Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PfSense + Squid не использовать прокси для локальных серверов.

    Scheduled Pinned Locked Moved Russian
    8 Posts 3 Posters 1.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      Alexander-swmdx
      last edited by

      Здравствуйте.

      Использую PfSense + Squid + Authentication NTLM

      В локальной сети работает почтовый сервер Epsilon.domain.local с ip 10.10.0.6
      На клиенте в браузере установлен прокис и "Не использовать прокис для локальных адресов"
      Не понимаю почему нет доступа к почте по web интерфейсу.

      Логи
      10.10.1.92 TAG_NONE/503 epsilon.domain.local:443 user -
      10.10.1.92 TCP_DENIED/407 epsilon.domain.local:443

      Когда в браузере набираю ip адрес , то доступ к почтовому серверу получаю.

      Доступ через внешний интерфейс к web морде тоже не работает.
      Ошибка в браузере:

      Не удалось установить безопасное соединение с 10.10.0.6
      The system returned:
      (92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)
      Handshake with SSL server failed: [No Error]

      Подскажите пожалуйста как настроить прокси, чтобы локальные сервера работали.

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by werter

        @Alexander-swmdx
        У вас же squid в транспаренте. В настройках его покопайтесь. Или адрес узла\сети в Exclude destinations в сквиде добавьте.

        P.s. Про .local - http://itband.ru/2012/05/name/

        Как же правильно именовать домен?

        Ответ прост. Делать согласованное пространство имен. Т.е имея домен itband.ru в реальном мире, домен Active Directory делать суб-доменом типа corp.itband.ru. При таком раскладе все проблемы отпадают. И совсем не обязательно делать делегирование DNS суб-домена на внешнем DNS сервере. Хотя если вы это сделаете, можно добиться разрешения имен в обе стороны. (из внутренней сети внешних имен, из Internet внутренних имен)

        Для тех, кто не подумал изначально есть “хорошая” ссылка: http://technet.microsoft.com/en-us/library/cc738208(v=ws.10).aspx Приятных Вам вечером за чтением данного произведения.

        1 Reply Last reply Reply Quote 0
        • A
          Alexander-swmdx
          last edited by Alexander-swmdx

          У squid режим Transparent выключен.
          Внутри работает DNS сервер который резолвит FQDN имя почтовика для внешнего и внутреннего домена на один ip.

          Вот странно, что по ip адресу с в локальной сети я прохожу на OWA почтового сервера. А по имени нет. При этом имя резолвится в правильный ip адрес.

          Подскажите пожалуйста, где установить исключение в squid ?

          1 Reply Last reply Reply Quote 0
          • L
            labasus
            last edited by labasus

            Скорее всего ваш клиен имеет IP не из 10.10.0/24
            В настройке Squid - Transparent Proxy Settings -> Bypass Proxy for These Destination IPs, но это если используется Transparent mode..., eсли нет - тогда

            d9e82cbd-0e0b-417b-9d9f-bee98beb908b-image.png
            e6e9883e-7941-4a3f-a7c7-27163bafa588-image.png

            1 Reply Last reply Reply Quote 0
            • A
              Alexander-swmdx
              last edited by Alexander-swmdx

              Transparent mode отключен.

              Есть интересное наблюдение.
              Почтовый сервер epsilon.domain.local его ip 10.10.0.6

              Я с клиента ip 10.10.0.92 в IE с включенным прокис и галкой не использовать прокси для локальных серверов.
              https://10.10.0.6/owa - работает.
              https://epsilon/owa - работает.
              https://epsilon.domain.local/owa - НЕ работает.

              Если прописать в исключение адрес https://epsilon.domain.local в IE в параметрах прокси, то все работает.

              Как я понимаю, что для IE адрес https://epsilon.domain.local воспринимается как не локальный и проходит через прокси. В логах получаю

              IP Status Address
              10.10.1.92 TAG_NONE/503 epsilon.domain.local:443

              Я думаю, что по этой же причине и с внешнего адреса на OWA не пройти.
              Как заставить работать https://epsilon.domain.local через прокси ?

              L 1 Reply Last reply Reply Quote 0
              • L
                labasus @Alexander-swmdx
                last edited by

                @Alexander-swmdx

                Из вне надо мутить с Squid reverse proxy

                1 Reply Last reply Reply Quote 0
                • werterW
                  werter
                  last edited by werter

                  @Alexander-swmdx

                  Вот странно, что по ip адресу с в локальной сети я прохожу на OWA почтового сервера. А по имени нет. При этом имя резолвится в правильный ip адрес.

                  Попробуйте обращаться из LAN к exchange по внешнему имени. По хорошему у вас должен быть настроен SplitDNS, чтобы внутри LAN внешнее имя exchange разрешалось в локальный адрес. Или настроить NAT Loopback на пф, что есть костыль.
                  Но ssl-сертификат exchange привязан ко внешнему имени. Без доп. телодвижений ругаться будет при заходе на .local

                  Я думаю, что по этой же причине и с внешнего адреса на OWA не пройти.

                  https://www.itwriting.com/blog/9592-publishing-exchange-with-pfsense.html
                  (?) http://www.digitalfoundations.com.au/blog/reverse-proxy-ssl-with-pfsense-inc-owa

                  Я с клиента ip 10.10.0.92 в IE с включенным прокис и галкой не использовать прокси для локальных серверов.
                  https://10.10.0.6/owa - работает.
                  https://epsilon/owa - работает.
                  https://epsilon.domain.local/owa - НЕ работает.

                  Покажите nslookup с этого клиента до epsilon и epsilon.domain.local

                  Зы. Зачем именовать домен .local, если у вас есть реальное доменное имя? Так и пользуйте его для именования домена. Лишние проблемы себе создаете с .local

                  Зы2. Попробуйте для теста прописать имя вашего локального домена в выделенное поле в настройках проблемного клиента. После сбросить кэш днс (ipconfig /flushdns от имени Админ-ра) и ping до epsilon проверить.
                  dns.png

                  Зы3. Если ваш пф работает dhcp-сервером, то указано ли корректно доменное имя (к-ое c .local) в его настройках? При правильности настроек пф будет выдавать dns-суффикс клиентам автоматом и ваш "голый" epsilon будет светиться как epsilon.domain.local

                  1 Reply Last reply Reply Quote 0
                  • A
                    Alexander-swmdx
                    last edited by Alexander-swmdx

                    Я обратил внимание на то, что PfSense не правильно резолвил локальные имена.
                    Я отключил DNS resolver и в System – General Setup – DNS Server Setting прописал внутренние DNS сервера. После чего я смог пройди из локальной сети по адресу https://epsilon.domain.local/owa ! )))

                    Осталось понять почему же из внешней сети я получаю такую ошибку.
                    Снимок.JPG

                    Когда я включаю фильтрацию SSL в Proxy Server - General Settings – General - SSL Man In the Middle Filtering

                    То из внутренней сети получаю такую же ошибку.

                    Снимок2.JPG

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.