E2guardian5 kurulumu,squid entegrasyonu,SSL Man in the middle filtering ayarları
-
Sahte SSL(PfSense üzerinde bizim oluşturduklarımız) ile basit herhangi bir çözümü yok. Gerçek SSL kullanırsanız, sorunsuz kullanıyorsunuz.
Sahte SSL ile buradaki şekilde çözebilirsiniz ancak.
-
@plusbil yanıtınız için teşekkürler. Gönderdiğiniz bağlantıyı inceledim. "...birden fazla proxy ve port kullandıkları için, bağlantı aralıklarında bu adresler de sürekli güncellenecek ve değişecektir. " yanıtını vermişsiniz. Whatsapp içinde Anydesk'te olduğu gibi değişkenlik söz konusu mu? Ek olarak Whatsapp için böyle bir işlemden sonra Whatsapp üzerindeki trafiğe müdahele edemeyip dolayısıyla takibini de yapamıyoruz değil mi ?
Gerçek SSL kullanma durumunda SSL entegrasyonu pfsense'e nasıl yapılacak biraz kurcaladım ama kafamı karıştırdı. Buradaki gibi bir sertifika bu işi görür mü ?
-
AnyDesk ne kadar değişkendir bilmiyorum ama Whatsapp tam bir facia.
Aslında geçmişte güvenlik duvarları için whatsapp düzenli olarak proxy listesini yayınlıyormuş ama sonradan bu listeleme işine son vermiş. Bunun sebebinin, CDN sistemlerinin yaygınlaşması nedeniyle proxy takip etmenin zorlaşması olduğunu okumuştum bir yerde. Son olarak 2015'te yayınladığı bir proxy listesi bulmuştum. Günümüz itibarıyla güncel olmamakla beraber, toplam 352 adres vardı listede.! Bunun hangileri Türkiye'ye hizmet ediyor, o da ayrı bir muamma.
Ben şu an, ne zaman takılma görür yahut duyarsam, proxy tespiti ile adresi bypass listesine ekleyerek devam ediyorum. Çünkü zamanında gerçek sertifika kullanımıyla alakalı ben de çok uğraşmıştım. Hatta bu konuda netgate'in global moderatör seviyesindeki bir yöneticisiyle yazışmıştım. Bunun mümkün ama çok karmaşık olduğunu, üstelik her SSL sunucusunun sertifikasını import edemeyeceğimi, Reserve Proxy kurulumu yapmam gerektiğini ve daha bir sürü ayrıntıdan bahsetmişti. Ve konuşmanın sonunda, bizim tabirimizle 3 kuruşluk whatsapp için 5 liralık bir yatırım ve zaman harcamanın değersiz olduğunu söylemişti. Çünkü SSL sertifikaları her 90 günde bir değişiyor.
Linkte verdiğiniz TrustSafe ve Let's Encypt'i denedim. Ama ben çalıştıramadım. Tabi bu girişimlerim, az önce bahsettiğim yazışmayı yapmazdan önceydi. Yazışmadan sonra, bypass proxy'in, hem kendi akıl sağlığım hem de ailem için daha mantıklı bir çözüm olduğunu farkettim.
Evet, bypass proxy'de trafik akışını kontrol edemiyorsunuz. Ancak zaten, bu proxyler sadece whatsapp'a hizmet ediyor. O yüzden, illegal bir işlem teşkil etmiyor. Ha, whatsapp'a illegal gözüyle bakıyorsa kullanıcı; o zaman hiçbirşey yapmasın, pfsense zaten taş koyuyor bu yola.!
-
Gerçek bir sertifika kurulumu yapmak şu şartlarda hem gereksiz hemde başarı ihtimali kesin olmayan bir seçenek gibi görünüyor. Bahsettiğiniz gibi Whatsapp ile ilgili bağlantıları istisna listesine ekleyerek takipten çıkarıp bu mesele ile uğraşmamak daha kararlı. Bunun için buradaki url ve ip'lerin olduğu bir listeye ulaştım. Bunları ekleyip deneyeceğim.
Ek olarak şöyle bir sorun daha gözlemledim: e2guardian apple cihazlarda Captive portal "session timeout" süresi dolduktan sonra diğer cihazlarda olduğu gibi "........... ağında oturum açın." bildirimini göstermiyor veya kendiliğinden tarayıcı üzerinden captive portal ekranına yönlendirme yapmıyor. Bu durumun sebebi de acaba Whatsapp'da yaşanan durumla benzer bir durum mu yoksa farklı bir durum mu söz konusu?( Her zaman bu olmuyor.) (Alakası var mı bilmiyorum ama E2guardian block loglarında "https://127.0.0.1" yoğun bir şekilde mevcut)
-
Linkte verdiğiniz cidr listesi güncel değil. Arkadaşın mesajı yazdığı tarih 2019 ama, liste 2019'a ait değil. Zaten sayfanın sonunda da, son listenin 28/08/2015'te olduğu yazıyor dikkat ederseniz. Bu liste, o liste bile değil yani. Çünkü o liste(28/08/2015) var bende ve o da güncel değil maalesef.
CP kullanmıyorum, o yüzden o konuda bir bilgim yok ama SSL ile alakası varsa, sorun olduğu bir anda SSL Support'u kapattığınız zaman çalışması lazım diyebilirim.
Şu an bendeki whatsapp IP listesi:
54.93.76.9
157.240.9.54
18.185.188.2
35.159.52.116
3.122.233.37
18.196.253.173
3.122.204.212
64.233.167.188
158.85.58.51
31.13.86.49
31.13.84.49
31.13.84.8
34.248.211.20
172.217.21.10
179.60.192.49
185.60.216.53
216.58.207.170
179.60.192.51
31.13.84.34
178.162.148.114
52.39.195.71
173.194.164.39
31.13.92.48
2.23.81.218
18.203.131.238 -
@plusbil gönderdiğiniz adresleri ekledim ve yaklaşık 1 haftadır deniyorum. Ancak sorunu çözmedi. Benim üstteki mesajda verdiğim linkte sorun yaşamadım ama ondada şöyle bir sıkıntı oldu: filtreleme yaptığım sitelere direk giriş yapıyor. (örn: xvide... , pornh.... vs). Şimdilik SSL supportu devre dışı bıraktım. Bu işi çözmenin başka yolları yok mu? sadece Whatsapp için konuşmuyorum steam'de aynı şekilde sorunlu çalışıyor. Zannedersem HSTS bu sorunun sebebi. Eğer sizde bahsettiğim tarzda sorunlar yoksa paketlerinizin yapılandırmalarını paylaşmanız mümkün mü ?
Gönderdiğiniz ipleri aşağıdaki gibi uyguladım başka herhangi bir işlem yapmadım
-
Kurumsal hizmet dolayısıyla steam kullanıcım yok. Ancak whatsapp bazen büyük dert. Ve pfsense tarafından bu şekilde bir çözümden başka bir çözüm sunulabilmiş değil. Sunulmasını da açıkçası ummuyorum. Çünkü bu durumda, kimse binlerce dolar vererek ve her yıl lisans yenileme yaparak UTM cihazı satın almaz. Kaldı ki pfsense ana dağıtımcısı Netgate'in de bu türden çözümleri mevcutken...
Sizin linkini gönderdiğiniz listeyle whatsapp dahil herşeyin çalışması normal. Çünkü listedeki port olarak 80 ve 443'ü dışarıya alırsanız, zaten filtreleme kapsamına birşey kalmaz. Yok eğer sadece ip için bu durum varsa, o zaman ip listesinde problem olduğu aşikar.
Dediğim gibi, proxy adresi gün geçmiyor ki değişmesin. Bunun için de, capture yapmanız şart. Capture ile yeni proxy ip'sini devreye aldığınız anda whatsappın sorunsuz bir şekilde çalışmaya başladığını görürsünüz zaten.
1 haftadır gecikmeli gönderimler başlamıştı yine. Az önceki kontrolümde, 157.240.193.50 şeklinde bir proxy adresi daha kaydettim. Şimdilik düzeldi. Ta ki bu proxy adresi değişmeyene kadar. Whatsapp dün de bunu mu kullanıyordu, 3 gün önce başka mıydı orası muallak tabi...
-
Arkadaşlar merhabalar, E2Guardian 5 kullanıcısıyım. Fakat son günlerde sistemim Real Time kısmında ve loglarda kayıtları göremiyorum. Ne yapabilirim? yardım ve önerileriniz için şimdiden teşekkür ederim.
-
@asaracoglu aynen tam 2 yıl sonra aynı sorunla karşılaştım araştırırken buraya denk geldim. valorant oyunundada ses çalışmıyordu e2guardian kurdum ondanmış 443 portunu engelliyo. squidguard a geri döndüm mecburi olarak.
-
@ucribrahim said in E2guardian5 kurulumu,squid entegrasyonu,SSL Man in the middle filtering ayarları:
Susamlicubuk arkadaşımın dediğine katılıyorum, Squid üzerinde Transparent + SSL filtering özelliklerini açmanıza hiç gerek yok. Bu ayarları zaten E2guardian üzerinde yapıyorsunuz. Eğer ikisindede transparent + ssl ayarları yaparsanız stabil çalışmıyor, ben tecrübe ettim.)
Squid üzerinde sadece squid servisini aktif edin " LAN ve Loopback" arabirimlerini seçin daha sonra ise aşağıdaki parametreleri Advanced altında Before Auth bölümüne ekleyin. Peki bunu neden ekliyorsunuz onuda söyliyeyim size, aşağıdaki parametreleri akıllı bir eleman elle proxy yazıp e2guardian servisini atlatmasın diye yapıyoruz. Yoksa direkt squid üzerinden internete çıkar ve filtrelemeye takılmaz.
Parametreler:
cache_peer 127.0.0.1 parent 8080 0 login=*:password
always_direct deny all
never_direct allow allDaha sonra ise zaten E2guardian servisini arkadaşımızın anlattığı gibi ayarlarsanız güzel bir şekilde çalışıyor.
ben Transparent HTTP Proxy ayarını squid tarafında yapacak şekilde ayarladım zaten http yi yapıyor squid sorunsuz şekilde sorun https olduğu için e2guardin tarafında sadece https fitrelenecek şekilde ayarladım. şu an için bir problem çıkmadı bakalım. pfsense sürüm 2.7 zaman çok geçtiği için araştıranlara rehber olur o sebeple cevapladım
-
öncelikle eline sağlık güzel anlatım olmuş detaylı herşeyi anlatmışssın fakat benim yaşadığım bir sorun mevcut bu konuda destekleriniz beklerim tüm herşeyi anlattığın gibi yaptığım zaman internet sitelerine erişirken yavaşlıyor sistem ve status/system logs bölümünde aldığım şöyle bir hata var
Nov 17 11:45:49 (squid-1) 54199 FATAL: The sslcrtd_program helpers are crashing too rapidly, need help!
Nov 17 11:45:56 (squid-1) 57175 FATAL: The sslcrtd_program helpers are crashing too rapidly, need help!
Nov 17 11:45:57 (squid-1) 58970 FATAL: The sslcrtd_program helpers are crashing too rapidly, need help!
Nov 17 11:45:58 (squid-1) 60262 FATAL: The sslcrtd_program helpers are crashing too rapidly, need help!
Nov 17 11:45:59 (squid-1) 61163 FATAL: The sslcrtd_program helpers are crashing too rapidly, need help!
Nov 17 11:46:00 (squid-1) 62704 FATAL: The sslcrtd_program helpers are crashing too rapidly, need help!
Nov 17 11:46:12 (squid-1) 72020 FATAL: The sslcrtd_program helpers are crashing too rapidly, need help!
Nov 17 11:46:13 (squid-1) 73651 FATAL: The sslcrtd_program helpers are crashing too rapidly, need help!
Nov 17 11:46:14 (squid-1) 74690 FATAL: The sslcrtd_program helpers are crashing too rapidly, need help!
Nov 17 11:46:15 (squid-1) 76303 FATAL: The sslcrtd_program helpers are crashing too rapidly, need help!
Nov 17 11:46:16 (squid-1) 77548 FATAL: The sslcrtd_program helpers are crashing too rapidly, need help!
Nov 17 11:46:23 (squid-1) 81278 FATAL: The sslcrtd_program helpers are crashing too rapidly, need help!
Nov 17 11:46:24 (squid-1) 83620 FATAL: The sslcrtd_program helpers are crashing too rapidly, need help!
Nov 17 11:46:25 (squid-1) 85012 FATAL: The sslcrtd_program helpers are crashing too rapidly, need help!
Nov 17 11:46:26 (squid-1) 85743 FATAL: The sslcrtd_program helpers are crashing too rapidly, need help! -
@umitkymkci bu anlatım benim kafamı karıştırıyor mertkul sitesindeki anlatım ile uygula squid olmadan da kurarsın.
ayrıca squid desteğini kesmeye başlamış.
Squid Desteğinin Kaldırılması -
Arkadaşlar pfsense 2.7.1 e düzgün biçimde e2guardian kurdum biraz uğraşarak çalıştırdım.Fakat https sertifika olayını yapamadım pfsensede ca olsuşturuyorum trust kutucuğunu işaretliyorum.Export edip windows10 da güvenlik kök sertifikalara yüklüyorum fakat e2guardion da https i cert ini seçinde cert i kabul etmediği için bağlantım gidiyor nerde hata yapıyorum.Yardımlarınızı bekliyorum
-
@ahmetkanar54 2.6 da Openssl 1.xx versiyon kullanıyordu 2.7 ile Openssl 3.x e geçiş yaptılar geç kalınmış bir olaydı. e2guardian eski sürümde kaldığından Openssl 3 ile uyum sağllamıyor.
Ayrıca ya 2.7.0 da ya da 2.7.1 versiyonda açık vardı bi araştır o versiyonu sakın kullanma son sürümü 2.7.2 kullan. Bir kaç gün sonra 2.7.2 yayınlamışlardı o şekilde hatırlıyorum, son version update edin veya sıfırdan kurulum yapın. e2guardian için güncelleme gelmesi lazım.2.7.0 da sanırım bende hiç çalıştırmadım 2.6.0 dan update ederek gelmiştim sonra 2.7.0 mı birinde açık vardı derken sinirlendim sıfırdan kurulum yaptım 6-7 ay oluyor çok fazla bir şeyde hatırlamıyorum.
Zorla çalıştırdım dokunmuyorum bile. e2guardian resmi github sayfadan desteğini kestiğini duyurdu, pfsense e uyarlayan marcelloc çalıştığı şirketin blogundan e2guardianı son sürüme taşımak için çalışmalara başladık diye duyuru yapmıştı halen ses soluk yok.
Şimdi hatırladım virtual de 2.7.2 de sorunsuz çalışıyor diye hatırlıyorum, transparan proxy seçinde sertifkaya da gerek kalmıyor her ihtimale karşı gpo ile dağıtmıştım.