No se puede abrir una página con el pfSense



  • Buenas tardes

    Soy un usuario novel de pfSense, el cual ya tuve trabajando como router/proxy/filtro web un tiempo en la empresa sin problemas, pero debido a que de repente un día perdí la navegacion en la página www.multipack.com.mx (la cual es importante para nosotros) tuve que reemplazarlo de manera temporal  (quiero creerlo) por un endian.

    He revisado el porqué de ese fallo con la página pero no encuentro nada que me ayude, hace un rato hice pruebas (puse el pfsense conectado tras el endian, solo habilité el proxy y configuré mi navegador para usar dicho proxy sin cambiar la puerta de enlace de mi pc que sigue apuntando al endian), y de repente se bloqueó el acceso a dicha página de manera general a todos los usuarios (la cual funcionaba bien con el endian), por lo cual creo que algún cambio hicieron en la página. Dicho bloqueo dura unos minutos y la navegación de la página regresa (supongo que es el comportamiento del firewall del endian)

    Hice pruebas con los proveedores (telmex), y con el pfSense no puedo navegar el sitio multipack.com.mx, intenté también instalar un pfsense en una zona geográfica distinta y obtuve los mismos resultados: sin navegación en ese sitio.

    No he podido averiguar a que se deba el problema (o que sea un problema que afecta solo al pfsense, porque con los otros routers que he probado (lease smoothwall, endian) los usuarios abren correctamente el sitio antes mencionado), por lo cual acudo a ustedes para saber si alguien me pueda dar una idea de lo que pueda estar ocasionando dicho fallo

    Gracias de antemano



  • ¡Hola!

    Haz una prueba empleando la IP de este sitio, http://148.235.166.101/

    De esta manera podrás descartar si es un problema de bloqueo de IP o no. Si ves la página entonces hay un problema con la resolución DNS.

    O bien con el proxy … Entiendo que tienes el paquete squid montado en pfSense. ¿Con reglas de squidguard también o no? ¿Está en modo transparente o no?

    ¿Qué versión de pfSense?

    Saludos,

    Josep Pujadas



  • hola Josep, gracias de antemano por la respuesta

    hice pruebas con la ip tal y como lo sugeriste, y veo que sin proxy puedo navegar correctamente por dicho sitio, probé con el url y la navegaciòn es correcta, por lo cual el problema parece ser el proxy  :'( , no quiero tener un segundo equipo por separado para esa funciòn de proxy y filtrado, pero ninguno de los otros firewall que he probado me ofrecen lo que me da el pfSense (filtrado por grupos, y el firewall completamente personalizable)

    Por cierto, uso el pfSense 1.2.2



  • ¡Hola!

    ¿Con el proxy activado yendo con IP llegas a la web o no?

    La impresión es que tienes alguna regla de filtrado que te bloquea este sitio. ¿Sale alguna página de acceso denegado?

    Saludos,

    Josep Pujadas



  • Hola!

    Con el proxy habilitado no puedo ver dicho sitio, en estas pruebas no instalé el squidguard, el proxy està habilitado con la configuraciòn que trae la instalaciòn de dicho paquete y el firewall tampoco lo he tocado, está con las reglas que trae por default, sin proxy abre correctamente el sitio.



  • Raro es …

    ¿Sale algún error en pantalla o se queda pensando?

    Aunque no tengas squidguard montado puedes tener alguna ACL de squid que te esté denegando el acceso.

    ¿Has mirado el access.log de squid?

    Saludos,

    Josep Pujadas



  • Cuándo trato de accesar con la url me da esto:

    1253569809.881  22436 192.168.0.76 TCP_MISS/000 0 GET http://www.multipack.com.mx/ - DIRECT/www.multipack.com.mx -

    y con la ip me da:

    1253570009.279 180158 192.168.0.76 TCP_MISS/504 1403 GET http://148.235.166.101/ - DIRECT/148.235.166.101 text/html

    Editado.

    Después de un rato aparece:

    1253571645.246    109 192.168.0.76 TCP_MISS/200 1272 GET http://www.multipack.com.mx/ - DIRECT/148.235.166.101 text/html
    1253571825.916 180646 192.168.0.76 TCP_MISS/504 1461 GET http://www.multipack.com.mx/scripts/funcionesMenu.js - DIRECT/148.235.166.101 text/html
    1253571885.034 239788 192.168.0.76 TCP_MISS/504 1447 GET http://www.multipack.com.mx/css/multipack.css - DIRECT/148.235.166.101 text/html
    1253571967.399  1202 192.168.0.76 TCP_MISS/200 2905 GET http://javadl-esd.sun.com/update/1.6.0/map-1.6.0.xml - DIRECT/204.2.241.147 application/xml
    1253571987.771    534 192.168.0.76 TCP_MISS/304 396 GET http://javadl-esd.sun.com/update/1.6.0/map-1.6.0.xml - DIRECT/204.2.241.147 application/xml
    1253572065.393 180308 192.168.0.76 TCP_MISS/504 1449 GET http://www.multipack.com.mx/scripts/datMenu.js - DIRECT/148.235.166.101 text/html
    1253572089.450  24035 192.168.0.76 TCP_MISS/000 0 GET http://www.multipack.com.mx/ms.php - DIRECT/www.multipack.com.mx -
    1253572089.718  24301 192.168.0.76 TCP_MISS/000 0 GET http://www.multipack.com.mx/Funcional/modules.php? - DIRECT/www.multipack.com.mx -

    Pero tras eso manda el time out.



  • ¡Hola!

    Bueno, es evidente que algo no funciona …

    http://blog.admon.org/2009/09/details-about-tcp_miss000-in-squid-access-log/

    Los objetos de la web no están en caché (TCP_MISS), lo que es normal porque nunca has podido acceder a ella con el proxy.

    Hay un exceso de tiempo, por algún motivo. Tanto por nombre como por IP ... O sea que no parece la resolución DNS.

    ¿Qué tipo de máquina tienes y cuantos usuarios/conexiones tiene que atender?

    O hay un problema en el soft (squid) o la red va lenta por algún motivo (¿máquina?).

    Saludos,

    Josep Pujadas



  • Josep, hola

    haciendo pruebas con el pfSense 2 alpha, si abre correctamente el site problemático, mas como aún está en pruebas (y aparte a mi me falló tan solo querer cambiar la configuración de la interface WAN), dejaré mientras el endian en lo que hacen la versión 2 estable (aparte que me gustó en principio las características nuevas que incorpora el pfSense)

    Saludos y gracias por tu tiempo

    PD: mientras iré leyendo aquí el foro para aprender mas acerca de las soluciones para este fantástico firewall



  • Yo tengo el mismo problema, y no quisiera meterme a usar un Alpha, de que forma podra arreglarse, intente hacer una redireccion interna de puerto 8080 hacia multipack para que entraran por http://myipdefirewall:8080 -> http://www.multipack.com.mx:80 pero no me funciono, esto para evitar el proxy, alguna idea?

    @Eitor:

    Josep, hola

    haciendo pruebas con el pfSense 2 alpha, si abre correctamente el site problemático, mas como aún está en pruebas (y aparte a mi me falló tan solo querer cambiar la configuración de la interface WAN), dejaré mientras el endian en lo que hacen la versión 2 estable (aparte que me gustó en principio las características nuevas que incorpora el pfSense)

    Saludos y gracias por tu tiempo

    PD: mientras iré leyendo aquí el foro para aprender mas acerca de las soluciones para este fantástico firewall



  • bueno, haciendo y deshaciendo con el pfsense vi que la solución consiste en actualizar el squid, yo lo hice de la siguiente manera:

    Se instala primero el squid desde el administrador de paquetes de pfSense

    habilita el acceso remoto ssh

    Se baja el squid de ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-7-stable/Latest/squid.tbz

    Se baja el Perl también (por si las dudas) de ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-stable/All/perl-5.8.9_3.tbz

    Se pasan al pfSense, yo uso el winscp para transferir los archivos al directorio /tmp, se instala primero el Perl con el comando pkg_add -f perl-5.8.9_3.tbz, luego el squid con pkg_add -f squid.tbz

    Se reinicia el pfSense, el sistema regenera el squid.conf, entonces se asegura uno que el parámetro Hard Disk Cache System esté en ufs (el aufs hace que falle el squid actualizado) y listo, se puede navegar en www.multipack.com.mx.

    Algunos parámetros del squid.conf no son reconocidos por el squid nuevo, pero no creo que haya mayor problema (son relacionados con las delay pools).

    Tuchis, espero te sea de ayuda

    PD: edité mi post porque me faltaban aclarar algunos puntos



  • Lo probare y les aviso.

    Gracias!!!

    @Eitor:

    bueno, haciendo y deshaciendo con el pfsense vi que la solución consiste en actualizar el squid, yo lo hice de la siguiente manera:

    Se baja el squid de ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-7-stable/Latest/squid.tbz

    Se baja el Perl también (por si las dudas) de ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-stable/All/perl-5.8.9_3.tbz

    Se pasan al pfSense, se instala primero el Perl con el comando pkg_add -f perl-5.8.9_3.tbz, luego el squid con pkg_add -f squid.tbz

    Se reinicia el pfSense, el sistema regenera el squid.conf, entonces se asegura uno que el parámetro Hard Disk Cache System esté en ufs (el aufs hace que falle el squid actualizado) y listo, se puede navegar en www.multipack.com.mx.

    Algunos parámetros del squid.conf no son reconocidos por el squid nuevo, pero no creo que haya mayor problema (son relacionados con las delay pools).

    Tuchis, espero te sea de ayuda



  • Tuchis, se me pasó especificar que antes de instalar ese squid debes tener el del pfsense instalado, nada dificil con el menú packages.

    @tuchis:

    Lo probare y les aviso.

    Gracias!!!

    @Eitor:

    bueno, haciendo y deshaciendo con el pfsense vi que la solución consiste en actualizar el squid, yo lo hice de la siguiente manera:

    Se baja el squid de ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-7-stable/Latest/squid.tbz

    Se baja el Perl también (por si las dudas) de ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-stable/All/perl-5.8.9_3.tbz

    Se pasan al pfSense, se instala primero el Perl con el comando pkg_add -f perl-5.8.9_3.tbz, luego el squid con pkg_add -f squid.tbz

    Se reinicia el pfSense, el sistema regenera el squid.conf, entonces se asegura uno que el parámetro Hard Disk Cache System esté en ufs (el aufs hace que falle el squid actualizado) y listo, se puede navegar en www.multipack.com.mx.

    Algunos parámetros del squid.conf no son reconocidos por el squid nuevo, pero no creo que haya mayor problema (son relacionados con las delay pools).

    Tuchis, espero te sea de ayuda



  • Ya probe la receta y es funciona, deja entrar a la pagina despues de instalados los paquetes. Gracias.


Log in to reply