Squid, адреса в обход прокси

Rarog

pFsense 2.3.5, squid (непрозрачный, авторизация ldap), squidgiard (авторизация ldap), ssl bump не активен. У пользователей pFsense прописан как прокси с портом 3128 и как шлюз.

1. Как пустить адрес\ip в обход squid? Прописать в настройках IE не предлагать, т.к. есть устройства не на windows.

2. Если меняю режим работы на прозрачный прокси, то отваливается авторизация ldap. Авторизацию можно прикрутить?

NegoroX

перечисляй в сквиде через ; на закладке Bypass Proxy for These Source IPs

Rarog

@NegoroX:

перечисляй в сквиде через ; на закладке Bypass Proxy for These Source IPs

Вы хоть читайте что пишу - непрозрачный, вкладка bypass не активна.

werter

Как пустить адрес\ip в обход squid? Прописать в настройках IE не предлагать, т.к. есть устройства не на windows.

Разрешить на ЛАН 80, 443, 53 порты для определенных ip (source).
Убрать в настр. браузеров или чего там есть указание прокси. Очистить кеш браузера.

Rarog

@werter:

Как пустить адрес\ip в обход squid? Прописать в настройках IE не предлагать, т.к. есть устройства не на windows.

Разрешить на ЛАН 80, 443, 53 порты для определенных ip (source).
Убрать в настр. браузеров или чего там есть указание прокси. Очистить кеш браузера.

Вы написали: отключить прокси))

Отключать прокси не нужно. Ответа нет.

MaximKa_Che

Временно соорудил костыль для проблемной машины -

acl AuthIP src 192.168.0.3
http_access allow AuthIP

поставив это правило перед основным:

http_access deny !InetAccess

InetAccess - группа в AD. Вариант Ваш - не прозрачный прокси, LDAP

werter

Доброго.
@Rarog:

Вы написали: отключить прокси))

Перечитайте. Внимательно. Для определенных ip.

Если меняю режим работы на прозрачный прокси, то отваливается авторизация ldap. Авторизацию можно прикрутить?

Да.

Rarog

@werter:

Доброго.
@Rarog:

Вы написали: отключить прокси))

Перечитайте. Внимательно. Для определенных ip.

Если меняю режим работы на прозрачный прокси, то отваливается авторизация ldap. Авторизацию можно прикрутить?

Да.

Не самый удобный способ, когда у тебя много доменных имён (+10000)

Каким образом можно вернуть авторизацию?

Rarog

@MaximKa_Che:

Временно соорудил костыль для проблемной машины -

acl AuthIP src 192.168.0.3
http_access allow AuthIP

поставив это правило перед основным:

http_access deny !InetAccess

InetAccess - группа в AD. Вариант Ваш - не прозрачный прокси, LDAP

Машина будет иметь доступ на все сайты?

MaximKa_Che

@Rarog:

@MaximKa_Che:

Временно соорудил костыль для проблемной машины -

acl AuthIP src 192.168.0.3
http_access allow AuthIP

поставив это правило перед основным:

http_access deny !InetAccess

InetAccess - группа в AD. Вариант Ваш - не прозрачный прокси, LDAP

Машина будет иметь доступ на все сайты?

На ограничения пока не проверял. Меня как раз интересовал обратный процесс: без авторизации по IP не работал cофт без явной поддержки прокси (пресловутый Viber, например).
До сих пор не решил еще одну проблему: мой Mac (хак :) ) обрел проблемы с подключением к icloud - при этом добавление в исключения моей машины ни к чему не приводят. Чистая прозрачная авторизация (Kerio) проблем не создавала.

Rarog

@MaximKa_Che:

На ограничения пока не проверял. Меня как раз интересовал обратный процесс: без авторизации по IP не работал cофт без явной поддержки прокси (пресловутый Viber, например).
До сих пор не решил еще одну проблему: мой Mac (хак :) ) обрел проблемы с подключением к icloud - при этом добавление в исключения моей машины ни к чему не приводят. Чистая прозрачная авторизация (Kerio) проблем не создавала.

Добавлять по ip не удобно. Есть ли способ в прозрачном режиме настроить авторизацию squidguard по учёткам AD ?

werter

Доброго.
@Rarog:

Добавлять по ip не удобно. Есть ли способ в прозрачном режиме настроить авторизацию squidguard по учёткам AD ?

В гугле squid + ldap + pfsense 2.3 2.4.

P.s. https://pf2ad.mundounix.com.br/en/index.html в закладки.

MaximKa_Che

@werter:

P.s. https://pf2ad.mundounix.com.br/en/index.html в закладки.

Хотел картинку вставить, но, похоже, тут нет такой возможности :) - сайт пришлось вручную добавлять в исключения, чтобы открыть:

========
При получении URL https://pf2ad.mundounix.com.br/* произошла следующая ошибка

Не удалось установить безопасное соединение с 212.237.29.146

The system returned:

(92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)

Handshake with SSL server failed: error:14077102:SSL routines:SSL23_GET_SERVER_HELLO:unsupported protocol

========

werter

Хотел картинку вставить, но, похоже, тут нет такой возможности :)

Есть. Это наз-ся Attachments and other options в вашем сообщении.

@MaximKa_Che:

При получении URL https://pf2ad.mundounix.com.br/* произошла следующая ошибка

Не удалось установить безопасное соединение с 212.237.29.146

The system returned:

(92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)

Handshake with SSL server failed: error:14077102:SSL routines:SSL23_GET_SERVER_HELLO:unsupported protocol

========

Проблемы сквида\настроек сквида у вас. Вот эту фразу (92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE) в гугл
С сайтом всё ок.

P.s. https://forum.pfsense.org/index.php?topic=123223.0

https://forum.pfsense.org/index.php?topic=124059.0

For similar crappy sites, you need to set SSL Proxy Compatibility Mode to Intermediate so that TLS v1.0 is enabled.

Т.е. на сайте установлена совместимость с браузерами, к-ые поддерживают только tls v1.0. Ну не отсекать же таких клиентов, право же ::)

![2017-11-16 11_10_51-pf2ad.png](/public/imported_attachments/1/2017-11-16 11_10_51-pf2ad.png)
![2017-11-16 11_10_51-pf2ad.png_thumb](/public/imported_attachments/1/2017-11-16 11_10_51-pf2ad.png_thumb)
![2017-11-16 11_14_11.png](/public/imported_attachments/1/2017-11-16 11_14_11.png)
![2017-11-16 11_14_11.png_thumb](/public/imported_attachments/1/2017-11-16 11_14_11.png_thumb)

Rarog

@werter:

Доброго.
@Rarog:

Добавлять по ip не удобно. Есть ли способ в прозрачном режиме настроить авторизацию squidguard по учёткам AD ?

В гугле squid + ldap + pfsense 2.3 2.4.

P.s. https://pf2ad.mundounix.com.br/en/index.html в закладки.

Установил pf2ad. В непрозрачном режиме авторизация squidguard работает без ввода логина пароля, ураа!!! . В прозрачном не работает.

pf2ad устанавливается на чистый pfsense. На рабочем не запускается служба samba.

MaximKa_Che

@werter:

Хотел картинку вставить, но, похоже, тут нет такой возможности :)

Есть. Это наз-ся Attachments and other options в вашем сообщении.

Меня все-таки пугает излишняя категоричность Ваших формулировок. В режиме Quick reply никаких рюшечек подобного типа нет, а именно в этом режиме я отвечал. Искать спец. кнопку было в тот момент просто некогда.
И снова: "Проблемы сквида\настроек сквида у вас" (С) werter. Почему недонастроенный Squid считается проблемным? ;) Тем не менее, спасибо, это действительно гораздо удобнее, нежели прописывать каждый такой сайт в исключения.

werter

Ув. Максимка. Покажите кнопку Quick reply на этом форуме. Спасибо.

У меня это выглядит так:

![2017-11-16 18_11_24.png](/public/imported_attachments/1/2017-11-16 18_11_24.png)
![2017-11-16 18_11_24.png_thumb](/public/imported_attachments/1/2017-11-16 18_11_24.png_thumb)
![2017-11-16 18_12_13.png](/public/imported_attachments/1/2017-11-16 18_12_13.png)
![2017-11-16 18_12_13.png_thumb](/public/imported_attachments/1/2017-11-16 18_12_13.png_thumb)

MaximKa_Che

Та не вопрос… Унизу однако.

![Снимок экрана 2017-11-16 в 22.19.14.png](/public/imported_attachments/1/Снимок экрана 2017-11-16 в 22.19.14.png)
![Снимок экрана 2017-11-16 в 22.19.14.png_thumb](/public/imported_attachments/1/Снимок экрана 2017-11-16 в 22.19.14.png_thumb)