Credenciales de proxy en Office365 + pfsense



  • Buenas,

    Soy un usuario que ha trabajo con pfsense durante más de 8 años en mi empresa, cuando pfsense no pertenecía a Netgate, por lo que me es algo diferente crear post en ésta nueva plataforma, en fin quisiera exponer el inconveniente que tengo:
    -Actualmente tenemos office365 en mi empresa, en dicha empresa tengo un pfsense para salida a internet que tiene configurado squid para que los usuarios tengan que usar un proxy, si quieren navegar en internet, en dicho pfsense tengo creado Alias con las diferentes IP´s de office 365 que se requieren para funcionar y reglas de firewall para dichos Alias, en la opción de proxy server en ACL tengo las URL´s necesarias.

    El tema es que cuando abro outlook me sale un cuadro que indica lo siguiente: "Conectando con el servidor proxy de officeclient.microsoft.com" y me pide las credenciales.

    Sin embargo, al ingresar las credenciales el mensaje sigue saliendo y no permite trabajar.

    Me parece que es un tema del squid, sin embargo, aún no le llego a la solución, adjunto todas las imágenes necesarias para comprender lo que he hecho.

    Otro comentario: Si pongo la IP de algún equipo en: "Unrestricted IPs" el problema no se presenta.

    Saludos y gracias por toda la ayuda que me puedan brindar.

    brandoncr182@gmail.com
    0_1529447221273_pfsense1.png 0_1529447235190_pfsense2.png 0_1529447253258_pfsense3.png 0_1529447268222_pfsense4.png 0_1529447291422_pfsense5.png



  • Hola, si te lo pide, alguna ruta aun esta sin ser detectada, ya tienes muchos enlaces y aun lo sigue pidiendo, yo no he tenido el gusto de batallar con un office3
    65, el 2016+ son menos de 10 sitios los que se habilitan nada mas.

    Saludos.



  • Gracias por la amable ayuda, te refieres a las IP´s de éste link?

    https://support.office.com/es-es/article/url-de-office-365-e-intervalos-de-direcciones-ip-8548a211-3fe7-47cb-abb1-355ea5aa88a2

    A cuales te refieres?.

    Saludos y de antemano las gracias por la ayuda que me puedan brindar.



  • Hablo de todos los que llevas dados de alta, saludos.



  • Es un proxy autenticado por lo que veo.

    Te recomiendo que hagas de forma manual (en las opciones avanzadas del squid) una ACL para que no pida autenticacion a las URL que desees. Esa es una forma.

    La otra es, tomar las IP publcias de office360, microsoft etc. y permitirlas a nivel de firewall, pero luego debes pasar navegador por navegador colocandolas en: No usar proxy para las siguientes direcciones......

    Saludos.



  • Buenas

    Muchas gracias por la ayuda, @periko disculpa no te comprendí, me podrías explicar un poco más por favor.

    @j-sejo1 muchas gracias por la ayuda, me parece una excelente idea, te refieres a realizar los siguiente?.

    0_1529942094941_acl.png



  • No amigo.

    Alli debes colocar son las ACL. Ya es un tema mas de Squid como tal que de pfsense

    https://wiki.squid-cache.org/SquidFaq/SquidAcl

    Algo asi:

    acl unauth_sites dstdomain “/var/squid/acl/unauth_sites.acl”
    http_access allow unauth_sites

    donde la acl es: unauth_sites y el contenido de las url esta en el archivo unauth_site.acl

    https://forum.netgate.com/topic/18009/squid-bypass-auth-for-list-of-sites/7

    Ensayo y error hasta que funcione. Saludos.

    Domino un poco el tema de squid por que antes de conocer pfsense lo trabaje mucho de forma independiente bajo CentOS y Debian. Por lo que pfsense no cubre al 100% todas las opciones del squid, pero con el modulo de "opciones avanzadas" te da la oportunidad de colocar aquellas opciones que no estar en la parte web.



  • Me parece una muy buena idea @j-sejo1, estoy realizando lo que indicas pero no soy muy hábil con squid, te parece bien lo que hice?:

    1-Cree el archivo office365.acl en: /var/squid/acl como la siguiente imagen:
    0_1530569280691_office.png

    2-Ingrese el ACL creado a las opciones avanzadas del squid:

    0_1530569452417_acl.png

    3-Fui a la ruta: /usr/local/pkg y edite el archivo squid.inc en donde agregué la linea $conf .= "http_access allow office365\n";:

    0_1530569886830_acl2.png

    Sin embargo, el tercer paso es en donde tengo la duda de si hice algo malo, traté de investigar más pero aún no le he llegado y de ahí mi consulta a ver si me podías ayudar un poco más.

    Muchas gracias por la ayuda que me puedan brindar.



  • Creo que te fuistes muy adentro del sistema, lo veo asi. Esos sitios no hay problema que queden en lista blancas, la gente ahi no anda metida de occioso viendo que tiene microsoft. Esos yo los pondria en lista blanca(whitelist).
    Saludos.



  • @bcalvo said in Credenciales de proxy en Office365 + pfsense:

    http_access allow office36

    Esto http_access allow office36 lo colocas en el After asi como hiciste con la ACL que la colocaste en el Before.



  • Excelente @j-sejo1, ya me funciona, mucha gracias por la ayuda, muy bueno su aporte para mi inconveniente y para muchas personas más que tengan un inconveniente similar.

    @periko Lo de ingresar los links al whitelist no me iba a funcionar en éste caso debido a que según entiendo aunque los links estén en la lista blanca, siempre se necesita autenticar mediante el squid, sin embargo, al crear un ACL de la forma en que lo hicimos no hace falta autenticar para llegar a esos destinos, por ende los errores no se presentan.

    De igual manera muchas gracias a todos por la ayuda.

    Saludos.

    Brandon Calvo Rojas
    Costa Rica