Pacote não oficial E2guardian v5 para software pfsense®

marcelloc

@willian_wcg:

https://download.anydesk.com/AnyDesk.exe

já  coloquei esse link no exception de site list, url list e extension list marquei com '#' a linha da extensão .exe.. Mesmo assim não consegui baixar.

alguma sugestão?

Sim, coloque os ips/ faixa de rede do anydesk no bypass proxy for these source ips. A ferramente provavelmente testa o certificado gerado ou usa um protocolo não HTTP na porta 443.

willian_wcg

@marcelloc:

@willian_wcg:

https://download.anydesk.com/AnyDesk.exe

já  coloquei esse link no exception de site list, url list e extension list marquei com '#' a linha da extensão .exe.. Mesmo assim não consegui baixar.

alguma sugestão?

Sim, coloque os ips/ faixa de rede do anydesk no bypass proxy for these source ips. A ferramente provavelmente testa o certificado gerado ou usa um protocolo não HTTP na porta 443.

Opa Marcello, deu certo cara.. abri um packet monitor e tentei abrir o anydesk, gerou os logs de IP:porta q tentou acessar.. Aí foi só liberar.. vlw.

diogenescorrea

marcelloc cara, sinceramente ótimo trabalho. Tens algum link para contribuição $$$ ?
Uma pergunta. Estou rodando em produção e2 + sarg a alguns dias. O sarg le o access.log do e2guardian correto? e criar sua propria estrutura de log. Estou correto?
Notei que meu arquivo access.log do e2 ja esta com quase 1gb. Isso tem como limitar?
Seria algo relacionado ao log file rotation?

Obrigado

marcelloc

@diogenescorrea:

marcelloc cara, sinceramente ótimo trabalho. Tens algum link para contribuição $$$ ?

Tem sim. Na minha assinatura. Da uma olhada também nos meus videos do youtube, tem muita coisa boa lá.

@diogenescorrea:

Notei que meu arquivo access.log do e2 ja esta com quase 1gb. Isso tem como limitar?
Seria algo relacionado ao log file rotation?

Exatamente. Define o rotate dos logs no e2guardian.

diogenescorrea

Não sei se alguem ja reportou esse bug. Observei em 2 ambientes diferentes.
Um computador navegando em um site http normal, 100%. Do nada quando clica em um item do site da HTTP ERROR 502. site nao abre. da um F5 no navegador e ele abre.
É bem aleatório, em vários sites etc.

marcelloc

@diogenescorrea said in Pacote não oficial E2guardian v5 para software pfsense:

Não sei se alguem ja reportou esse bug. Observei em 2 ambientes diferentes.
Um computador navegando em um site http normal, 100%. Do nada quando clica em um item do site da HTTP ERROR 502. site nao abre. da um F5 no navegador e ele abre.
É bem aleatório, em vários sites etc.

Subi para o repositorio hoje o binario com as últimas atualizações. uma delas trata do connect em conexões https.
Veja se esta atualização reduz a ocorrência dos 502.

diogenescorrea

@marcelloc Fiz a atualização. Aparentemente não deu mais o erro 502.
Outro bug que encontrei não sei ao certo se é bem um bug. Algumas paginas quando digita no navegador da erro 408. se eu digitar https na frente a pagina abre. Isso acontece só atras do e2guardian. Segue site que testei em 2 ambientes e deu a mesma coisa: sc.olx.com.br
É como se tivesse um erro de redirecionamento em algumas paginas quando estão atras do e2.
Obrigado.

richard.kxorroloko

Olá galera, alguém tem uma solução para utilizar Anydesk? Utilizo E2guardian com bloqueio por IP, já tentei com bypass, aliases, nada, não consigo usar o Anydesk...

antonyzub

@marcelloc Boa tarde, preciso fazer um proxy autenticado, preciso usar outra ferramenta em conjunto com o E2guardian? Qual ferramenta voce me recomendaria? Penso em fazer autenticando com o Capitivel Portal.

marcelloc

@antonyzub said in Pacote não oficial E2guardian v5 para software pfsense:

@marcelloc Boa tarde, preciso fazer um proxy autenticado, preciso usar outra ferramenta em conjunto com o E2guardian? Qual ferramenta voce me recomendaria? Penso em fazer autenticando com o Capitivel Portal.

Nativo no pfsense, se não for usar só a autenticação por ip, você vai precisar configurar o squid como parent do e2guardian. Não nativo, você pode usar o UserAuth, kerberos, ntlm, wmi, etc...

antonyzub

@marcelloc said in Pacote não oficial E2guardian v5 para software pfsense:

@antonyzub said in Pacote não oficial E2guardian v5 para software pfsense:

@marcelloc Boa tarde, preciso fazer um proxy autenticado, preciso usar outra ferramenta em conjunto com o E2guardian? Qual ferramenta voce me recomendaria? Penso em fazer autenticando com o Capitivel Portal.

Nativo no pfsense, se não for usar só a autenticação por ip, você vai precisar configurar o squid como parent do e2guardian. Não nativo, você pode usar o UserAuth, kerberos, ntlm, wmi, etc...

Já tentei configurar o squid + e2 autenticado com o capitivel portal + freeradius, mas tenho muitos problemas com o trafego SSL, gmail por exemplo não abre. Das ferramentas não nativas do PfSense, qual me recomendaria?

diogenescorrea

Bom dia pessoal. Fiz um grupo no e2guardian que é tudo bloqueado, só libera exceções. Algm tem uma lista do que precisa para liberar whatsapp apenas, e os celulares tentam se conectar em algum endereço pra ver se tem internet, senão ele acusa que wifi nao funciona e desconecta. Iphone, android etc. Algm ja fez isso?

marcelloc

Infelizmente whatsapp é uma da aplicações que você tem que passar por fora do firewall. O protocolo que eles usam ou a validação de certificado da aplicação não funciona quando o trafego está passando por proxy.

A lista de ips do whatsapp antes era liberada para qualquer um baixar, mas agora é restrita a operadoras de telecom.

Da uma pesquisada no forum, tem alguns tópicos com a ultima lista de ips disponível mais algumas atualizações.

lotus

Boa noite Marcelloc, em primeiro lugar quero lhe parabenizar mais uma vez pela incrível ferramenta.

Vou descrever meus cenário como esta funcionando hoje como forma de feedback:

Estou utilizando pfsense 2.4 (com a ultima atualização), e2guardian em modo transparente com interceptação por SSL, certificado configurado nas estações e a navegação toda usando o certificado apontado no E2g, bloqueios sendo realizados:

• HTTP/HTTPS;
• Youtube;
• Facebook liberado (a pedido da direção) mas com bloqueio de vídeo so imagens e texto;
• Whatsapp funcionando total;
• Phraser list habilitada funcionando perfeitamente;

Divisão da rede ficou da seguinte forma:

• Ips estáticos para desktops e notebooks da direção;
• Ips dinâmicos para wifi;

Sendo que os ips estáticos usam interceptação e os ips dinâmicos não usam interceptação mas fazem bloqueios normalmente (não da pra instalar certificado).
Pagina de erro personalizado, Sarg instalado e capturando todo log do E2g.

Estou migrando aos poucos de acordo com o tempo que consigo parar os clientes final de semana para a implementação. Até o presente momento não me deparei com erro algum e tambem quero informar que o consumo de hardware esta tranquilo sem consumo exagerado, tudo dentro do normal.

um abraço a todos.

br_rodsan

Existe algum procedimento especial para usar o E2guardian V5 com grupos do AD, tentei via Ldap mais não tive êxito.

lotus

@br_rodsan tenta com pf2ad + squid e veja se funciona. Se funcionar voce redireciona o trafego do squid para o e2guardian.

br_rodsan

Boa tarde,
Pessoal vi que na configuração do E2guardian tem a guia Users, mas não consegui fazer funcionar usando usuário local.
Só consegui fazer usando por IP

Alguém pode me ajudar?

Eu nem consegui fazer aparecer a tela de autenticação no navegador para o Usuário usando o E2Guardian.

Eu não queria usar o Squid, apenas o E2guardian

marcelloc

@br_rodsan said in Pacote não oficial E2guardian v5 para software pfsense:

Existe algum procedimento especial para usar o E2guardian V5 com grupos do AD, tentei via Ldap mais não tive êxito.

A opção de ldap do e2guardian é para puxar os usuários dos grupos. Maa a autenticação ntlm ainda é por conta do squid

MarcosARP

Pessoal, existe como criar um grupo de IP's que não passem pelo E2G, no Squid eu conseguia fácil, mas como estou começando a mexer no E2G não consegui encontrar uma maneira de fazer essa configuração.

marcelloc

@marcosarp , o campo é o mesmo pRa o bypass source ip.