не работает ICQ и https



  • Установлен  pfSense-2.0.1 как gate в инет развернут в данный момент на виртуальной машине для более простых манипуляций пока в тестовом варианте на замену юзергейт
    Установлен  squid+Lightsquid+squidGuard в принципе больше ненужно
    все прекрасно отрабатывает трафик  щелкает порнуху, музло, интернет радио,  итд блокирует
    настроена локальная авторизация в сети есть 2 dc, dhcp, dns, итд
    но на некоторые страницы не идет а в частности я так понимаю что все что связано с 443 портом
    и не работает icq не по 443 не по 5190 я не ас в никсах чисто поверхностно знаю
    подскажите если есть такая возможность где что понажимать посмотреть итд



  • Squid случайно не прозрачным прокси (transparent proxy) выставлен? https не работает через прозрачный прокси.
    Покажите так же правила для интерфейса LAN и посмотрите лог файрвола (Status -> System logs -> Firewall), не блокируются ли нужные вам соедиения.



  • нет Squid не прозрачный transparent proxy не ставил по умолчанию
    правила для интерфейса LAN

    ID  | Proto  |  Source  |     Port |    Destination |  Port  |Gateway      | Queue  |  Schedule    |    Description           |

    |  *   |  *       |          *        |  LAN Address |  22      |          *      |        *      |                  |  Anti-Lockout Rule  |
    |______|_________|____________|_______________|80||||___________|
        |  *   |  LAN net  | * |        *              |    *      |      *          | none    |                    | Default allow LAN    |
        |          |              |                    |                      |            |                  |              |                    |  to any rule          |

    лог файрвола (Status -> System logs -> Firewall)  там нет никаких упоминаний про 443



  • сам руками я вообще нечего не писал чистая установка и накатывание пакетов ну лишь настройка самой прокси не правил фаирвола итд я не менял все как было по умолчанию



  • ICQ и https у вас точно ходят через прокси? В браузере указан проки для https?
    Посмотрите лог прокси-сервера в консоли во время попытки https-коннекта:
    tail -f /var/squid/log/access.log
    И покажите кусок лога.



  • возможно не совсем корректно выразился не вообще не работает а не все страницы
    а вот аська вообще никак

    в браузере  указана прокся 172.16.8.8:3128
    ниже лог 
    как пример то есть гугл все ок
    1327775312.142  1580 172.16.8.50 TCP_MISS/200 17503 CONNECT mail.google.com:443 fish DIRECT/173.194.69.83 -
    1327775313.122  1203 172.16.8.50 TCP_MISS/200 6406 CONNECT mail.google.com:443 fish DIRECT/173.194.69.17 -
    где-то здесь я пытаюсь зайти в личный кабинет  все как обычно все ок но в браузере я нечего невижу то есть личный кабинет у меня не открылся
    1327775103.632  1657 172.16.8.50 TCP_MISS/200 2748 CONNECT bets.fonbet.com:443 fish DIRECT/81.198.186.52 -
    1327775107.542    929 172.16.8.50 TCP_MISS/200 11917 CONNECT bets.fonbet.com:443 fish DIRECT/81.198.186.52 -
    1327775109.070    724 172.16.8.50 TCP_MISS/200 1116 CONNECT bets.fonbet.com:443 fish DIRECT/81.198.186.52 -
    1327775111.777  3431 172.16.8.50 TCP_MISS/200 12568 CONNECT bets.fonbet.com:443 fish DIRECT/81.198.186.52 -
    1327775112.111  4485 172.16.8.50 TCP_MISS/200 4798 CONNECT bets.fonbet.com:443 fish DIRECT/81.198.186.52 -
    1327775113.440  1108 172.16.8.50 TCP_MISS/200 11032 CONNECT bets.fonbet.com:443 fish DIRECT/81.198.186.52

    а ICQ я вообще невижу в логе
    сервер ogin.icq.com
    порт 443
    тип прокси https
    прокся 172.16.8.8
    порт 3128
    лог fish
    пас *******

    вариации сокс5 итд толку ноль



  • Судя по логу, squid коннекты отрабатывает, так что дальнейшие поиски надо вести в программах, делающих https-запросы. Попробуйте сменить браузер, удалите cookies.
    Аську вы не видите в логах потому, что squid делает запись в лог только по окончании запроса CONNECT. При переходе аськи в оффлайн или при закрытии программы в логе должно появиться сообщение со строкой CONNECT и длиной запроса – количеством байт, переданных по данному соединению.
    Каким клиентом вы пользуетесь? У меня народ пользется Мирандой, через прокси бегает, проблем нет.
    Попробуйте аську выпустить наружу напрямую, минуя прокси. Правило на интерфейсе LAN вам это позволяет.



  • в основном qip
    а браузеры я разные уже пробовал одинаково
    в первом посте я писал что делаю шлюз взамен юзергейт вот значит на данный момент в сети получается 2 шлюза стоит 172.16.8.5 w2k3 + usergate  и второй 172.16.8.8.  pfsense  и  наблюдается такая фиговина в основном в опере я  иду на страничку  ну произвольно к примеру nix.ru тыкаю Ссылки на контент, прайс  итд и в какой-то момент времени вылазит табличка которая предлагает мне пройти авторизацию на прокси только не на 172.16.8.8 а на юзергейт тоесть на 172.16.8.5  ну  “это так мысли вслух скажем” может из-за этого все проблемы

    а вотут можно поподробней ""Попробуйте аську выпустить наружу напрямую, минуя прокси. Правило на интерфейсе LAN вам это позволяет."" или примерно носом в мануал, для меня честно контроллер домена поднять проще чем freebsd настроить



  • Похоже, у вас происходит путаница.
    Если вы собираетесь пускать всех клиентов через pfSense, то вам надо указать адрес его LAN-интерфейса в качестве шлюза. Или вообще включить dhcp на нём, тогда параметры будут выдаваться автоматически.
    Включен ли DNS Forwarder в pfSense?
    У вас, вы писали, поднят DC в сети? Следовательно, есть DNS-сервер контроллера домена.
    Тогда клиентам надо отдавать адрес доменного DNS-сервера, а уже в доменном DNS можно в качестве форвардера прописать ip-адрес pfSense.
    Опишите настройки клиентов: указан ли LAN-интерфейс pfSense в качестве шлюза в сетевых настройках? Правильно ли прописан DNS-сервер?
    То, что у вас пояляется окно с авторизацией на UserGate наводит на мысль, что вы выпускаете pfSense в Интернет через него. Получается двойной прокси, тут и может крыться проблема. Попробуйте выпустить pfSense напрямую, минуя UserGate.
    Насчет аськи - просто выключите использование прокси-сервера в клиенте. В правилах для LAN-интерфейса у вас разрешено прохождение пакетов из LAN сети куда угодно.
    Не используя прокси, клиент, будь то аська или браузер, сможет обратиться к удаленному хосту в случае, если у него прописаны корректные параметры:
    1. ip-адрес с маской;
    2. шлюз;
    3. dns-сервер.

    А вообще, было бы неплохо, если бы вы привели схему сети. Было бы понятнее, где может быть проблема.



  • как построена сеть это очень долго расписывать примерно я нарисовал
    а вообще там три разные подсети, клиенты отделены друг от друга, политиками запрещен доступ к различным данным итд

    но сейчас конкретно для примера я беру общую сеть 172.16.8.* на ней происходит тест
    а в те дебри лезть не стоит мне очень долго придется описывать на какой я такое тут нагородил

    “в доменном DNS в качестве форвардера ip-адрес pfSense.”  Точно так и сделано тока их  там 2 и pfsens и usergate

    LAN-интерфейс
    Адреса получаем автоматически
    IP-адрес: 172.16.8.50
    Маска подсети: 255.255.252.0
    Основные шлюзы: 172.16.8.5, 172.16.8.8
    DHCP-сервер: 172.16.8.80
    Аренда получена: 27.01.2012 5:15:55
    Аренда истекает: 03.02.2012 5:15:55
    DNS-сервер: 172.16.8.40

    В pfsense    -  DNS forwarder  включен

    Не не usergate и pfsens стоят паралельно
    Зарисовка сети  плюс минус




  • Основные шлюзы: 172.16.8.5, 172.16.8.8

    Исключите у клиентов упоминание ip-адреса, на котором стоит UserGate – не должно быть его ни в шлюзах, ни в прокси-серверах.



  • Вы говорите если с аськи убрать авторизацию должно работать но при настройки прокси я же там что-то ставлю и инет у всех вырубает и включает только для разрешенных подсетей
    а точто вы говорите убрать второй который usergate пока что нет возможности отчет у бухов хотя
    могу смоделировать сеть и несколько клиентов на виртуалке



  • @teslaadm:

    в основном qip

    Qip ходит по 80 му порту
    Ищите причину в структурe сети, днс.



  • @teslaadm:

    Вы говорите если с аськи убрать авторизацию должно работать но при настройки прокси я же там что-то ставлю и инет у всех вырубает и включает только для разрешенных подсетей
    а точто вы говорите убрать второй который usergate пока что нет возможности отчет у бухов хотя
    могу смоделировать сеть и несколько клиентов на виртуалке

    Наверное, вам стоит пояснить, хотя бы в общих словах, как работает http-клиент.
    Если в клиенте прописано, что надо использовать прокси, он шлёт http-запросы именно на него. Прокси-сервер, в зависимости от выставленных правил, либо получает для клиента объект по запрошенному адресу и отдает его, либо, если стоит запрет, не получает объект и сообщает о запрете клиенту клиенту (ошибка http 403). При этом клиент может не использовать ни DNS, ни шлюз по умолчанию, так как все операции по определению ip по имени хоста и отправку запроса на удаленный http-сервер берёт на себя прокси.
    Если клиенту не указано, что надо использовать прокси, клиент шлёт http-запросы непосредственно на хост, указанный в URL, через шлюз по умолчанию, самостоятельно определяя адрес по имени хоста, делая запрос к серверу DNS. Прокси в данной ситуации вообще не при чём, все http-запросы идут мимо него. Потому и не действуют ограничения, которые вы указали в прокси.
    В связи с этим я и предлагал отключить использование прокси в клиентах, чтобы выявить звено, в котором возникает проблема.



  • Спасибо огромное всем за помощь лучшее во всем деле оказывается выспаться как-то после 2х суток мозг отключен видимо напрочь
    Нарисовал на виртуалке новую сетку завернул ее на pfsense без параллельных гейтов все заработало
    Глюк был из-за параллельно стоящего usergate
    Пока не совсем разобрался с правилами фаэрвола
    Я их немного подправил
    Не могу запустить  чтобы с ftp качало через 3128
    Вопросик насколько актуально антивирус на шлюзе скорость инета итак не айс




  • Squid - http-прокси, следовательно в вашем ftp-клиенте это и надо указать.
    К примеру, в Total Commander можно явно указать в настройках ftp-соединения, что используемый прокси имеет тип http.



  • это все так
    аську я запустил через 3128 заработала
    к примеру берем Internet Explorer в нем написано использовать прокси ip 172.16.8.8:3128
    Инет работает
    ftp не хочет
    ставлю ну к примеру адрес 192.168.1.55 втыкаюсь в хаб после модема
    напрямую с модема все качается с ftp итд
    переходим под сквид ставлю себе на лан к примеру адрес 172.16.8.240 либо получаю от DHCP какой нибудь там 172.16.10.48 не дает скачать с ftp ресурсов говорит ошибка

    сайт произвольный
    ОШИБКА
    Запрошенный URL не может быть доставлен
    –------------------------------------------------------------------------------
    Во время доставки URL: ftp://ftp2.nix.ru/download/price/Nix3.ZIP
    Произошла следующая ошибка:
    Превышено время ожидания ответа.
    Система сообщила:
        [No Error]Превышено время ожидания ответа во время чтения данных из сети. Сеть или сервер не работают либо перегружены. Пожалуйста, повторите запрос.
    –------------------------------------------------------------------------------
    Generated Fri, 03 Feb 2012 06:00:28 GMT by (squid)

    либо вот так
    К сожалению, Google Chrome не может открыть страницу ftp2.nix.ru.
    Попробуйте:
    Перейдите на страницу nix.­ru
    Снова откройте страницу: ftp:­/­/­ftp2.­nix.­ru/­download/­price/­Nix3.­ZIP



  • Во время доставки URL: http://ftp://ftp2.nix.ru/download/price/Nix3.ZIP

    Так вы посмотрите на URL, он у вас некорректный. Префикс должен быть один, либо "http://", либо, как в вашем случе, "ftp://"



  • @remark:

    Во время доставки URL: http://ftp://ftp2.nix.ru/download/price/Nix3.ZIP

    Так вы посмотрите на URL, он у вас некорректный. Префикс должен быть один, либо "http://", либо, как в вашем случе, "ftp://"

    Это форум добавил. Нужно писать с префиксом _..



  • Тогда надо посмотреть вывод команды tail -f /var/squid/log/access.log

    Проделал то же самое у себя, в логе появляется запись:

    1328525035.994   1394 192.168.40.9 TCP_MISS/200 735269 GET ftp://ftp2.nix.ru/download/price/Nix3.ZIP remark DIRECT/195.128.95.131 application/zip
    

    192.168.40.9 - мой локальный IP; браузер Firefox 10.0/Win32, стоит галочка "один прокси-сервер для всех протоколов", прокси прописан явно (не прозрачный).



  • Я надеюсь тему еще не закрыли а то приболел малость

    1329101823.920    296 172.16.8.220 TCP_MISS/200 636 GET http://e.mail.ru/cgi-bin/checknew? galka DIRECT/94.100.184.15 text/html
    1329101824.182    255 172.16.8.220 TCP_MISS/200 433 GET http://mail.radar.imgsmail.ru/update? galka DIRECT/128.140.168.92 image/gif

    вот это мое я так понимаю пробовал эксплорер, гугл, оперу, мозилу

    1329101828.653    17 172.16.8.50 TCP_MISS/404 0 CONNECT 117.79.92.44:443 fish DIRECT/- -
    1329101828.700    17 172.16.8.50 TCP_MISS/404 0 CONNECT 130.117.190.216:443 fish DIRECT/- -
    1329101828.702      0 172.16.8.50 TCP_MISS/404 0 CONNECT 202.177.216.233:443 fish DIRECT/- -
    1329101830.745      0 172.16.8.50 TCP_MISS/404 0 CONNECT 79.141.216.13:443 fish DIRECT/- -

    1329101839.190      2 172.16.8.25 TCP_DENIED/407 1706 CONNECT autoupdate.opera.com:443 - NONE/- text/html
    1329101840.991      0 172.16.8.23 TCP_DENIED/403 1285 CONNECT 217.69.129.211:2042 - NONE/- text/html

    жамкнул тут отчет по трафику там появилась надпись “пользователи превысившие квоту в 10 мег” откуда это и где это ставится ума не приложу и почему не отключает тогда пользователей раз они превысили

    заметно увеличилось время при отправке почты если прицеплен фаил очень долго хотя фаил весит килобайты большой пока непробовал отправить




  • жамкнул тут отчет по трафику там появилась надпись “пользователи превысившие квоту в 10 мег” откуда это и где это ставится ума не приложу и почему не отключает тогда пользователей раз они превысили

    Это из отчета формируется. Отключать не должно, так как нет такого функционала в пакетах.



  • да это я понимаю может чегонить прикрутить к нему чтоб отключало юзеров

    хотя я уже пытался http://forum.pfsense.org/index.php/topic,43926.0.html  сделать вот это
    работает тока по ip похоже по логинам не отключает а жаль очень бы хотел особо назойливых

    еще столкнулся с такой бедой не уходит почта более 5 мегов 2-3 свободно а 6 уже не идет пишет что по завершено по таймауту



  • @teslaadm:

    еще столкнулся с такой бедой не уходит почта более 5 мегов 2-3 свободно а 6 уже не идет пишет что по завершено по таймауту

    Это может быть ограничением на почтовом сервере .


Log in to reply