Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Resolvido Squid liberando apenas https

    Portuguese
    3
    42
    2495
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • R
      roberto.gualberto last edited by

      Boa tarde, bem não sei o que aconteceu apos realizar um update na versão do squid 0.4.36_* para 0.4.36_3, simplesmente não aceita conexões http, apenas https.

      O sistema retornou: (61) Connection refused

      No log de erro aparece TCP_MISS/503 em todos os sites http

      Alguém ja passou por isso?

      1 Reply Last reply Reply Quote 0
      • marcelloc
        marcelloc last edited by

        Olha o cache.log do squid ou um restart no processo.

        Treinamentos de Elite: http://sys-squad.com

        Help a community developer! ;D

        1 Reply Last reply Reply Quote 0
        • R
          roberto.gualberto last edited by

          @marcelloc:

          Olha o cache.log do squid ou um restart no processo.

          Já fiz isso, porem o erro continua.

          1 Reply Last reply Reply Quote 0
          • R
            roberto.gualberto last edited by

            Esqueci de mencionar que este pfsense esta em um lab virtualizado com VMWARE e possui apenas uma interface de rede, ate semana passada funcionada normalmente, depois de atualizar a versão do squid que apresentou esse erro.

            1 Reply Last reply Reply Quote 0
            • marcelloc
              marcelloc last edited by

              Já tentou desinstalar e instalar novamente?

              Treinamentos de Elite: http://sys-squad.com

              Help a community developer! ;D

              1 Reply Last reply Reply Quote 0
              • R
                roberto.gualberto last edited by

                @marcelloc:

                Já tentou desinstalar e instalar novamente?

                Sim, até mesmo atualizei a versão do pfsense.

                1 Reply Last reply Reply Quote 0
                • danilosv.03
                  danilosv.03 last edited by

                  Manda print de suas configurações.


                  :)
                  |E-mail: danilosv.03@gmail.com
                  |Skype: danilosv.03


                  1 Reply Last reply Reply Quote 0
                  • R
                    roberto.gualberto last edited by

                    @danilosv.03:

                    Manda print de suas configurações.

                    alguma configuração em especial?

                    1 Reply Last reply Reply Quote 0
                    • R
                      roberto.gualberto last edited by

                      Segue alguns prints

                      ![Screenshot at 2017-06-28 14:31:51.png](/public/imported_attachments/1/Screenshot at 2017-06-28 14:31:51.png)
                      ![Screenshot at 2017-06-28 14:31:51.png_thumb](/public/imported_attachments/1/Screenshot at 2017-06-28 14:31:51.png_thumb)
                      ![Screenshot at 2017-06-28 14:33:23.png](/public/imported_attachments/1/Screenshot at 2017-06-28 14:33:23.png)
                      ![Screenshot at 2017-06-28 14:33:23.png_thumb](/public/imported_attachments/1/Screenshot at 2017-06-28 14:33:23.png_thumb)
                      ![Screenshot at 2017-06-28 14:38:02.png](/public/imported_attachments/1/Screenshot at 2017-06-28 14:38:02.png)
                      ![Screenshot at 2017-06-28 14:38:02.png_thumb](/public/imported_attachments/1/Screenshot at 2017-06-28 14:38:02.png_thumb)

                      1 Reply Last reply Reply Quote 0
                      • danilosv.03
                        danilosv.03 last edited by

                        Cadê o resto?


                        :)
                        |E-mail: danilosv.03@gmail.com
                        |Skype: danilosv.03


                        1 Reply Last reply Reply Quote 0
                        • R
                          roberto.gualberto last edited by

                          @danilosv.03:

                          Cadê o resto?

                          Qual configuração você quer ver?

                          1 Reply Last reply Reply Quote 0
                          • danilosv.03
                            danilosv.03 last edited by

                            O resto das configurações do squid - General


                            :)
                            |E-mail: danilosv.03@gmail.com
                            |Skype: danilosv.03


                            1 Reply Last reply Reply Quote 0
                            • marcelloc
                              marcelloc last edited by

                              Tem alguma regra na aba floating rules?

                              Aparece algum erro com o comando squid -k parse?

                              Treinamentos de Elite: http://sys-squad.com

                              Help a community developer! ;D

                              1 Reply Last reply Reply Quote 0
                              • R
                                roberto.gualberto last edited by

                                @marcelloc:

                                Tem alguma regra na aba floating rules?

                                Aparece algum erro com o comando squid -k parse?

                                Não possui regra nesta aba, ele está liso, sem configurações de ACLs etc.

                                Resultado do squid -k parser

                                squid -k parse


                                1 Reply Last reply Reply Quote 0
                                • R
                                  roberto.gualberto last edited by

                                  @danilosv.03:

                                  O resto das configurações do squid - General

                                  Segue print da aba general




                                  1 Reply Last reply Reply Quote 0
                                  • R
                                    roberto.gualberto last edited by

                                    Alguma dica pessoal?

                                    1 Reply Last reply Reply Quote 0
                                    • marcelloc
                                      marcelloc last edited by

                                      @roberto.gualberto:

                                      Resultado do squid -k parser

                                      Nenhum erro ou alerta.

                                      Se o access.log e o cache.log não geram nenhum erro, alerta ou aviso. Não sei como ajudar. Regras e squid aparentemente estão ok.

                                      Já tentou monitorar com o tcpdump  pra ver se o squid está tentando conexão com os servidores na porta 80?

                                      Treinamentos de Elite: http://sys-squad.com

                                      Help a community developer! ;D

                                      1 Reply Last reply Reply Quote 0
                                      • danilosv.03
                                        danilosv.03 last edited by

                                        Acredito que só fazendo um teste para ajudar em alguma coisa.


                                        :)
                                        |E-mail: danilosv.03@gmail.com
                                        |Skype: danilosv.03


                                        1 Reply Last reply Reply Quote 0
                                        • R
                                          roberto.gualberto last edited by

                                          Obrigado pelo retorno, fiz uma nova instalação com a versão mais nova 2.3.4 squid 0.4.37 e o mesmo problema acontece. Sera que não é mais possivel ter apenas uma interface rede no pfsense? Obs: O pfsense consegue acessar a internet, consegue instalar componentes etc. Porem bloqueia http, deixando apenas https trafegar.

                                          1 Reply Last reply Reply Quote 0
                                          • marcelloc
                                            marcelloc last edited by

                                            @roberto.gualberto:

                                            Obrigado pelo retorno, fiz uma nova instalação com a versão mais nova 2.3.4 squid 0.4.37 e o mesmo problema acontece. Sera que não é mais possivel ter apenas uma interface rede no pfsense? Obs: O pfsense consegue acessar a internet, consegue instalar componentes etc. Porem bloqueia http, deixando apenas https trafegar.

                                            Eu tenho servidores com uma única interface de rede funcionando.

                                            Treinamentos de Elite: http://sys-squad.com

                                            Help a community developer! ;D

                                            1 Reply Last reply Reply Quote 0
                                            • R
                                              roberto.gualberto last edited by

                                              @marcelloc:

                                              @roberto.gualberto:

                                              Obrigado pelo retorno, fiz uma nova instalação com a versão mais nova 2.3.4 squid 0.4.37 e o mesmo problema acontece. Sera que não é mais possivel ter apenas uma interface rede no pfsense? Obs: O pfsense consegue acessar a internet, consegue instalar componentes etc. Porem bloqueia http, deixando apenas https trafegar.

                                              Eu tenho servidores com uma única interface de rede funcionando.

                                              O meu também sempre funcionou, mas não sei o que ocorreu na atualização do squid que esta bloqueando http.

                                              1 Reply Last reply Reply Quote 0
                                              • danilosv.03
                                                danilosv.03 last edited by

                                                Faça o seguinte.
                                                Desinstale e instale o pacote novamente e faça as configurações do zero.


                                                :)
                                                |E-mail: danilosv.03@gmail.com
                                                |Skype: danilosv.03


                                                1 Reply Last reply Reply Quote 0
                                                • R
                                                  roberto.gualberto last edited by

                                                  @danilosv.03:

                                                  Faça o seguinte.
                                                  Desinstale e instale o pacote novamente e faça as configurações do zero.

                                                  Já fiz, até mesmo fiz uma nova instalação do pfsense.

                                                  1 Reply Last reply Reply Quote 0
                                                  • danilosv.03
                                                    danilosv.03 last edited by

                                                    Acredito que isso seja configuração então.


                                                    :)
                                                    |E-mail: danilosv.03@gmail.com
                                                    |Skype: danilosv.03


                                                    1 Reply Last reply Reply Quote 0
                                                    • R
                                                      roberto.gualberto last edited by

                                                      @danilosv.03:

                                                      Acredito que isso seja configuração então.

                                                      Acho estranho ele so negar http, sendo que estava funcionando na versão anterior do squid.

                                                      Que tipo de configuração você acha que pode barrar http e liberar https?

                                                      ![Screenshot at 2017-06-29 13:43:08.png](/public/imported_attachments/1/Screenshot at 2017-06-29 13:43:08.png)
                                                      ![Screenshot at 2017-06-29 13:43:08.png_thumb](/public/imported_attachments/1/Screenshot at 2017-06-29 13:43:08.png_thumb)

                                                      1 Reply Last reply Reply Quote 0
                                                      • danilosv.03
                                                        danilosv.03 last edited by

                                                        Cara, me chama no skype.


                                                        :)
                                                        |E-mail: danilosv.03@gmail.com
                                                        |Skype: danilosv.03


                                                        1 Reply Last reply Reply Quote 0
                                                        • R
                                                          roberto.gualberto last edited by

                                                          @danilosv.03:

                                                          Cara, me chama no skype.

                                                          Ok, verificando no console de desenvolvedor do Firefox achei essas informações.

                                                          ![Screenshot at 2017-06-29 13:53:16.png](/public/imported_attachments/1/Screenshot at 2017-06-29 13:53:16.png)
                                                          ![Screenshot at 2017-06-29 13:53:16.png_thumb](/public/imported_attachments/1/Screenshot at 2017-06-29 13:53:16.png_thumb)

                                                          1 Reply Last reply Reply Quote 0
                                                          • marcelloc
                                                            marcelloc last edited by

                                                            @roberto.gualberto:

                                                            Ok, verificando no console de desenvolvedor do Firefox achei essas informações.

                                                            Por mais improvável que possa parecer, tenta configurar o campo visible host name no squid com alguma informação da empresa ou aleatória.

                                                            e monitora também pelo tcpdump se o squid está conseguindo enviar pacotes na porta 80 para a sua wan.

                                                            Treinamentos de Elite: http://sys-squad.com

                                                            Help a community developer! ;D

                                                            1 Reply Last reply Reply Quote 0
                                                            • R
                                                              roberto.gualberto last edited by

                                                              @marcelloc:

                                                              @roberto.gualberto:

                                                              Ok, verificando no console de desenvolvedor do Firefox achei essas informações.

                                                              Por mais improvável que possa parecer, tenta configurar o campo visible host name no squid com alguma informação da empresa ou aleatória.

                                                              e monitora também pelo tcpdump se o squid está conseguindo enviar pacotes na porta 80 para a sua wan.

                                                              Boa noite, fiz a modificao, mesmo assim o problema continua. Fiz o tcpdump e aparentemente esta ok

                                                              Talvez se alguem fizer um lab com essas novas versoes podemos conseguir entender o erro.

                                                              ![Captura de tela de 2017-06-29 20-02-22.png](/public/imported_attachments/1/Captura de tela de 2017-06-29 20-02-22.png)
                                                              ![Captura de tela de 2017-06-29 20-02-22.png_thumb](/public/imported_attachments/1/Captura de tela de 2017-06-29 20-02-22.png_thumb)
                                                              ![Captura de tela de 2017-06-29 20-04-25.png](/public/imported_attachments/1/Captura de tela de 2017-06-29 20-04-25.png)
                                                              ![Captura de tela de 2017-06-29 20-04-25.png_thumb](/public/imported_attachments/1/Captura de tela de 2017-06-29 20-04-25.png_thumb)

                                                              1 Reply Last reply Reply Quote 0
                                                              • marcelloc
                                                                marcelloc last edited by

                                                                O tcpdump não está normal. Tem um monte de tentativa de conexão e um reject no final.

                                                                Treinamentos de Elite: http://sys-squad.com

                                                                Help a community developer! ;D

                                                                1 Reply Last reply Reply Quote 0
                                                                • R
                                                                  roberto.gualberto last edited by

                                                                  @marcelloc:

                                                                  O tcpdump não está normal. Tem um monte de tentativa de conexão e um reject no final.

                                                                  Realmente… qual seria um possivel erro?

                                                                  1 Reply Last reply Reply Quote 0
                                                                  • R
                                                                    roberto.gualberto last edited by

                                                                    Opa, bom dia. Acho que encontrei uma possivel causa, mas gostaria de uma ajuda da comunidade.

                                                                    Fiz uma instalação em nossa DMZ, diretamente de "cara pra internet" e funcionou 100%, então me passaram que esse pfsense que esta dando o erro na verdade esta saindo por um outro pfsense "Pai". Minha duvida. Sera que o porta 80 esta dando bloqueio por causa que o Pfsense (Pai) ja esta utilizando tal porta?

                                                                    1 Reply Last reply Reply Quote 0
                                                                    • marcelloc
                                                                      marcelloc last edited by

                                                                      Mostra o dump para quem administra o pfSense da borda.

                                                                      Treinamentos de Elite: http://sys-squad.com

                                                                      Help a community developer! ;D

                                                                      1 Reply Last reply Reply Quote 0
                                                                      • R
                                                                        roberto.gualberto last edited by

                                                                        Bem o cara foi embora, não tem outra pessoa, mas temos alguns squid instalados diretamente do debian e funcina perfeitamente saindo pelo pfsense de borda.

                                                                        1 Reply Last reply Reply Quote 0
                                                                        • marcelloc
                                                                          marcelloc last edited by

                                                                          @roberto.gualberto:

                                                                          Bem o cara foi embora, não tem outra pessoa, mas temos alguns squid instalados diretamente do debian e funcina perfeitamente saindo pelo pfsense de borda.

                                                                          Coloca o ip do seu pfSense na mesma regra/alias que esses debians

                                                                          Treinamentos de Elite: http://sys-squad.com

                                                                          Help a community developer! ;D

                                                                          1 Reply Last reply Reply Quote 0
                                                                          • R
                                                                            roberto.gualberto last edited by

                                                                            @marcelloc:

                                                                            @roberto.gualberto:

                                                                            Bem o cara foi embora, não tem outra pessoa, mas temos alguns squid instalados diretamente do debian e funcina perfeitamente saindo pelo pfsense de borda.

                                                                            Coloca o ip do seu pfSense na mesma regra/alias que esses debians

                                                                            Já está, já tentei ate apontar o pfsense com problemas saindo por um servidor squid Debian e o mesmo erro ocorre. Já não sei mais o que fazer.

                                                                            1 Reply Last reply Reply Quote 0
                                                                            • marcelloc
                                                                              marcelloc last edited by

                                                                              @roberto.gualberto:

                                                                              @marcelloc:

                                                                              @roberto.gualberto:

                                                                              Bem o cara foi embora, não tem outra pessoa, mas temos alguns squid instalados diretamente do debian e funcina perfeitamente saindo pelo pfsense de borda.

                                                                              Coloca o ip do seu pfSense na mesma regra/alias que esses debians

                                                                              Já está, já tentei ate apontar o pfsense com problemas saindo por um servidor squid Debian e o mesmo erro ocorre. Já não sei mais o que fazer.

                                                                              Se o Debian não for Gateway, vai dar o mesmo problema.

                                                                              O tcpdump mostra claramente que o pacote sai do proxy para o firewall e como a 443 conecta, seu problema é claramente regra no fw da ponta.

                                                                              Repete os tcpdumps ouvindo na lan e na wan, cada um em uma console pra você ver em tempo real o tráfego.

                                                                              Treinamentos de Elite: http://sys-squad.com

                                                                              Help a community developer! ;D

                                                                              1 Reply Last reply Reply Quote 0
                                                                              • R
                                                                                roberto.gualberto last edited by

                                                                                Desculpa se estiver falando besteira, mas fiz alguns teste.

                                                                                Fui na opcao de Proxy suporte e configurei o IP de um proxy que temos na rede 10.78.4.98
                                                                                Entao acessei o proxy 10.78.4.98 e fiquei verificando o log do squid filtrando o ip do pfsense que tem apenas uma interface ip 10.78.4.189
                                                                                Ex: tail -f /var/log/squid/access.log | grep 10.78.4.189
                                                                                E nao aparece nada.
                                                                                Entao acessei o pfsense via terminal e dei um tail -f no access.log do squid e a saida nao esta apontando para o 10.78.4.98 e sim diretamente para os ip dos sites acessados.

                                                                                So aparece no log do squid 10.78.4.98 os dados acessados pelo proprio pfsense, exemplo quando ele baixa algum complemento.

                                                                                Ai ficou a pergunta, porque ele nao esta roteando?

                                                                                ![Captura de tela de 2017-07-01 17-14-29.png](/public/imported_attachments/1/Captura de tela de 2017-07-01 17-14-29.png)
                                                                                ![Captura de tela de 2017-07-01 17-14-29.png_thumb](/public/imported_attachments/1/Captura de tela de 2017-07-01 17-14-29.png_thumb)
                                                                                ![Captura de tela de 2017-07-01 17-13-38.png](/public/imported_attachments/1/Captura de tela de 2017-07-01 17-13-38.png)
                                                                                ![Captura de tela de 2017-07-01 17-13-38.png_thumb](/public/imported_attachments/1/Captura de tela de 2017-07-01 17-13-38.png_thumb)
                                                                                ![Captura de tela de 2017-07-01 17-14-09.png](/public/imported_attachments/1/Captura de tela de 2017-07-01 17-14-09.png)
                                                                                ![Captura de tela de 2017-07-01 17-14-09.png_thumb](/public/imported_attachments/1/Captura de tela de 2017-07-01 17-14-09.png_thumb)
                                                                                ![Captura de tela de 2017-07-01 17-15-28.png](/public/imported_attachments/1/Captura de tela de 2017-07-01 17-15-28.png)
                                                                                ![Captura de tela de 2017-07-01 17-15-28.png_thumb](/public/imported_attachments/1/Captura de tela de 2017-07-01 17-15-28.png_thumb)

                                                                                1 Reply Last reply Reply Quote 0
                                                                                • R
                                                                                  roberto.gualberto last edited by

                                                                                  Continuando… no squid do pfsense nao tem a opcao de cache_peer? Seria possivel inserir manualmente essa regra na conf do squid do pfsense?

                                                                                  1 Reply Last reply Reply Quote 0
                                                                                  • R
                                                                                    roberto.gualberto last edited by

                                                                                    Muito obrigado a todos. Foi resolvido, acontece que não sei porque o remote cache estava vazio. E esse pfsense deveria apontar para "parent".

                                                                                    1 Reply Last reply Reply Quote 0
                                                                                    • First post
                                                                                      Last post