Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Problemas acceder paginas aleatorias HTTPS

    Scheduled Pinned Locked Moved Español
    12 Posts 3 Posters 1.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      sonerzin
      last edited by sonerzin

      Hola,
      tengo instalado PFSense 2.4.4-RELEASE-p1 (amd64) en mi empresa para poder filtrar a los usuarios. Tengo instalado el Squid + SquidGuard ultima version y en modo Transparente y el SSL Man In the Middle Filtering Activado - SSL/MITM Mode "Splice All" y SSL Proxy Compatibility Mode "Modern".

      El caso es que tengo problemas para introducirme a algunas páginas. Por ejemplo a la de https://portal.office.com/ . Los usuarios usan el correo a traves de la pagina owa de office. Y cuando accedo a ella me sale el famoso mensaje "Conexión segura fallida - Ha ocurrido un error durante una conexión a outlook.office365.com. SSL ha recibido un registro que excedía la longitud máxima permitida. Código de error: SSL_ERROR_RX_RECORD_TOO_LONG".

      Lo que me parece extraño es que al tiempo deja acceder y otra vez al tiempo vuelve a tener problemas... Tambien me suele pasar con Amazon en algun redirect o alguna pagina parecida.

      A ver si me podeis iluminar.. he seguido muchos tutoriales y no sigo dar con la causa.

      Gracias, un saludo.

      EDIT: En el Mozilla Firefox lo tengo puesto "Sin Proxy" pero al poner en manual y la IP_del_PFSense:3128 funciona a la perfección. Por si sirve de ayuda.

      1 Reply Last reply Reply Quote 0
      • S
        sonerzin
        last edited by sonerzin

        Dejo unas capturas por si os sirven de más ayuda para poder ayudarme.

        OutBoud-Nat
        Rules-Wan
        Rules-Lan
        DNS Resolver
        Squid - Parte 1
        Squid - Parte 2

        Tambien me pasa con varias páginas aleatorias HTTPS, el primer acceso lo bloquea y cuando quiere se puede entrar y acto seguido vuelve a bloquearse con ese codigo de error.

        El Outlook (Programa) tambien hay veces que reconecta y conecta y da fallos a veces.

        1 Reply Last reply Reply Quote 0
        • S
          sonerzin
          last edited by

          Creo que ahora puede que me esté funcionando algo mejor. A veces falla con Amazon, o un redirect a google (He probado poca cosa) y lo que he cambiado ha sido una regla que tenia deshabilitada y la he vuelto a habilitar. La regla es la siguiente:

          PROTOCOL______Source____Port___Destination____Port__Gateway________________Description_______________________________
          IPv4 TCP/UDP --- LAN NET --- * --- LAN address --- 3128 --- *---- Obligar a la Red LAN a pasar por el Proxy para Navegar por Internet

          Es algo que se tiene que añadir si o si???

          1 Reply Last reply Reply Quote 0
          • S
            sonerzin
            last edited by

            Hola,

            Sigo con el mismo problema. He añadido fotos nuevas de como lo tengo configurado ahora mismo.
            OutBoud-Nat
            Rules-Wan
            Rules-Lan
            DNS Resolver
            Squid - Parte 1
            Squid - Parte 2

            He tenido que poner fuera del proxy unos alias como por ejemplo el correo O365 ya que falla aleatoriamente no me puedo permitir que el correo no funcione.

            Realmente lo que pasa es que al entrar a una web https por ejemplo Amazon, da error de SSL y al minuto ya puedo navegar sin problemas. Esto suele suceder varias veces al día. Es como si el Pfsense se quedase en Stand-By o algo parecido.

            A ver si podéis ayudarme.

            Gracias.

            1 Reply Last reply Reply Quote 0
            • S
              sonerzin
              last edited by

              Bueno.. no se si es que el tema es tan complicado que nadie puede echarme una mano.. pero yo sigo investigando.

              Por lo que veo hay varias personas que les pasa lo mismo
              Ejemplo:
              https://forum.netgate.com/topic/130757/intermittent-err_ssl_protocol_error/7

              Pero yo sigo ese enlace, hago lo que me dicen de borrar la cache Squid y despues de eso me deja de funcionar... ya que no existe la carpeta /var/squid/cache

              Suele dar el mensaje en Squid de TAG_NONE / 409.

              A ver si puedo dar con el fallo.

              Un saludo.

              L 1 Reply Last reply Reply Quote 0
              • L
                luisenrique @sonerzin
                last edited by luisenrique

                @sonerzin
                Si tienes squid en modo transparente intenta asignarle a tus clientes como servidor dns el propio pfsense+squid+squidguard y en este habilitale el servicio dnsresolver.. ... tambien verifica en el propio squid que use a si mismo como servidor dns.....
                Ese error suele suceder cuando tienes squid en modo transparente con un X dns server configurado y accedes a sitios webs que tienen records dns usando round robbin ya que tienen varios espejos en todo el mundo (esos mismos sitios.. google.. facebook, youtube ........)y el cliente usa un Servidor DNS distinto al del PfSense entonces al consultar desde el cliente te devuelve responde el mas sercano o mas rapido usando round robbin ... ahora al tus clientes tener un servidor dns distindo al squid pueden diferir esas respuestas de los dns el squid puede haber resuelto un sitio con x nombre con ip y y el cliente pues para ese mismo sictio x le devolvio una ip z y ahi se provoca el error.... y luego pues reinicia o limpia la cache del squid

                Es lo que tengo entendido de tema, dejame saber si te sirvio de ayuda... a mi me funciona perfecto asi de esa manera es un detalle sutil por que aparente todo esta perfecto yo me rompi la cabeza y creo que si es eso me funciona sin problemas
                y claro al tu usar y configurar el proxy en el browser del clientes pues no se produciran respuestas o ips distintas a un mismo website....

                S 1 Reply Last reply Reply Quote 1
                • S
                  sonerzin @luisenrique
                  last edited by

                  @luisenrique
                  Muchas gracias por contestar. Despues de mi último post hice una modificación en las Reglas de la LAN que fue la siguiente:

                  IPv4 TCP/UDP * * 127.0.0.1 53 (DNS) * none NAT Redirect DNS - LAN

                  Desde entonces no me sale el error que comenté. Tu crees que hice bien? En el SQUID tengo puesto que coja los DNS por defecto, los que coje de "System > General Setup" (8.8.8.8). Debería poner la IP del PFSense? o localhost?

                  Gracias por la explicación, la verdad es que me sirvió muchísimo para entenderlo un poco mejor.

                  Un saludo.

                  L 1 Reply Last reply Reply Quote 0
                  • L
                    luisenrique @sonerzin
                    last edited by luisenrique

                    @sonerzin said in Problemas acceder paginas aleatorias HTTPS:

                    Pv4 TCP/UDP * * 127.0.0.1 53 (DN

                    no comprendo bien... me aclaras para poderte ayudar ...creo que hicistes una especie de dns en modo transparente, es decir estas interceptando el trafico dns o las consultas dns de tus clientes y la redireccionas hacia el localhost y este mediante dns resolver o fordwarder lo envia a los dns que tienens en system...no??? imagino que tengas configurado localmente dns resolver o dns fordwarder....

                    Si es asi ...pues es lo mismo pero de otra manera, imagino que tus clientes tengan en la configuracion tcp/ip dns server algun dns externos distinto al que tiene el pfsense, con esa regla resuelves el problema de dns servers diferentes y asi evitas respuestas de sitios web que usan round robbin y a la vez evitas respuestas diferentes de esos sitios valga la redundancia...... en mi caso modifique y asigne desde un inicio los dns que le asigno mediante el servidor dns...

                    Saludos!

                    S 1 Reply Last reply Reply Quote 0
                    • S
                      sonerzin @luisenrique
                      last edited by

                      @luisenrique Aquí te dejo una foto de lo que hice.
                      NAT Por Forward - DNS

                      Y en este apartado que DNS debería poner??
                      Squid - Alternate DNS

                      El DNS Resolver lo tengo configurado como dejé en una de las fotos anteriores. Tu como lo configurarías? Ahora mismo no tengo problemas, solamente en el apartado WIFI que tarda en conectar y no se el porque..

                      Muchas gracias.

                      L S 2 Replies Last reply Reply Quote 0
                      • L
                        luisenrique @sonerzin
                        last edited by

                        @sonerzin si lo veo bien asi deberia funcionar y a los clientes no le dara una respuesta de dns diferente para los host que usan roundrobbin al tener varios registros es el mismo caso de @sonerzin en cuanto a el dns de los clientes... a mi entender.., estas interceptando el trafico dns de tus clientes y reenviandolo a tu dns Resolver de esa manera no deberian haber respuestas direfentes como te decia anteriormente.... en cuanto a la configuracion la veo bien lo tengo similar a tu captura de pantalla... ahora lo de la lentitud en la red wifi no se que podria ser como lo tienes configurado... el resto lo veo bien, similar a como hago aca.
                        saludos

                        1 Reply Last reply Reply Quote 0
                        • S
                          scanales @sonerzin
                          last edited by

                          @sonerzin Estimado, muchos años despues este tema sigue sin resolverse, usted me podria compartir su configuración, dado que no puedo acceder al correo de o365 ni tampoco gmail. Saludos.

                          L 1 Reply Last reply Reply Quote 0
                          • L
                            luisenrique @scanales
                            last edited by

                            @scanales said in Problemas acceder paginas aleatorias HTTPS:

                            muchos años desp

                            Hola nuevamente! estoy fuera de oficina luego recapitulamos y revisamos a verque problema tienes.

                            1 Reply Last reply Reply Quote 1
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.