[RESOLVIDO] PFSense bloqueando login outlook error (54)
-
Boa noite!!!
Me chamo Luis, sou novo aqui no fórum. Já acompanhava as publicações mas até então não havia publicado.
Tenho enfrentado um problema persistente aqui onde trabalho.
Instalamos e configuramos o pfsense + squid e tudo esta funcionando bem (ou quase tudo).
O squid filtra tanto HTTP como HTTPS (Com certificado instalado), logo, proxy transparente. O nosso problema esta no acesso ao Outlook.
Deixando claro que este é o único site de emails que não conclui o acesso e é o mais importante para nós (trágico).
Agora, porque "não conclui o acesso"? Pelo simples fato de o problema estar na autenticação final, ou seja, o site carrega, é possível preencher o e-mail e senha e ao confirmar as credenciais o e-mail em si não carrega. Apos autenticar aparece a tela de carregamento do Outlook, ela carrega quase até o fim (faltando cerca de 0,5cm para encher), trava nisto e fica por alguns minutos, retornando em seguida:"Erro de Leitura
O sistema retornou: (54) Connection reset by peer."Ja cheguei a liberar as portas: 25, 110, 143, 465, 587, 993, 995,1863 pelo firewall para a rede LAN via aliases e mesmo assim não obtive êxito algum.
Temos urgência no acesso então a solução temporária que consegui foi amarrar o MAC das maquinas essenciais a determinados IPs e ai coloquei estas estações no campo "Bypass Proxy for these Source IPs" e com isso elas conseguem acessar o Outlook sem problema algum, porém, acessam também outros sites, prejudicando no desempenho da rede.
Se alguém souber o que esta acontecendo peço que me deem uma luz. Eu já não sei mais o que fazer.
Já cheguei a desabilitar o squid pra ver se ele era o problema mas ainda assim não deu acesso. O que me fez achar estranho pois se pelo campo do bypass da acesso, presume-se que o problema seja com o squid.Tirando este problema tudo funciona bem. O proxy esta bloqueando o que tem que bloquear e liberando o que tem que liberar. Só precisamos resolver este probleminha para que possamos ter controle de todas as estações novamente.
Agradeço desde já, tenha uma ótima noite.
![Sem título.png](/public/imported_attachments/1/Sem título.png)
![Sem título.png_thumb](/public/imported_attachments/1/Sem título.png_thumb) -
Você já tentou colocar esse endereço no bypass destination no Squid? Poste suas configurações do seu squid em ACLs e do seu squidguard. O acesso está sendo barrado pelo o squid, ou então coloca ele como whitlist
-
Quando voce diz "esse endereço" se refere ao IP do outlook? Pq se for eu ainda não tentei.
Referente a configuração esta bem simples, segue abaixo:
**Allowed Subnets:**172.16.0.0/19
Whitelist:
sp.gov.br
.imprensaoficial.com.br
www.governo.sp.gov.br
www.saopaulo.sp.gov.br
www.portaltributario.com.br
.live.com
.outlook.live.com
.office365.comBlacklist:
.facebook.com
.netflix.com
.proxysite.com
.secureproxysite.com
www.msftncsi.com
162.125.18.133
windowsupdate.com
sexo
putaria
sacanagem
playboy.com.br
playboy.com
sexyhot.com.br
sexyhotplay.com.br
web.whatsapp.com
globoplay
globosatplay
tntgo
foxplay
spacego
cngo
.youtube.com
103.4.96.0/22
129.134.0.0/16
157.240.0.0/16
157.240.0.0/24
157.240.1.0/24
157.240.2.0/24
157.240.3.0/24
157.240.4.0/24
157.240.5.0/24
157.240.6.0/24
157.240.7.0/24
157.240.8.0/24
157.240.9.0/24
173.252.64.0/18
173.252.64.0/19
173.252.70.0/24
173.252.96.0/19
179.60.192.0/22
179.60.192.0/24
179.60.193.0/24
179.60.194.0/24
179.60.195.0/24
185.60.216.0/22
185.60.216.0/24
185.60.217.0/24
185.60.218.0/24
185.60.219.0/24
204.15.20.0/22
31.13.24.0/21
31.13.64.0/18
31.13.64.0/19
31.13.64.0/24
31.13.65.0/24
31.13.66.0/24
31.13.67.0/24
31.13.68.0/24
31.13.69.0/24
31.13.70.0/24
31.13.71.0/24
31.13.72.0/24
31.13.73.0/24
31.13.74.0/24
31.13.75.0/24
31.13.76.0/24
31.13.77.0/24
31.13.78.0/24
31.13.79.0/24
31.13.80.0/24
31.13.81.0/24
31.13.82.0/24
31.13.83.0/24
31.13.84.0/24
31.13.85.0/24
31.13.86.0/24
31.13.87.0/24
31.13.88.0/24
31.13.89.0/24
31.13.90.0/24
31.13.91.0/24
31.13.92.0/24
31.13.93.0/24
31.13.94.0/24
31.13.95.0/24
31.13.96.0/19
45.64.40.0/22
66.220.144.0/20
66.220.144.0/21
66.220.152.0/21
66.220.159.0/24
69.171.224.0/19
69.171.224.0/20
69.171.239.0/24
69.171.240.0/20
69.171.253.0/24
69.171.255.0/24
69.63.176.0/20
69.63.176.0/21
69.63.176.0/24
69.63.178.0/24
69.63.184.0/21
69.63.186.0/24
74.119.76.0/22
216.58.202.14
64.233.190.95
157.240.12.9
40.78.29.78
31.13.85.2
31.13.85.34
64.233.186.95
172.217.29.36
172.217.29.206Block User Agents:
acl audio_video_request req_mime_type -i ^application/x-shockwave-flash$
acl audio_video_request req_mime_type -i ^video/x-ms-asf$
acl audio_video_request req_mime_type -i ^application/vnd.ms.wms-hdr.asfv1$
acl audio_video_request req_mime_type -i ^application/x-mms-framed$
acl audio_video_request req_mime_type -i ^audio/x-pn-realaudio$
acl audio_video_reply rep_mime_type -i ^application/x-shockwave-flash$
acl audio_video_reply rep_mime_type -i ^video/x-ms-asf$
acl audio_video_reply rep_mime_type -i ^application/vnd.ms.wms-hdr.asfv1$
acl audio_video_reply rep_mime_type -i ^application/x-mms-framed$
acl audio_video_reply rep_mime_type -i ^audio/x-pn-realaudio$Os campos ACL SafePorts e ACL SSLPorts estão vazios. Sendo assim, preenchidos apenas com as portas padrões.
ACL SafePorts: Default list: 21 70 80 210 280 443 488 563 591 631 777 901 1025-65535
ACL SSLPorts: Default list: 443 563 -
Tenta criar uma aliases com esses endereços, um para os Range de iP e outro para os Domínio e coloca eles no bypass destination do squid.
-
Desculpe a demora…
Eu coloquei o endereço IP do outlook (13.107.42.11) no bypass destination e eu consegui acessar sem problema.
Aparentemente meu problema foi solucionado eu só gostaria de entender o que aconteceu.
Colocando no bypass eu abro exceção para que este endereço não seja filtrado pelo proxy, certo? Porém, como visto não há regras que barrem este endereço.
Tem alguma ideia do que pode estar impedindo acesso a este endereço? -
Der um thanks no comentário que lhe ajudou. E desculpe não entendi muito bem tua pergunta.
-
É que voce me pediu para publicar as ACLs do squid e nelas esta explicito que não está sendo bloqueado o acesso ao Outlook. Senso assim, eu perguntei se você teria ideia do que poderia ter ocasionado este erro (antes de liberar o acesso pelo bypass).
Outra coisa… Depois de adicionar o outlook no bypass eu reparei que as estações da rede ficaram instáveis. Todas as máquinas fora do bypass apresentam um triangulo amarelo no icone de conexão e algumas chegaram a apresentar um erro no ICAP e vez ou outra da problema com certificado. Sabe o que pode estar ocasionando isto?
-
Você deve ta com o antivirus ativo, der uma olhada nele. Se for o caso desabilite. No caso as outra estações não está pegando IP? para ficar com a exclamação ? Seu certificado é instalado manual ou via AD?
-
Vou verificar o antivirus. No caso das estações…
Elas estão pegando IP e acessando a internet, porém, mesmo com o IP e com acesso o elas ficam com o ponto de exclamação e as vezes ao solicitar alguma pagina da erro no protocolo ICAP. -
O ICAP é do Antivirus do Squid, der uma olhada nele. Qualquer coisa desativa ele e tente fazer a navegação. Em alguns caso já vi ele deixando a navegação até lenta.
-
Certo, desabilitei ele. Vou monitorar a rede volto aqui pra reportar o desempenho. Vlw xD
-
O ICAP é do Antivirus do Squid, der uma olhada nele. Qualquer coisa desativa ele e tente fazer a navegação. Em alguns caso já vi ele deixando a navegação até lenta.
Tive melhoras na rede. Agradeço pela ajuda ;D
-
Der um thanks no comentário que te ajudou e edita o teu primeiro post como resolvido.