[Resolvido] Squid + OpenVPN

silvioxbrain · May 23, 2017, 2:43 PM

Boa tarde a todos,

Desculpe se postei em lugar errado, na verdade é o meu primeiro tópico.

Tenho dois pfSense sendo um matriz e filial, ambos tenho uma VPN(OpenVPN) configurada. Na filial precisei implantar proxy autenticado(por IP), até ai tudo bem, acontece que no host que esta setado com o proxy, quando tento acessar um serviço local que esta na matriz, ele não acessa. Aonde estou errando?

No log do Squid aparece isso:
192.168.1.116 TCP_MISS_ABORTED/000 http://192.168.2.26/ - 192.168.2.26
192.168.1.116 TCP_MISS/503 http://192.168.2.26/ - 192.168.2.26

Informações adicionais:
1 - Além do squid tenho o squidGuard e blacklist, por enquanto não tenho regras de bloqueio de IP ou Sites.
2 - Quando falo serviço local, quero dizer por exemplo um servidor Dokuwiki
3 - Posso postar qualquer informação que ajude

danilosv.03 · May 16, 2017, 7:26 PM

Ta meio confuso na verdade. Pois as configurações para analisarmos. Os dois pfsense é estão interligados? Via Site-to-site?

silvioxbrain · May 16, 2017, 7:41 PM

Boa tarde Danilo,

Obrigado por responder.

Sim, os dois pfSense estão conectados com uma VPN (site-to-ste). Sendo o pfSense da matriz como o server openvpn, e o pfSense da filial, sendo como cliente openvpn.

Desculpe se não ficou muito claro, posso dar mais detalhes.

danilosv.03 · May 16, 2017, 7:57 PM

Agora ficou show. As faixa de IP são distintas ? Na configuração padrão que tem em rules tá tudo liberado para ambas se comunicarem ?

silvioxbrain · May 16, 2017, 8:06 PM

Sim, as faixas de IPs são distintas. A Matriz corresponde a faixa 2.0/24 e a Filial corresponde a 1.0/24.

As configurações em rules está liberado para tudo. Inclusive quando eu tiro o host do proxy, eu acesso normal os serviço local que esta na matriz.

Por exemplo, Em um Host qualquer que esta na rede 1.0/24, eu seto as configuração do proxy, quando tento acessar por exemplo 192.168.2.26 que seria um serviço de Wiki Web (Dokuwiki), apresenta o erro, (TCP_MISS_ABORTED/000); agora sem o proxy, acesso normalmente.

Proxy, não estou usando autenticação por usuario, inicialmente apenas por IP.

danilosv.03 · May 16, 2017, 8:08 PM

Tu usa proxy não transparente né? Tu tentou colocar como whitelist esse endereço que tu está querendo acessar?

silvioxbrain · May 16, 2017, 9:28 PM

Antes eu usava proxy transparente.

Eu desativei o SquidGuard, e coloquie no whitelist o IP 192.168.2.26, mas sem sucesso.

marcelloc · May 17, 2017, 2:17 AM

Coloca na exceção de proxy das estações para não utilizar proxy para endereços locais. Passar esse tráfego pela vpn além de gerar lentidão, está acrescentando um ponto de falha desnecessário para acesso a recursos locais.

silvioxbrain · May 17, 2017, 11:25 AM

Bom dia a Todos,

Marcelloc, obrigado por responder.

Ao meu ver e isso que preciso, ou seja, que o trafego da VPN não passe pelo proxy, essa configuração eu não consigo fazer no próprio Firewall? dispensando assim as configurações manuais nas estações?

marcelloc · May 17, 2017, 12:38 PM

Via wpad ou gpo você consegue.

silvioxbrain · May 17, 2017, 1:24 PM

Então Marcelloc,

Nessa rede eu não tenho gpo, as estações são todas linux. Mas achei interessate o recurso de WPad, vou pesquisar sobre.

Obrigado

silvioxbrain · May 23, 2017, 2:42 PM

Bom dia a Todos,

@marcelloc:

Via wpad ou gpo você consegue.

Obrigado Marcelloc, montei o cenário em ambiente de homologação, e com PAC + WPAD funcionou perfeitamente, agora só estou tendo que realizar uns ajustes de DNS, mas caso dúvidas, abro outro tópico.