SSL Squid и неработающий Google



  • Доброго времени суток, господа.

    Задача: проксировать HTTPS-трафик с возможностью контроля и логирования.

    Есть PfSense:
    2.4.1-RELEASE (amd64)
    built on Sun Oct 22 17:26:33 CDT 2017
    FreeBSD 11.1-RELEASE-p2

    Squid (0.4.42) + SquidGuard (1.16.4)

    Настройки Squid:
    Enable Squid Proxy: Yes
    Keep Settings/Data: Yes
    Proxy Interface(s): LAN & Loopback
    Proxy Port: 51137
    Allow Users on Interface: Yes
    Transparent HTTP Proxy: Yes

    HTTPS/SSL Interception: Yes
    SSL/MITM Mode: Splice All (Вариативно)
    SSL Proxy Port: 3129
    SSL Proxy Compatibility Mode: Modern
    DHParams Key Size: 2048 Default
    CA: PfSense_CA
    SSL Certificate Daemon Children: 40 Default
    Remote Cert Checks: Do not verify remote certificates
    Certificate Adapt: None

    Настройки SquidGuard:
    Blacklist: Yes + Влючено всё логирование.

    В такой конфигурации работает всё, кроме google.ru, youtube.com и т.д.
    Ошибка: "ERR_SSL_PROTOCOL_ERROR"

    Остальное работает замечательно и без добавления сертификата PfSense_CA.crt в доверенные корневые центры сертификации у клиента, что меня вполне устраивает.

    При переключении Squid'а в режим "splice whitelist bump otherwise",  google.ru, youtube.com и т.д. начинают работать. Но только после добавления сертификата.

    Хотел обойтись костыльным методом добавления неработающих сайтов в whitelist Squid и SquidGuard, но результат тот же.

    Подскажите, в чем может быть проблема? Куда копать?

    Заранее благодарен всем ответившим :)



  • Доброго.

    Remote Cert Checks: Do not verify remote certificates

    Поиграться с настройками.

    https://forum.pfsense.org/index.php?topic=124059.0

    https://forum.pfsense.org/index.php?topic=139667.0


Log in to reply