Problema con SSL proxy transparente

UNIS2019 · Dec 5, 2019, 2:55 PM

Buenos días a todos, espero se encuentren muy bien.
Version: Pfsense 2.4.4-RELEASE-p3
No soy muy experto en pfsense, he estado consultando e intentando configurar proxy en una red que puede estar entre 100 y 500 usuarios para realizar un filtrado de contenido, restricciones y así tratar de estabilizar la red un poco, por este motivo y porque hay conexión de dispositivos de manera inalambrica (desconocidos) he decidido implementar el proxy transparente.
He creado un CA y un certificado incluyendo el CA mencionado anteriormente, habilitado el squid proxy, configurado el proxy transparente, creado una regla para que todo lo que venga desde la red LAN y vaya dirigido a la puerta de enlace se envie por los puertos del proxy (he creado un alias con ambos puertos HTTP y HTTPS que ofician como 3128 y 3129).
Algunas paginas HTTPS funcionan normalmente, pero por ejemplo las de correo populares como google(funciona aveces y otras veces no) hotmail y gmail no navegan (al momento de dar iniciar sesion aparece un error), aparece el siguiente error.
Paginas como facebook y youtube navegan normalmente, pero en la de google y las de correo que son de gran importancia no. Tengo deshabilitado squidguard debido a que no he podido solucionar este inconveniente, así que no hay forma de que sea algún target creado allí.
Me gustaría saber si el proxy transparente funciona normalmente en SSL o si tal vez he omitido algún paso importante para que este funcione correctamente.

Muchas gracias por su atención, quedo atento.

periko · Dec 7, 2019, 2:26 PM

El correo con quien lo manejas?

UNIS2019 · Dec 7, 2019, 4:07 PM

Buenos días,
el correo es contratado con el dominio de g-suite de gmail, tiene un nombre@dominioX.edu.co, pero no dejaba ingresar ni a gmail.com ni a hotmail.com

Creo que lo he solucionado (lo tengo en pruebas y anda funcionando) desde la configuración de squid proxy server, dejando dentro de la opción de "SSL Man In the Middle Filtering" y en el item "Remote Cert Checks" solo seleccionada la opcion "Accept remote server certificate with errors", y en "Certificate Adapt" seleccionando todas las opciones.
Me gustaría saber la explicación de estas opciones, porque aunque ya funciona todo correctamente (hasta el momento) no se en que puedan afectar estas configuraciones.

Saludos.

periko · Dec 7, 2019, 4:48 PM

MITM es un misterio, algunos les funciona bien, a otros no, no hay una solucion general para todos.

Esperemos te funcione, es un software gratis, no tiene soporte comercial al menos que lo contrates, para mi Squid+SG nos trabajara un 85% sin problemas, pero son necesario si deseams tener un control sobre que entra y sale de la red.

El 15% es donde no y es cuando dicen 'tengo problemas'.

Asi que esperemos esa opcion sea tu solucion si no a seguir buscandole, saludos.

UNIS2019 · Dec 7, 2019, 5:26 PM

Si, es un poco extraño y al parecer esto ha solucionado el problema. En este momento estoy probando, configurando el squidguard y al parecer anda bien.

Me gustaría saber la explicación dentro de la opción de "SSL Man In the Middle Filtering" para que sirven las selecciones que hay dentro de "Remote Cert Checks" y en "Certificate Adapt", porque aunque ya funciona todo correctamente (hasta el momento) no se en que puedan afectar estas configuraciones.

Saludos.

periko · Dec 7, 2019, 5:27 PM

Aqui te recomiendo leer la doc de Squid ahi vas a encontrar esas respuestas, saludos.

UNIS2019 · Dec 7, 2019, 5:28 PM

Muchas gracias, sabes en que lugar puedo encontrar el documento?
Saludos.

periko · Dec 7, 2019, 5:30 PM

@UNIS2019 yo me iria por google, saludos.

sonerzin · Dec 13, 2019, 10:10 AM

@UNIS2019 yo para solventar este problema, que la verdad hay veces que se cargan un poco lentas las imagenes en webs tipo amazon por ejemplo, lo tengo de la siguiente forma:
General Setup/DNS Servers/ y el primero de todo tengo la 127.0.0.1, luego las 2 de google, tambien tengo la opción marcada "Disable DNS Forwarder". A parte, en NAT/Port Forward/ tengo esta regla:
"LAN TCP/UDP * * * 53 (DNS) 127.0.0.1 53 (DNS) Redirect DNS - LAN"

Y en el SQUID Proxy Server/SSL Man In the Middle Filtering/:
Remote Cert Checks: Accept remote Server
Certificate Adapt: Ninguno de los 3 marcados.

Que alguien me corrija si hay algo extraño o que no debería tener así por seguridad, etc... pero es lo que he ido cogiendo información de muchas partes y al final esta configuración me esta yendo bien.

Un saludo.

UNIS2019 · Dec 14, 2019, 3:34 PM

Tenemos una configuración similar, aunque yo la cambie la regla por "todo lo que vaya dirigido a la dirección del firewall se vaya por los puertos asignados en el proxy" y me esta funcionando correctamente hasta el momento.

En el SQUID Proxy Server/SSL Man In the Middle Filtering/:
Remote Cert Checks: Accept remote Server certificate with errors
Certificate Adapt: los 3 marcados.

En este momento estoy en etapa de prueba, pero en 1 semana ha funcionado correctamente añadiendo funciones del squiguard.