Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Problema con HTTPs a través de squid (autenticando por LDAP)

    Español
    4
    5
    764
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      jainalo last edited by

      Buenas, saludos a todos. Soy nuevo en el foro  :)

      Tengo el pfsense configurado como proxy no transparente, también tenía squidguard para filtrar pero de momento lo he desactivado para ir descartando donde está el problema.
      Digamos que tengo configurado Squid y a un determinado rango de IPs le permite navegar sin autenticar. En este caso no se reproduce el problema.

      Sin embargo, si navego por otro rango de IPs, donde Pfsense me obliga a autenticar (en mi caso por LDAP), se da el caso que las webs que utilizan SSL / TLS como por ejemplo los bancos, Pfsense me marca en los logs como TCP_DENIED las URLs donde se llevan a cabo la validación de los certificados SSL.

      Esto sería un ejemplo:

      
      TCP_DENIED/407 	http://ocsp.godaddy.com//MEgwRjBEMEIwQDAJBgUrDgMCGgUABBS2CA1fbGt26xPkOKX4ZguoUjM0TgQUQMK9J47MNIMwojPX%2B2yz8LQsgM4CBwQLTfEGABM%3D 	- 	-
      TCP_DENIED/407 	http://crl.godaddy.com/gdroot-g2.crl 	- 	-
      TCP_DENIED/407 	http://ocsp.godaddy.com//MEIwQDA%2BMDwwOjAJBgUrDgMCGgUABBQdI2%2BOBkuXH93foRUj4a7lAr4rGwQUOpqFBxBnKLbv9r0FQW4gwZTaD94CAQc%3D 	- 	-
      TCP_DENIED/407 	http://crl.godaddy.com/gdroot.crl 	- 	-
      TCP_DENIED/407 	http://ocsp.godaddy.com//MEQwQjBAMD4wPDAJBgUrDgMCGgUABBTkIInKBAzXkF0Qh0pel3lfHJ9GPAQU0sSw0pHUTBFxs2HLPaH%2B3ahq1OMCAxvnFQ%3D%3D
      TCP_DENIED/407 	http://crl4.digicert.com/DigiCertBaltimoreCA-2G2.crl 	- 	-
      TCP_DENIED/407 	http://crl3.digicert.com/DigiCertBaltimoreCA-2G2.crl 	- 	-
      TCP_DENIED/407 	http://ocsp.digicert.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBTuqL92L3tjkN67RNFF%2FEdvT6NEzAQUwBKyKHRoRmfpcCV0GgBFWwZ9XEQCEAtZKGtXipg0DWe9lnl2T%2Bc%3D 	- 	-
      TCP_DENIED/407 	http://crl3.digicert.com/Omniroot2025.crl 	- 	-
      TCP_DENIED/407 	http://ocsp.digicert.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBTBL0V27RVZ7LBduom%2FnYB45SPUEwQU5Z1ZMIJHWMys%2BghUNoZ7OrUETfACEAGC%2BAmOouYmuRo7J4Qfua8%3D 	- 	-
      
      

      Debido a este problema, en el navegador suele mostrar un mensaje de advertencia que da por saco (no sale siempre, pero casi siempre):

      En el caso de internet explorer el mensaje es este:

      
      La información de revocación del certificado de seguridad de este sitio no está disponible ¿ Desea continuar ?
      
      

      Como se puede apreciar arriba, en dichas páginas no me pone el usuario con el que me he validado por LDAP, simplemente me deniega a todo ese tipo de páginas donde se validan los certificados SSL de las páginas web con HTTPS

      No tengo nada en el Blacklist. En el firewall tengo bloqueado el tráfico HTTP/HTTPS, es decir sólo se puede navegar a través del proxy squid.

      Sé que en el navegador se puede deshabilitar que haga dicha comprobación de revocación de certificados pero me gustaría no hacer eso, ya que el problema viene cuando accedo a internet con Squid validando con LDAP.

      ¿ Alguien sabe como solucionar este problema ?
      Si voy añadiendo esas webs en Whitelist el squid no las deniega validando por LDAP, pero me parece una solución chapucera.

      Gracias,
      Un saludo.

      1 Reply Last reply Reply Quote 0
      • R
        RenatoSoft last edited by

        Llegaste a solucionarlo ?, tengo el mismo inconveniente. Revisando foros me dice que actualice la versión del Squid, pero ya tengo actualizado todo el PFSense al 2.4.1.

        1 Reply Last reply Reply Quote 0
        • periko
          periko last edited by

          Hola, muestra la config de squid.

          A que te refieres a otro rango de IP's?

          Saludos.

          Necesitan Soporte de Pfsense en México?/Need Pfsense Support in Mexico?
          www.bajaopensolutions.com
          https://www.facebook.com/BajaOpenSolutions
          Quieres aprender PfSense, visita mi canal de youtube:
          https://www.youtube.com/c/PedroMorenoBOS

          1 Reply Last reply Reply Quote 0
          • J
            jose leonardo marcano last edited by

            Hola,

            saludos, pudieron solucionarlo?

            Tengo el mismo incoveniente en mi caso los clientes se configuran atraves de WPAD, pero se presenta el msimo incoveniente a los que les solicita la autenticacion presentan problemas con las paginas https.

            1 Reply Last reply Reply Quote 0
            • periko
              periko last edited by

              El post original habla de LDAP como autenticador, pero las paginas en el log no presentan las credenciales username/password.
              Muchas veces los navegadores no envian las credenciales de auth y los proxy por ello la bloquea.

              Esos sitios pongalos en lista blanca.

              Y sin config difiil aportar algo ma, saludos.

              Necesitan Soporte de Pfsense en México?/Need Pfsense Support in Mexico?
              www.bajaopensolutions.com
              https://www.facebook.com/BajaOpenSolutions
              Quieres aprender PfSense, visita mi canal de youtube:
              https://www.youtube.com/c/PedroMorenoBOS

              1 Reply Last reply Reply Quote 0
              • First post
                Last post