Problemas acceder paginas aleatorias HTTPS

sonerzin

Hola,
tengo instalado PFSense 2.4.4-RELEASE-p1 (amd64) en mi empresa para poder filtrar a los usuarios. Tengo instalado el Squid + SquidGuard ultima version y en modo Transparente y el SSL Man In the Middle Filtering Activado - SSL/MITM Mode "Splice All" y SSL Proxy Compatibility Mode "Modern".

El caso es que tengo problemas para introducirme a algunas páginas. Por ejemplo a la de https://portal.office.com/ . Los usuarios usan el correo a traves de la pagina owa de office. Y cuando accedo a ella me sale el famoso mensaje "Conexión segura fallida - Ha ocurrido un error durante una conexión a outlook.office365.com. SSL ha recibido un registro que excedía la longitud máxima permitida. Código de error: SSL_ERROR_RX_RECORD_TOO_LONG".

Lo que me parece extraño es que al tiempo deja acceder y otra vez al tiempo vuelve a tener problemas... Tambien me suele pasar con Amazon en algun redirect o alguna pagina parecida.

A ver si me podeis iluminar.. he seguido muchos tutoriales y no sigo dar con la causa.

Gracias, un saludo.

EDIT: En el Mozilla Firefox lo tengo puesto "Sin Proxy" pero al poner en manual y la IP_del_PFSense:3128 funciona a la perfección. Por si sirve de ayuda.

sonerzin

Dejo unas capturas por si os sirven de más ayuda para poder ayudarme.

OutBoud-Nat
Rules-Wan
Rules-Lan
DNS Resolver
Squid - Parte 1
Squid - Parte 2

Tambien me pasa con varias páginas aleatorias HTTPS, el primer acceso lo bloquea y cuando quiere se puede entrar y acto seguido vuelve a bloquearse con ese codigo de error.

El Outlook (Programa) tambien hay veces que reconecta y conecta y da fallos a veces.

sonerzin

Creo que ahora puede que me esté funcionando algo mejor. A veces falla con Amazon, o un redirect a google (He probado poca cosa) y lo que he cambiado ha sido una regla que tenia deshabilitada y la he vuelto a habilitar. La regla es la siguiente:

PROTOCOL______Source____Port___Destination____Port__Gateway________________Description_______________________________
IPv4 TCP/UDP --- LAN NET --- * --- LAN address --- 3128 --- *---- Obligar a la Red LAN a pasar por el Proxy para Navegar por Internet

Es algo que se tiene que añadir si o si???

sonerzin

Hola,

Sigo con el mismo problema. He añadido fotos nuevas de como lo tengo configurado ahora mismo.
OutBoud-Nat
Rules-Wan
Rules-Lan
DNS Resolver
Squid - Parte 1
Squid - Parte 2

He tenido que poner fuera del proxy unos alias como por ejemplo el correo O365 ya que falla aleatoriamente no me puedo permitir que el correo no funcione.

Realmente lo que pasa es que al entrar a una web https por ejemplo Amazon, da error de SSL y al minuto ya puedo navegar sin problemas. Esto suele suceder varias veces al día. Es como si el Pfsense se quedase en Stand-By o algo parecido.

A ver si podéis ayudarme.

Gracias.

sonerzin

Bueno.. no se si es que el tema es tan complicado que nadie puede echarme una mano.. pero yo sigo investigando.

Por lo que veo hay varias personas que les pasa lo mismo
Ejemplo:
https://forum.netgate.com/topic/130757/intermittent-err_ssl_protocol_error/7

Pero yo sigo ese enlace, hago lo que me dicen de borrar la cache Squid y despues de eso me deja de funcionar... ya que no existe la carpeta /var/squid/cache

Suele dar el mensaje en Squid de TAG_NONE / 409.

A ver si puedo dar con el fallo.

Un saludo.

luisenrique

@sonerzin
Si tienes squid en modo transparente intenta asignarle a tus clientes como servidor dns el propio pfsense+squid+squidguard y en este habilitale el servicio dnsresolver.. ... tambien verifica en el propio squid que use a si mismo como servidor dns.....
Ese error suele suceder cuando tienes squid en modo transparente con un X dns server configurado y accedes a sitios webs que tienen records dns usando round robbin ya que tienen varios espejos en todo el mundo (esos mismos sitios.. google.. facebook, youtube ........)y el cliente usa un Servidor DNS distinto al del PfSense entonces al consultar desde el cliente te devuelve responde el mas sercano o mas rapido usando round robbin ... ahora al tus clientes tener un servidor dns distindo al squid pueden diferir esas respuestas de los dns el squid puede haber resuelto un sitio con x nombre con ip y y el cliente pues para ese mismo sictio x le devolvio una ip z y ahi se provoca el error.... y luego pues reinicia o limpia la cache del squid

Es lo que tengo entendido de tema, dejame saber si te sirvio de ayuda... a mi me funciona perfecto asi de esa manera es un detalle sutil por que aparente todo esta perfecto yo me rompi la cabeza y creo que si es eso me funciona sin problemas
y claro al tu usar y configurar el proxy en el browser del clientes pues no se produciran respuestas o ips distintas a un mismo website....

sonerzin

@luisenrique
Muchas gracias por contestar. Despues de mi último post hice una modificación en las Reglas de la LAN que fue la siguiente:

IPv4 TCP/UDP * * 127.0.0.1 53 (DNS) * none NAT Redirect DNS - LAN

Desde entonces no me sale el error que comenté. Tu crees que hice bien? En el SQUID tengo puesto que coja los DNS por defecto, los que coje de "System > General Setup" (8.8.8.8). Debería poner la IP del PFSense? o localhost?

Gracias por la explicación, la verdad es que me sirvió muchísimo para entenderlo un poco mejor.

Un saludo.

luisenrique

@sonerzin said in Problemas acceder paginas aleatorias HTTPS:

Pv4 TCP/UDP * * 127.0.0.1 53 (DN

no comprendo bien... me aclaras para poderte ayudar ...creo que hicistes una especie de dns en modo transparente, es decir estas interceptando el trafico dns o las consultas dns de tus clientes y la redireccionas hacia el localhost y este mediante dns resolver o fordwarder lo envia a los dns que tienens en system...no??? imagino que tengas configurado localmente dns resolver o dns fordwarder....

Si es asi ...pues es lo mismo pero de otra manera, imagino que tus clientes tengan en la configuracion tcp/ip dns server algun dns externos distinto al que tiene el pfsense, con esa regla resuelves el problema de dns servers diferentes y asi evitas respuestas de sitios web que usan round robbin y a la vez evitas respuestas diferentes de esos sitios valga la redundancia...... en mi caso modifique y asigne desde un inicio los dns que le asigno mediante el servidor dns...

Saludos!

sonerzin

@luisenrique Aquí te dejo una foto de lo que hice.
NAT Por Forward - DNS

Y en este apartado que DNS debería poner??
Squid - Alternate DNS

El DNS Resolver lo tengo configurado como dejé en una de las fotos anteriores. Tu como lo configurarías? Ahora mismo no tengo problemas, solamente en el apartado WIFI que tarda en conectar y no se el porque..

Muchas gracias.

luisenrique

@sonerzin si lo veo bien asi deberia funcionar y a los clientes no le dara una respuesta de dns diferente para los host que usan roundrobbin al tener varios registros es el mismo caso de @sonerzin en cuanto a el dns de los clientes... a mi entender.., estas interceptando el trafico dns de tus clientes y reenviandolo a tu dns Resolver de esa manera no deberian haber respuestas direfentes como te decia anteriormente.... en cuanto a la configuracion la veo bien lo tengo similar a tu captura de pantalla... ahora lo de la lentitud en la red wifi no se que podria ser como lo tienes configurado... el resto lo veo bien, similar a como hago aca.
saludos

scanales

@sonerzin Estimado, muchos años despues este tema sigue sin resolverse, usted me podria compartir su configuración, dado que no puedo acceder al correo de o365 ni tampoco gmail. Saludos.

luisenrique

@scanales said in Problemas acceder paginas aleatorias HTTPS:

muchos años desp

Hola nuevamente! estoy fuera de oficina luego recapitulamos y revisamos a verque problema tienes.