Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Credenciales de proxy en Office365 + pfsense

    Scheduled Pinned Locked Moved Español
    12 Posts 4 Posters 2.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • B
      bcalvo
      last edited by bcalvo

      Buenas,

      Soy un usuario que ha trabajo con pfsense durante más de 8 años en mi empresa, cuando pfsense no pertenecía a Netgate, por lo que me es algo diferente crear post en ésta nueva plataforma, en fin quisiera exponer el inconveniente que tengo:
      -Actualmente tenemos office365 en mi empresa, en dicha empresa tengo un pfsense para salida a internet que tiene configurado squid para que los usuarios tengan que usar un proxy, si quieren navegar en internet, en dicho pfsense tengo creado Alias con las diferentes IP´s de office 365 que se requieren para funcionar y reglas de firewall para dichos Alias, en la opción de proxy server en ACL tengo las URL´s necesarias.

      El tema es que cuando abro outlook me sale un cuadro que indica lo siguiente: "Conectando con el servidor proxy de officeclient.microsoft.com" y me pide las credenciales.

      Sin embargo, al ingresar las credenciales el mensaje sigue saliendo y no permite trabajar.

      Me parece que es un tema del squid, sin embargo, aún no le llego a la solución, adjunto todas las imágenes necesarias para comprender lo que he hecho.

      Otro comentario: Si pongo la IP de algún equipo en: "Unrestricted IPs" el problema no se presenta.

      Saludos y gracias por toda la ayuda que me puedan brindar.

      brandoncr182@gmail.com
      0_1529447221273_pfsense1.png 0_1529447235190_pfsense2.png 0_1529447253258_pfsense3.png 0_1529447268222_pfsense4.png 0_1529447291422_pfsense5.png

      1 Reply Last reply Reply Quote 0
      • perikoP
        periko
        last edited by

        Hola, si te lo pide, alguna ruta aun esta sin ser detectada, ya tienes muchos enlaces y aun lo sigue pidiendo, yo no he tenido el gusto de batallar con un office3
        65, el 2016+ son menos de 10 sitios los que se habilitan nada mas.

        Saludos.

        Necesitan Soporte de Pfsense en México?/Need Pfsense Support in Mexico?
        www.bajaopensolutions.com
        https://www.facebook.com/BajaOpenSolutions
        Quieres aprender PfSense, visita mi canal de youtube:
        https://www.youtube.com/c/PedroMorenoBOS

        1 Reply Last reply Reply Quote 0
        • B
          bcalvo
          last edited by

          Gracias por la amable ayuda, te refieres a las IP´s de éste link?

          https://support.office.com/es-es/article/url-de-office-365-e-intervalos-de-direcciones-ip-8548a211-3fe7-47cb-abb1-355ea5aa88a2

          A cuales te refieres?.

          Saludos y de antemano las gracias por la ayuda que me puedan brindar.

          1 Reply Last reply Reply Quote 0
          • perikoP
            periko
            last edited by

            Hablo de todos los que llevas dados de alta, saludos.

            Necesitan Soporte de Pfsense en México?/Need Pfsense Support in Mexico?
            www.bajaopensolutions.com
            https://www.facebook.com/BajaOpenSolutions
            Quieres aprender PfSense, visita mi canal de youtube:
            https://www.youtube.com/c/PedroMorenoBOS

            1 Reply Last reply Reply Quote 0
            • J
              j.sejo1
              last edited by

              Es un proxy autenticado por lo que veo.

              Te recomiendo que hagas de forma manual (en las opciones avanzadas del squid) una ACL para que no pida autenticacion a las URL que desees. Esa es una forma.

              La otra es, tomar las IP publcias de office360, microsoft etc. y permitirlas a nivel de firewall, pero luego debes pasar navegador por navegador colocandolas en: No usar proxy para las siguientes direcciones......

              Saludos.

              Pfsense - Bacula - NagiosZabbix - Zimbra - AlienVault
              Hardening Linux
              Telegram: @vtlbackupbacula
              http://www.smartitbc.com/en/contact.html

              1 Reply Last reply Reply Quote 0
              • B
                bcalvo
                last edited by

                Buenas

                Muchas gracias por la ayuda, @periko disculpa no te comprendí, me podrías explicar un poco más por favor.

                @j-sejo1 muchas gracias por la ayuda, me parece una excelente idea, te refieres a realizar los siguiente?.

                0_1529942094941_acl.png

                1 Reply Last reply Reply Quote 0
                • J
                  j.sejo1
                  last edited by

                  No amigo.

                  Alli debes colocar son las ACL. Ya es un tema mas de Squid como tal que de pfsense

                  https://wiki.squid-cache.org/SquidFaq/SquidAcl

                  Algo asi:

                  acl unauth_sites dstdomain “/var/squid/acl/unauth_sites.acl”
                  http_access allow unauth_sites

                  donde la acl es: unauth_sites y el contenido de las url esta en el archivo unauth_site.acl

                  https://forum.netgate.com/topic/18009/squid-bypass-auth-for-list-of-sites/7

                  Ensayo y error hasta que funcione. Saludos.

                  Domino un poco el tema de squid por que antes de conocer pfsense lo trabaje mucho de forma independiente bajo CentOS y Debian. Por lo que pfsense no cubre al 100% todas las opciones del squid, pero con el modulo de "opciones avanzadas" te da la oportunidad de colocar aquellas opciones que no estar en la parte web.

                  Pfsense - Bacula - NagiosZabbix - Zimbra - AlienVault
                  Hardening Linux
                  Telegram: @vtlbackupbacula
                  http://www.smartitbc.com/en/contact.html

                  1 Reply Last reply Reply Quote 0
                  • B
                    bcalvo
                    last edited by bcalvo

                    Me parece una muy buena idea @j-sejo1, estoy realizando lo que indicas pero no soy muy hábil con squid, te parece bien lo que hice?:

                    1-Cree el archivo office365.acl en: /var/squid/acl como la siguiente imagen:
                    0_1530569280691_office.png

                    2-Ingrese el ACL creado a las opciones avanzadas del squid:

                    0_1530569452417_acl.png

                    3-Fui a la ruta: /usr/local/pkg y edite el archivo squid.inc en donde agregué la linea $conf .= "http_access allow office365\n";:

                    0_1530569886830_acl2.png

                    Sin embargo, el tercer paso es en donde tengo la duda de si hice algo malo, traté de investigar más pero aún no le he llegado y de ahí mi consulta a ver si me podías ayudar un poco más.

                    Muchas gracias por la ayuda que me puedan brindar.

                    J 1 Reply Last reply Reply Quote 0
                    • perikoP
                      periko
                      last edited by

                      Creo que te fuistes muy adentro del sistema, lo veo asi. Esos sitios no hay problema que queden en lista blancas, la gente ahi no anda metida de occioso viendo que tiene microsoft. Esos yo los pondria en lista blanca(whitelist).
                      Saludos.

                      Necesitan Soporte de Pfsense en México?/Need Pfsense Support in Mexico?
                      www.bajaopensolutions.com
                      https://www.facebook.com/BajaOpenSolutions
                      Quieres aprender PfSense, visita mi canal de youtube:
                      https://www.youtube.com/c/PedroMorenoBOS

                      1 Reply Last reply Reply Quote 0
                      • J
                        j.sejo1 @bcalvo
                        last edited by

                        @bcalvo said in Credenciales de proxy en Office365 + pfsense:

                        http_access allow office36

                        Esto http_access allow office36 lo colocas en el After asi como hiciste con la ACL que la colocaste en el Before.

                        Pfsense - Bacula - NagiosZabbix - Zimbra - AlienVault
                        Hardening Linux
                        Telegram: @vtlbackupbacula
                        http://www.smartitbc.com/en/contact.html

                        1 Reply Last reply Reply Quote 0
                        • B
                          bcalvo
                          last edited by

                          Excelente @j-sejo1, ya me funciona, mucha gracias por la ayuda, muy bueno su aporte para mi inconveniente y para muchas personas más que tengan un inconveniente similar.

                          @periko Lo de ingresar los links al whitelist no me iba a funcionar en éste caso debido a que según entiendo aunque los links estén en la lista blanca, siempre se necesita autenticar mediante el squid, sin embargo, al crear un ACL de la forma en que lo hicimos no hace falta autenticar para llegar a esos destinos, por ende los errores no se presentan.

                          De igual manera muchas gracias a todos por la ayuda.

                          Saludos.

                          Brandon Calvo Rojas
                          Costa Rica

                          R 1 Reply Last reply Reply Quote 0
                          • R
                            rzaballa76 @bcalvo
                            last edited by

                            @bcalvo hola hice lo que mencionas porque tengo el mismo problema y no me funciona no se si sea la versión de pfsense podrias ayudarme

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.