[RESOLVIDO] e2guardian problema com websockets wss://



  • Pessoal,

    Depois que implementei o e2guardian comecei a homologar os acessos na tentativa de achar problemas. Identifiquei que os sites que usam websockets por trás do site não ficam acessíveis. Vejam nas imagens.

    alt text

    alt text

    Minha configuração é autenticada e explicita. Geralmente quando ocorre algum problema de acesso eu adiciono o domínio as exceções nas ACLs de domains. Resolve. Mas nestes casos não funcionou.

    Testei até desabilitar as acls, adicionar no whitelist do proprio squid. Mas nada.

    Se puderem me ajudar, eu agradeço.



  • Até onde já testei, websockets não conseguem passar por proxy.

    Com o wpad você consegue "pular" o proxy para o wss://, lembrando de criar regra no fw permitindo o acesso.



  • Existe algum procedimento documentado sobre isso?



  • @antonio-emiliano , esse video explica a instalação e configuração do pacote wpad no pfSense.

    adapte a parte squid para e2guardian

    http://sys-squad.com/licao/261



  • Marcello,

    Uma dúvida me surgiu. As vezes preciso abrir uma exceção no e2guardian para dominíos que alternam o host final. Acredito que isso servirá também para o WPAD.

    Por exemplo,

    Preciso bloquear o domínio 1.a.b.c, mas este mesmo domínio também responde por 2.a.b.c, 3.a.b.c e 4.a.b.c. Dessa forma tenho que adicionar a exceção para cada "domínio" considerando os hosts 1, 2, 3 e 4.

    Eu já tentei adicionando *.a.b.c e só a.b.c, mas de ambas as formas não funciona para o host 1, 2, 3, 4.

    Para funcionar teria que fazer da seguinte forma

    1.a.b.c
    2.a.b.c
    3.a.b.c
    4.a.b.c

    Tem uma forma de fazer isso de forma mais eficiente? Se eu tenho 100 casos desses eu vou sofrer pra caramba. =P



  • Pela documentação do e2guardian, o a.b.c deveria ser suficiente para liberar qualquer um dos (1|2|3|4).a.b.c.

    Já no wpad, a sintaxe precisa do *.



  • Ótimo, Marcello.

    Consegui reproduzir exatamente o que foi passado no vídeo.

    Agora surgiu outro problema.

    Ele não funciona direto pelo DHCP (Meu proxy é autenticado), eu preciso criar a entrada no DNS RESOLVER. Entretanto, estou aplicando essa configuração para diferentes VLANS.

    Existe a possibilidade de criar entradas DNS no pfsense por interface?
    Ou seja, VLAN1 resolva wpad.local para 192.168.10.1;
    VLAN2 resolva wpad.local para 192.168.20.1.

    O mesmo nome para diferentes endereços em barramentos diferentes.



  • @antonio-emiliano , com o bind sim. Através das views.



  • Acabei usando apenas uma interface de proxy para todos as vlans.


Log in to reply