Error con HTTPs a través de squid (autenticando por LDAP AD)



  • Buenas Tarde estimados saludos,

    tengo configurado pfsense 2.4 con squid + autenticacíon con AD, y todo funciona bien con excepción de algunas paginas con https que me da error con los certificados y no las carga adjunto envió imagen para mostrar el error…

    pensé podría ser un tema de que la configuración se colocaba a través de wpad, pero la coloque de forma manual y el inconveniente igual se presenta. solo carga la pagina de forma adecuada si se quita la autenticacion.

    Agradecería me podrían ayudar con este problema o indicarme alguna manera de decirle a squid que no haga autenticacion a las paginas con inconvenientes que se están tratando de visitar..

    Saludos
    ![error https.jpg](/public/imported_attachments/1/error https.jpg)
    ![error https.jpg_thumb](/public/imported_attachments/1/error https.jpg_thumb)



  • Hola Paisano.

    Es raro, Banco de Venezuela  y no es proxy transparente por que autenticas. ummmmmm.

    Sin proxy abre? es decir con salida directa a internet?

    De todos los bancos del estado, el único que me ha dado rollo y lo he tenido que bypasear, es Banco del Tesoro. No se por que, debe ser algo de seguridad en sus servidores o equipos UTM,  que cuando la conexión es a travez de un proxy no llega, pero es solo al portal web.  A banca en linea, si abre.

    Saludos.



  • los autentico porque atraves de la autenticacion le indico a los usuarios segun su grupo en AD a que paginas pueden visitar.

    con el proxy si abre la pagina, el problema viene cuando le colocas al squid para que autentique a los usuarios..

    Si hay alguna forma de hacer que esa pagina no pase por la auteticacion o algun otra manera de resolver el problema se los agradeceria..

    Saludos



  • La única forma (cuando es proxy no transparente)  para que el acceso a esa pagina sea directa sin proxy es:

    1. crear un alias llamado banco  y su contenido son las ip publicas destino. Por lo que deberás hacer ping o nslookup a los nombres dns de las url.

    2. Crear el acceso a nivel LAN (regla firewall)  para que la red de usuarios con destino al Alias banco,  sea PASS.

    3. En los navegadores de los usuarios, debes agregar las url en la sección:  no usar proxy para…  ej:  .bancodevenezuela.com  .banvenez.com  etc,  dependiendo del navegador, ya que algunos usan  *.

    Saludos.



  • Ya realice este procedimiento e igual sigue sin descargarme los certificados de forma correcta..

    solo los descarga de forma correcta cuando desactivo la autenticacion de squid y en este caso no es beneficioso para mi desactivar la autenticacion.. necesito una forma de poder decirle al squid que no realice autenticacion para esas paginas en especifico..



  • Cuando dices:  necesito una forma de poder decirle al squid que no realice autenticacion para esas paginas en especifico..

    1. Entonces debes crear las ACL de forma manual en la pestaña General opcion > Avanzado,  Ya que recuerda que pfsense a nivel web no cubre al 100% todas las opciones del squid. Por lo que tienes ese espacio para agregar las acl de forma manual.

    2. Adicional (solo si usas squidguard) debes tener una lista blanca en el squidguard para que la habilites  en el common acl,  ya que sino squid te deja pasar, pero squidguard no.

    PD: con los pelos en la mano, si en tu navegador colocas la excepción  a  .bancodevenezuela.com ,  mi hermano ya la navegación es directa sin proxy para esa url, solo debes darle permiso a nivel de firewall (cisco-asa, fortinet, pfsense, etc) para que te permita salir a dicho destino.

    Saludos.