Pacote não oficial E2guardian v5 para software pfsense®
-
Olá Pessoal,
Instalei o e2guardian + Squid (uso integração com AD por NTLM e Kerberos) sem problemas.
Venho testando durante toda a semana e pude perceber alguns detalhes (Feedback) os quais descrevo abaixo:- O e2guardian sozinho funciona "perfeitamente" - NOTA 10 - Só não dá pra fazer autenticação NTLM/Kerberos apenas com ele stand-alone.
- Usei uma blacklist proprietária (mas que segue o padrão da shalla) - Funcionou perfeitamente. Minha BL é bem maior que a Shalla e não tive problema algum de performance. Tudo OK.
- A integração SQUID //E2guardian é bem "difícil" - Tentei diversas configurações diferentes, mas nenhuma funcionou a contento. Tentei Squid na frente, E2Guardian na frente e nada.
Com o Squid na frente (por que preciso da autenticação), o E2guardian não filtra HTTPS - Talvez pq o squid não esteja "redirecionando" o tráfego HTTPS para o e2guardian?! Os Sites HTTP são bloqueados (às vezes) - parece não estar estável por alguma razão que ainda não descobri.
Com o e2guardian na frente, a Autenticação não funciona (creio ser obvio) - Faltou um tutorial de configuração para o modelo SQUID+E2Guardian+ Autenticação.
- Procurei documentação na Internet e não pude encontrar quase nada. Mesmo a documentação do antigo DansGuardian é bastante limitada.
Eu estou tomando nota de todos os detalhes de configuração deste modelo SQUID+e2guardian+Autenticação NTLM para postar no futuro e ajudar aos que usam (ou pretendem usar) este mesmo modelo.
Caso alguém tenha conhecimento das configurações neste modelo, peço que compartilhe algumas ideias.
Cordialmente,
Fabricio. -
UPDATE: ** FUNCIONANDO 100%**
Pessoal, depois de bater cabeça aqui, descobri uma comida de bola da minha parte.
Havia um erro de configuração entre o SQUID e o E2Guardian.- A maioria dos tutoriais pede que você configure o e2guardian na interface LAN/Loopback e o Squid no Loopback apenas.
Acontece que se os pacotes da LAN, que vão entrar pelo e2guardian, entram pela interface LAN, estes devem sair também pela Interface LAN quando vc configurar a opção de PROXY PARENT, portanto não funciona.
Há duas formas de se fazer funcionar:
1- Configure o Proxy PArent para integrar com o SQUID no IP da própria LAN (Aqui o problema é que o SQUID fica visivel para a rede LAN, dando a possibilidade de um usuário com algum conhecimento, fazer by-pass do e2guardian)
2- Coloque tanto o E2guardian quanto o SQUID apenas na Interface Loopback e crie uma regra de NAT para os pacotes que chegam na Interface LAN do firewall (apenas porta 8080) para a Interface Loopback.
Há também que se habilitar a opção "ForwardedFor" no E2Guardian, e Desabilitá-la no SQuid (deixe em OFF)
Pronto, problema resolvido.
Vou escrever um tutorial com todos estes detalhes, caso alguém tenha a mesma configuração. (E2Guardian+Squid+SSO NTLM com "Proxy Não Transparente")Cordialmente,
Fabricio. - A maioria dos tutoriais pede que você configure o e2guardian na interface LAN/Loopback e o Squid no Loopback apenas.
-
UPDATE 2: ** CRONTAB LDAP Search / RESTART de SERVIÇO
Olá pessoal,
Notei que a crontab, apesar de ter recebido os comandos do e2guardian, não consegue rodar automaticamente, sendo assim, não carrega os usuários novos no(s) grupo(s)
Peguei o mesmo comando e rodei na mão via shell e ele funciona, todavia ele não aplica/restarta os serviço do e2guardian, causando algumas vezes um erro "interessante": Ele acaba por tentar duplicar o serviço do e2guardian (Vê-se uma mensagem de erro nos logs, dizendo que a porta 8080 já está em uso e que não pode subir outra instãncia do e2guardian) - Claro, o serviço está no ar e a porta está uso pelo próprio e2guardian.
Para resolver isso, não basta tentar parar ou restartar o serviço via GUI do pfSense. você precisa matar (kill) o processo que está rodando (veja ps -axu), em seguida reinicia o serviço. Ai ele volta a funcionar já com os grupos atualizados.
Eu criei um novo script e coloquei manualmente na crontab para rodar o comando php que popula os usuários dos grupos com sucesso. Não sei ainda se o problema com o script original é de permissão, ou se por conta de estar rodando embaixo da crontab, não tem o PATH necessário.
Estou tentando....Abraço,
Fabricio. -
@tomaswaldow Não chegou nada de atualização para a última versão do e2Guardian. Como fazer a atualização com segurança?
-
@jean-carlos alguem com este mesmo problema, ainda não consegui resolver.
-
@chinaina Boa noite pessoal. Estive recentemente com o mesmo problema em relação ao anydesk. Eu conseguia me conectar de outro host na minha máquina, mas o inverso não tinha exito. Então fiz várias pesquisas e estou compartilhando aqui com todos o que eu fiz, para poder funcionar. Atualmente minha configuração do pfsense é E2Guardian, com proxy transparente e SSL. As regras de Firewall para as portas 443 e 80 estão bloqueadas. Criei uma regra no Aliases de porta para 6568 e 7070, adicionei esse Aliases nas regras do firewall permitindo. Na opção source coloquei como Lan Net, em destino adicionei meu Aliases em portas. Depois fui na opção do E2Guardian em ACLs e adicionei em Exception "*.net.anydesk.com" (sem as aspas). Feito esses procedimentos aqui na minha máquina de teste funcionou normalmente. O proxy está ativado e o anydesk está funcionando normalmente. Consigo acessar outro host externo e o inverso também funciona.
Pessoal se alguém tiver alguma outra forma de efetuar este procedimento seria bom deixar os comentários para que outros possam analisar e estudar cada caso. Se alguém tiver algum comentário por gentileza deixe aqui para podermos aprendermos mais e mais com nossas experiências. Agradeço a todos daqui do fórum que me ajudaram e sempre me ajudam. Espero poder retribuir da mesma forma.
-
@marcelocaetano não chegou porque foi atualizado somente o binário e não o pacote do pfSense, pode atualizar com: pkg install e2guardian
-
Boa tarde, alguém conseguiu fazer o e2guardian funcionar com load balance?
-
@fabricioguzzy said in Pacote não oficial E2guardian v5 para software pfsense:
UPDATE: ** FUNCIONANDO 100%**
Pessoal, depois de bater cabeça aqui, descobri uma comida de bola da minha parte.
Havia um erro de configuração entre o SQUID e o E2Guardian.- A maioria dos tutoriais pede que você configure o e2guardian na interface LAN/Loopback e o Squid no Loopback apenas.
Acontece que se os pacotes da LAN, que vão entrar pelo e2guardian, entram pela interface LAN, estes devem sair também pela Interface LAN quando vc configurar a opção de PROXY PARENT, portanto não funciona.
Há duas formas de se fazer funcionar:
1- Configure o Proxy PArent para integrar com o SQUID no IP da própria LAN (Aqui o problema é que o SQUID fica visivel para a rede LAN, dando a possibilidade de um usuário com algum conhecimento, fazer by-pass do e2guardian)
2- Coloque tanto o E2guardian quanto o SQUID apenas na Interface Loopback e crie uma regra de NAT para os pacotes que chegam na Interface LAN do firewall (apenas porta 8080) para a Interface Loopback.
Há também que se habilitar a opção "ForwardedFor" no E2Guardian, e Desabilitá-la no SQuid (deixe em OFF)
Pronto, problema resolvido.
Vou escrever um tutorial com todos estes detalhes, caso alguém tenha a mesma configuração. (E2Guardian+Squid+SSO NTLM com "Proxy Não Transparente")Cordialmente,
Fabricio.The documentation about ntlm settings would be very useful
when you can publish.
thanks. - A maioria dos tutoriais pede que você configure o e2guardian na interface LAN/Loopback e o Squid no Loopback apenas.
-
Como faço para autenticar o E2guardian de forma que não apareça tela para login e senha?
Tenho um AD com mais de 1000 usuários. -
@digaovaa Existe alguma forma de autenticar p E2guardian de forma que não apareça tela de login e senha no navegador??
Instalei o Userauth e pede integração wmi.
Pode dar uma ajuda neste probleminha? -
@leite-leite Infelizmente não coloquei ele em funcionamento dessa forma, porém acredito que para autenticação transparente precise do UserAuth ou do pf2ad (não sei se ainda tem suporte e se funciona na versão mais nova do pfsense). Acredito, então, que não consiga te ajudar muito mais do que dar essas duas dicas. O @marcelloc deve saber te explicar melhor. Abraço e boa sorte
-
@leite-leite só com UserAuth;
-
@leite-leite Userauth gratuito é para 8 usuarios, se comprou licença pede suporte;
-
bom dia Apos reiniciar não funciona mais internet, so funciona si colocar proxy no navegador.
-
@edils0n-lima crie uma regra na LAN, com destino para o pfSense, portas TCP/8080, TCP/8081
-
@digaovaa Pois estou neste dilema. Tenho um ambiente complexo e preciso desta autenticação para definir as regras por grupos.
-
@marcelloc Como faço para autenticar o E2guardian de forma transparente sem usar o userauth?
-
@leite-leite voce tem que configurar o squid para fazer essa autenticação para o e2guardian.
-
Buenas @leite-leite!
O UserAuth tem um manual de administrador bem vasto (acho que umas 70 páginas) abordando a instalação e configuração de todas as principais features do pacote: https://conexti.com.br/man-userauth
Na página do pacote, também há vídeos mostrando como fazer todas as principais integrações, bem como, vídeo hands-on mostrando como configurar o E2Guardian de forma básica e rápida: https://conexti.com.br/userauth
;-)
Abraços!
Jack