[RESOLVIDO]pfSense v2.4.4 + E2guardian v5 = proxy transparente HTTPS sem CA no browser



  • Boa tarde pessoal.

    Fiz o teste com E2guardian v5, na esperança de que já funcionasse a interceptação/tratamento de tráfego HTTPS, mas parece que não funciona, correto? Ou alguém conseguiu configurar?

    Podem me dizer se na versão 4 funciona ainda? Conseguiria usar com a versão mais nova do pfSense (2.4.4)?

    Existe outra solução pra isso? Sem usar WPAD, instalar certificados ou qualquer configuração de proxy no navegador?

    Usei este tutorial do Elias Morais. Ele diz que não funciona com a versão 5 do E2guardian, mas como sou teimoso, fiz mesmo assim. E obviamente não funcionou...rsrs.

    Abraço a todos e parabéns pela comunidade.



  • @gustavor0ck Boa tarde Gustavo!!

    Eu consegui!! \o/ Instalei o pfsense 2.4.4 do zero e tive só que pegar um outro tutorial para poder conseguir baixar o pacote do E2G v5. ( https://forum.netgate.com/topic/136730/aplicar-patch-para-usar-e2guardian-5-em-pfsense-2-4-4/2?fbclid=IwAR1WmexowP8hxVx5gQD_t-aXzcFCt3vpsfz-spQnGfqChwk_-iUX_DuyHyM )

    Finalmente entendi os vários tópicos que eu li... Você só vai precisar gerar o certificado interno para o próprio pfsense. Não vai precisar instalar eles nas máquinas (como é o que queremos rs). A desvantagem disso é que quando o site https for bloqueado ele não irá mostrar a página de bloqueio do E2G com o motivo de bloqueio, ele só ira exibir um erro de CONNECTION_CLOSED, mas o bloqueio funciona perfeito.

    Como fazer:
    1º - Na guia DAEMON, marca lá no final da página o Enable SSL support e escolhe o certificado interno que você criou.
    2º- Lá no Groups, edita o grupo padrão (ou os demais que você tiver) e NÃO deixa marcado a opção "Filter ssl sites forging SSL Certificates (off).

    "Vualá" deu certo com a observação citada, mas deu certo XD



  • Link com o vídeo do principal colaborador (se não for eleo idealizador do projeto) do E2Guardian mostrando de forma simples e rápida como configura-lo sem a necessidade do squid. Depois só só ir incrementando as necessidades do seu cenário.

    https://www.youtube.com/watch?v=rHmvAtt5Ybw&t=224s

    Lembrando só dos detalhes citados anteriormente: tem que fazer um procedimento diferente para o E2Guardian aparecer em pacotes e deixar a opção citada desmarcada em Groups.



  • Boa tarde!

    Na minha configuração, já está desse jeito que você citou, mas mesmo assim não funcionou.

    Na segunda-feira vou fazer o teste conforme o vídeo que você passou. Espero que dê certo. Apesar de que há toda aquela coisa com a segurança, conforme o Marcello diz nos comentários do vídeo, mas é algo que estou precisando fazer funcionar...rsrs

    Muito obrigado pela ajuda! Até logo (pois sei que voltarei aqui para pesquisar)



  • Qualquer coisa, segunda-feira me procura no face (Obmor Carvalho), que te passo o acesso do meu computador e você pode comparar as configurações de ambos.

    Quais os comentário sobre segurança? .-.

    Espero que dê certo o seu teste.



  • @obmor Boa tarde!

    Fiz uma instalação do zero do pfSense, instalei somente o E2Guardian, conforme você apresentou acima, mas não deu certo.

    Faço os bloqueios na ACL e o HTTPS passa direto. HTTP funciona redondo.

    Testei com o bloqueio do Facebook: bloqueei na ACL "Site List", apliquei e não bloqueou na VM de teste.
    Quando eu coloco a configuração de proxy, o facebook é bloqueado, do jeito que deve ser.
    Se puder me ajudar, eu agradeceria.



  • Infelizmente não sou expert, estou começando agora a descobrir o E2Guardian :/

    As portas 80 e 443 continuam bloqueadas no firewall do pfsense? e só a 8080 e 8081 liberadas?



  • @obmor pode mandar um print de como estão suas regras do firewall, pra poder conferir com as minhas, por gentileza?



  • 0_1540238239900_Sem título.png 0_1540238245075_Sem título2.png



  • @obmor Funcionou!!!

    Era, provavelmente, o IPv6 que estava ativo e "passando por cima" das minhas regras. 😒
    Desativei e funcionou certinho. Muito obrigado pela ajuda!!!

    Agora vem a parte complicada: descobrir como isso funciona no FreeBSD e passar para um Slackware com iptables + squid. Espero que tenha como fazer...rsrs



  • @gustavor0ck said in pfSense v2.4.4 + E2guardian v5 = proxy transparente HTTPS sem CA no browser:

    Slackware

    Opa!! 🙌

    Que bom que deu certo! 😁

    É, sobre essa parte complicada infelizmente não sei do que se trata 😌 😌

    Boa sorte!