?

    desde Já

    Muito Obrigado

    gilberto.lps
    Eu criei aqui um ALIAS com os endereços abaixo e coloquei no BY Pass do SQUID

    
    161.148.231.100
    216.58.219.142
    66.110.49.34
    38.99.185.103
    173.194.215.95
    173.194.212.93
    66.110.49.22
    38.113.165.110
    173.194.215.95
    

    Abraços



  • você usa proxy?



  • Estou com o mesmo problema, o link para entrar na consulta funciona normalmente, porem quando vou para a pesquisa e o link muda para (https://www.receita.fazenda.gov.br/pessoajuridica/cnpj/cnpjreva/valida.asp) a pagina aparece como se não tivesse recebido nenhum pacote.



  • @KFellipe:

    Estou com o mesmo problema, o link para entrar na consulta funciona normalmente, porem quando vou para a pesquisa e o link muda para (https://www.receita.fazenda.gov.br/pessoajuridica/cnpj/cnpjreva/valida.asp) a pagina aparece como se não tivesse recebido nenhum pacote.

    Qual o seu cenário KFellipe ?



  • Tenho um firewall com regras rígidas, servidor proxy transparente com squidguard ativos e configurados a 5 meses sem nenhum problema, e por ultimo o Snort que configurei a 1 mês, só que essa consulta estava funcionando neste mês que o Snort ficou ativo, e em um dia ela simplesmente não recebe nenhum pacote ou dados do site, mesmo liberando os endereços.



  • KFellipe

    Com excessão do SQUIDGUARD, o seu cenário é o mesmo que o meu.
    Criando o ALIAS e colocando ele no BY PASS, não deu certo? Tente colocar esses endereços em uma ACL personalizada no SQUIDGUARD informando Whitelist.



  • Prezados. obrigado pelo retorno.

    eu testei com squid e sem squid, e nao deu certo, pra minha surpresa no outro dia voltou a funcionar, mas juro para voces que testei nos dois gateways (pfsense e debian) no pfsense nao carregava e no debian td certo. agora nem mesmo a pagina inicial para informar os dados abre.
    coloquei os ips que o ghislenidroid forneceu na whitelist do squid (uso proxy nao transparente) e olha ai o log:

    Date IP Status Address User Destination
    09.03.2017 09:47:49 192.168.1.12 TCP_TUNNEL/200 www.receita.fazenda.gov.br:443 - 161.148.231.100

    porém nao caregou a pagina

    cara, não sei nem por onde começar..



  • @gilberto.lps:

    Prezados. obrigado pelo retorno.

    eu testei com squid e sem squid, e nao deu certo, pra minha surpresa no outro dia voltou a funcionar, mas juro para voces que testei nos dois gateways (pfsense e debian) no pfsense nao carregava e no debian td certo. agora nem mesmo a pagina inicial para informar os dados abre.
    coloquei os ips que o ghislenidroid forneceu na whitelist do squid (uso proxy nao transparente) e olha ai o log:

    Date IP Status Address User Destination
    09.03.2017 09:47:49 192.168.1.12 TCP_TUNNEL/200 www.receita.fazenda.gov.br:443 - 161.148.231.100

    porém nao caregou a pagina

    cara, não sei nem por onde começar..

    Em tempo, uma correção
    Só é necessário o endereço 161.148.231.100, os demais eram do Google ou Kaspersky.

    Quando ele não está no By Pass For These Destination no meu ambiente carrega a mensagem abaixo;

    O seguinte erro foi encontrado ao tentar recuperar a URL: https://161.148.231.100/*

    Falha ao estabelecer uma conexão segura com 161.148.231.100

    The system returned:

    (92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)
    Handshake with SSL server failed: [No Error]

    Este proxy e o host remoto falharam em negociar uma configuração de segurança aceitável entre si para atender sua requisição. É possível que o host remoto não suporte conexões seguras ou que o proxy não está satisfeito com as credenciais de segurança do host.



  • Esta usando proxy transparente para HTTPS?



  • @Reinaldo:

    Esta usando proxy transparente para HTTPS?

    Em meu cenário, sim.



  • Transparente ou não transparente o proxy?



  • eu estou usando proxy nao transparente sem SSL Man In the Middle Filtering, mas tenho a CA criada no pfsense instalada em todas as maquinas, para nao dar aquele erro de segurança no navegador quando acesso o webconfigurator. uma coisa que eu nao fiz, foi testar duas maquinas simultaneamente uma no pfsense e outra no debian, quando o erro voltar a acontecer posto o resultado do teste aqui



  • Boa tarde,

    Alguém conseguiu resolver esse problema?
    Meu cenário é proxy transparente com SquidGuard e pra mim aparece o seguinte erro ao tentar acessar o link https://www.receita.fazenda.gov.br/pessoajuridica/cnpj/cnpjreva/cnpjreva_solicitacao2.asp

    Não é possível acessar esse site

    A conexão foi redefinida.
    Tente:
    Verificar a conexão
    Verificar o proxy e o firewall
    Executar o Diagnóstico de Rede do Windows
    ERR_CONNECTION_RESET



  • @FernandoFaria:

    Boa tarde,

    Alguém conseguiu resolver esse problema?
    Meu cenário é proxy transparente com SquidGuard e pra mim aparece o seguinte erro ao tentar acessar o link https://www.receita.fazenda.gov.br/pessoajuridica/cnpj/cnpjreva/cnpjreva_solicitacao2.asp

    Não é possível acessar esse site

    A conexão foi redefinida.
    Tente:
    Verificar a conexão
    Verificar o proxy e o firewall
    Executar o Diagnóstico de Rede do Windows
    ERR_CONNECTION_RESET

    Utiliza interceptação ssl no modo splice all? O que tu já tentou?



  • @empbilly:

    @FernandoFaria:

    Boa tarde,

    Alguém conseguiu resolver esse problema?
    Meu cenário é proxy transparente com SquidGuard e pra mim aparece o seguinte erro ao tentar acessar o link https://www.receita.fazenda.gov.br/pessoajuridica/cnpj/cnpjreva/cnpjreva_solicitacao2.asp

    Não é possível acessar esse site

    A conexão foi redefinida.
    Tente:
    Verificar a conexão
    Verificar o proxy e o firewall
    Executar o Diagnóstico de Rede do Windows
    ERR_CONNECTION_RESET

    Utiliza interceptação ssl no modo splice all? O que tu já tentou?

    Não uso nenhuma interceptação SSL e acho que já tentei de tudo… rs...

    Já criei um ALIAS com os IPs e inseri uma regra LAN no firewall
    Já coloquei o ALIAS no ByPass do Squid
    Já inclui os IPs na whitelist do SquidGuard

    Não sei mais o que posso tentar pra liberar essa consulta.



  • @FernandoFaria:

    Não sei mais o que posso tentar pra liberar essa consulta.

    • tcpdump na console ouvindo o ip da estação

    • tail -f nos logs do squid.

    • um f12 no navegador do cliente (aba rede) para ver todas as Urls que o site solicita



  • @marcelloc:

    @FernandoFaria:

    Não sei mais o que posso tentar pra liberar essa consulta.

    • tcpdump na console ouvindo o ip da estação

    • tail -f nos logs do squid.

    • um f12 no navegador do cliente (aba rede) para ver todas as Urls que o site solicita

    Consegui realizar a liberação completa do endereço realizando este processo citado pelo marcelloc, alterando simplesmente o Alias de IPs do site da receita federal que eu utilizava para um Alias com a URL do site retirada da inspeção de elemento (f12), não consegui entender o porque disto, pois o IP da URL é o mesmo que estava no primeiro Alias, porem, deu certo.

    ![Inspeção de Elemento consultar CNPJ.JPG](/public/imported_attachments/1/Inspeção de Elemento consultar CNPJ.JPG)
    ![Inspeção de Elemento consultar CNPJ.JPG_thumb](/public/imported_attachments/1/Inspeção de Elemento consultar CNPJ.JPG_thumb)



  • Caros.

    Estou com exatamente o mesmo problema desse tópico. Fazer com que o a conexão passe direto não é problema, mas isso não é uma boa solução para mim. Gostaria de uma solução para fazer a página funcionar, passando pelo squid.

    Ainda preciso investigar melhor os pacotes com tcpdump, mas poxa, não faz sentido algum o acesso ficar intermitente quando é feito pelo Squid. Pior ainda sabendo que ocorre apenas com esse site.



  • @Diego:

    Caros.

    Estou com exatamente o mesmo problema desse tópico. Fazer com que o a conexão passe direto não é problema, mas isso não é uma boa solução para mim. Gostaria de uma solução para fazer a página funcionar, passando pelo squid.

    Ainda preciso investigar melhor os pacotes com tcpdump, mas poxa, não faz sentido algum o acesso ficar intermitente quando é feito pelo Squid. Pior ainda sabendo que ocorre apenas com esse site.

    Infelizmente alguns sites não funcionam via proxy, uns por limitações da framework utilizada outros por péssimos hábitos ou erros de programação.



  • É bem triste saber disso. Mas será que não dá para contornar isso de alguma maneira? Saberia me citar alguns problemas comuns de programação que podem atrapalhar a vida do Squid, só para clarear um pouco minha mente?

    Se eu contornar o squid, o acesso ao site da Receita ocorre muito bem (meu teste prático é abrir umas 20 abas simultaneamente e ver quantas dão timeout). Quando contorno o squid (pelo Outbond NAT), nenhuma aba dá timeout. Mas quando uso o squid, mesmo que faça always_direct, a grande maioria das abas acabam em timeout.

    Vi em um site por aí que o site da Receita estaria fazendo uma requisição interna incorreta, para um IP local 10.x.x.x (https://www.vivaolinux.com.br/topico/Squid-Iptables/Site-receita-federal-x-squid). No entanto, não visualizei nenhum acesso estranho no Wireshark. Como o post é antigo, suponho que a Receita já tenha resolvido esse problema.

    Amanhã vou investigar melhor esse problema. Não tentei ainda desativar o cache para ver se melhora algo. Meus próximos passos serão:

    • Desativar o cache;
    • Analisar a diferença dos tcpdump/Wireshark entre acesso via NAT e acesso via Proxy;
    • Configurar uma Squid-Box de teste a partir dos fontes (só para saber se é alguma coisa relacionada à versão do Squid no pfSense);
    • Fazer simpatia/pacto com o capeta/sei lá…

    Mas aceito dicas...

    Se nada der certo, minha última saída vai ser alterar o PAC (Proxy Auto Config) para dizer ao browser para acessar os sites terminados em .gov.br diretamente. Mas queria esgotar outras opções antes. ;/



  • @Diego:

    É bem triste saber disso. Mas será que não dá para contornar isso de alguma maneira? Saberia me citar alguns problemas comuns de programação que podem atrapalhar a vida do Squid, só para clarear um pouco minha mente?

    um dos últimos que vi fou um site que usava a porta 80 com métodos de porta segura, então no logo do squid no lugar de um GET, aparecia um CONNECT

    @Diego:

    Se nada der certo, minha última saída vai ser alterar o PAC (Proxy Auto Config) para dizer ao browser para acessar os sites terminados em .gov.br diretamente. Mas queria esgotar outras opções antes. ;/

    Vou cadastrando um a um destes casos no wpad. Esse é um dos motivos da utilização de script de configuração automática.



  • Não sei se ajuda mas estou fora do pais e ao acessar o link da erro de certificado e estou acessando de um modem comum diretamente.



  • @Diego:

    É bem triste saber disso. Mas será que não dá para contornar isso de alguma maneira? Saberia me citar alguns problemas comuns de programação que podem atrapalhar a vida do Squid, só para clarear um pouco minha mente?

    Se eu contornar o squid, o acesso ao site da Receita ocorre muito bem (meu teste prático é abrir umas 20 abas simultaneamente e ver quantas dão timeout). Quando contorno o squid (pelo Outbond NAT), nenhuma aba dá timeout. Mas quando uso o squid, mesmo que faça always_direct, a grande maioria das abas acabam em timeout.

    Vi em um site por aí que o site da Receita estaria fazendo uma requisição interna incorreta, para um IP local 10.x.x.x (https://www.vivaolinux.com.br/topico/Squid-Iptables/Site-receita-federal-x-squid). No entanto, não visualizei nenhum acesso estranho no Wireshark. Como o post é antigo, suponho que a Receita já tenha resolvido esse problema.

    Amanhã vou investigar melhor esse problema. Não tentei ainda desativar o cache para ver se melhora algo. Meus próximos passos serão:

    • Desativar o cache;
    • Analisar a diferença dos tcpdump/Wireshark entre acesso via NAT e acesso via Proxy;
    • Configurar uma Squid-Box de teste a partir dos fontes (só para saber se é alguma coisa relacionada à versão do Squid no pfSense);
    • Fazer simpatia/pacto com o capeta/sei lá…

    Mas aceito dicas...

    Se nada der certo, minha última saída vai ser alterar o PAC (Proxy Auto Config) para dizer ao browser para acessar os sites terminados em .gov.br diretamente. Mas queria esgotar outras opções antes. ;/

    Olá Diego, estava com o mesmo problema em outro site e consegui resolver da seguinte maneira. Descubra o IP do site em questão, depois no PfSense vá em Firewall > Alias e adicione o IP do tipo URL(IPs), somente isso já resolveu, tente e veja se te ajuda.



  • @dglinux:

    Olá Diego, estava com o mesmo problema em outro site e consegui resolver da seguinte maneira. Descubra o IP do site em questão, depois no PfSense vá em Firewall > Alias e adicione o IP do tipo URL(IPs), somente isso já resolveu, tente e veja se te ajuda.

    O problema não é resolver. Contornar é relativamente fácil.

    A questão é entender porque isso acontece. Eu não quero ter que criar uma exceção para cada site, porque isso é serviço de corno (perdoem o termo). Na pior das hipóteses, eu libero todo o TLD .gov.br. Mas ainda quero esgotar as alternativas antes de fazer isso.

    No entanto, não tive tempo para analisar isso nos últimos dias. Desde então, os usuários estão trabalhando sem proxy (liberei o acesso via NAT).



  • Proxy transparente + interceptação SSL + SPLICE ALL + BYPASS DST

    também não funciona…

    Alguma sugestão?



  • Boa Tarde Valcenir,

    sugiro não utilizar proxy transparente, pois alem de não filtrar as requisições https enfretarás dificuldade para configuração do seu ambiente para Proxy e/ou Firewall.

    vc pode usar proxy com wpad (WebProxy AutoDiscovery) que dá no mesmo que utilizar proxy transparente :)

    O meu apresentou hj problema de conectividade na consulta, segui as orientações que o @marcelloc postou e descobri um novo endereço que tava sendo negado pelo Firewall. daí foi só atualizar o aliases da receita que funcionou de boas.

    PS: Agora por qual motivo houve a mudança, não sabemos! :(



  • amigos sabem me informar como criar regras para não passar pelo squid sim controlar somente nas regras das rules


Log in to reply