Https via squid3



  • Olá a todos.

    Habilitei e configurei o squid3 no pfsense. Está em modo não transparente e sem autenticação (por enquanto!!!)…
    Criei uma regra direcionando todo o trafego para a porta 3128 e bloqueando tudo nas portas 80 e 443...
    Estou navegando normalmente em todo tipo de site http... Mas..... quanto é qualquer um site https do google aí fica estranho...
    o primeiro erro é de dns (esta pagina nao pode ser exibida)... aí dou um ctrl F5 e vem um erro do squid (conexao para [unknown] falhou : erro 22 - invalid argument)…
    geralmente no terceiro F5 a pagina carrega normalmente... e as vezes carrega de primeira tbem?!?!?!?!?!
    Em qualquer outro htps que testei (bancos, hotmail, etc...) funcionou de primeira... só nos do google dá esse erro estranho...

    Alguem já passou (ou está passando) pelo mesmo problema??

    []s

    Oswaldo Romano



  • @sosmicro:

    Olá a todos.

    Habilitei e configurei o squid3 no pfsense. Está em modo não transparente e sem autenticação (por enquanto!!!)…
    Criei uma regra direcionando todo o trafego para a porta 3128 e bloqueando tudo nas portas 80 e 443...
    Estou navegando normalmente em todo tipo de site http... Mas..... quanto é qualquer um site https do google aí fica estranho...
    o primeiro erro é de dns (esta pagina nao pode ser exibida)... aí dou um ctrl F5 e vem um erro do squid (conexao para [unknown] falhou : erro 22 - invalid argument)…
    geralmente no terceiro F5 a pagina carrega normalmente... e as vezes carrega de primeira tbem?!?!?!?!?!
    Em qualquer outro htps que testei (bancos, hotmail, etc...) funcionou de primeira... só nos do google dá esse erro estranho...

    Alguem já passou (ou está passando) pelo mesmo problema??

    []s

    Oswaldo Romano

    tenta apontar seu dns pro dns do google (8.8.8.8 e 8.8.4.4)



  • @synap:

    tenta apontar seu dns pro dns do google (8.8.8.8 e 8.8.4.4)

    Synap..

    Já tentei mudar o dns… fica a mesma coisa... já tentei do OpenDns tbem...

    []s



  • Em um computador tente acessar os serviços gerando esses erros, depois vá no PFSense no "System Logs" clique na aba Firewall e depois no campo de pesquisa, coloque o IP da maquina que acabou de gerar os erros.

    Nisso você tem como saber melhor o que pode ser.

    Outra possibilidade é cache. Tente colocar o dominio todo da google para não fazer cache.



  • O log do squid mostra algum erro?

    Sua configuração parece estar correta.

    Como tentativa, desabilite o dns forwarder no menu services(e talvez um boot).

    att,
    Marcello Coutinho



  • @LFCavalcanti:

    Outra possibilidade é cache. Tente colocar o dominio todo da google para não fazer cache.

    FLCavalcanti…

    coloquei o dominio do google para nao fazer cache... mas mesmo assim veja os logs do real time do squid3.

    Date IP Status Address User Destination
    14.06.2012 17:14:35 192.168.0.1 TCP_MISS/200 accounts.youtube.com:443 - 74.125.234.197
    14.06.2012 17:14:35 192.168.0.1 TCP_MISS/200 ssl.gstatic.com:443 - 74.125.234.207
    14.06.2012 17:13:40 192.168.0.1 TCP_MISS/503 mail.google.com:443 - -
    14.06.2012 17:13:40 192.168.0.1 TCP_MISS/200 www.google.com:443 - 74.125.234.209
    14.06.2012 17:13:39 192.168.0.1 TCP_MISS/204 http://www.google.com.br/csi? - 74.125.234.223
    14.06.2012 17:13:38 192.168.0.1 TCP_MISS/200 http://www.google.com.br/ - 74.125.234.223
    14.06.2012 17:13:38 192.168.0.1 TCP_MISS/200 www.google.com:443 - 74.125.234.209



  • O TCP_MISS/200 significa acesso sem cache  ;)

    TCP_HIT e TCP_MEM_HIT são os logs de cache.



  • @marcelloc:

    O TCP_MISS/200 significa acesso sem cache  ;)

    TCP_HIT e TCP_MEM_HIT são os logs de cache.

    Marcelloc…
    os logs que postei foram depois que retirei os endereços do google da opcão de não fazer cache...
    O que notei foi que mesmo com o cache habilitado, só tenho TCP_MISS/200 ... ou seja ... será que o cache então não está funcionando???
    notei que para cada 100  TCP_MISS/200 tenho apenas 3 TCP_HIT.. é normal???



  • @sosmicro:

    notei que para cada 100  TCP_MISS/200 tenho apenas 3 TCP_HIT.. é normal???

    Se o seu acesso é basicamente conteúdo dinâmico, então sim é normal.



  • Acho que entendi o seu problema.

    Você disse que está redirecionando todo o trafego para a porta do Squid, até ai correto, mas você configurou os navegadores para usarem o Proxy?

    Pois serviços que usam conexão segura vão tentar conectar pela porta 443 mesmo se tiver algum NAT(Redirect) pelo caminho. Colocando o Proxy no navegador(IE, FF, Chrome, etc) você faz o navegador entender que os pacotes HTTPS precisam ser encapsulados pelo Proxy.

    Coloque o Proxy nos navegadores, isso deve resolver.



  • @LFCavalcanti:

    Acho que entendi o seu problema.

    Você disse que está redirecionando todo o trafego para a porta do Squid, até ai correto, mas você configurou os navegadores para usarem o Proxy?

    Pois serviços que usam conexão segura vão tentar conectar pela porta 443 mesmo se tiver algum NAT(Redirect) pelo caminho. Colocando o Proxy no navegador(IE, FF, Chrome, etc) você faz o navegador entender que os pacotes HTTPS precisam ser encapsulados pelo Proxy.

    Coloque o Proxy nos navegadores, isso deve resolver.

    LFCavalcanti.

    Os navegadores estão com o proxy configurado. (estou usando o squid3 + dansguardian + autenticação local). Já testei com o opera, chrome e IE… Hoje estou direcionando o tráfego todo para o Dansguardian (porta 8080) e o problema persistiu (antes era só para o squid3 sem autenticação).. se tiro o proxy fica normal... com proxy dá o erro.... como já disse é só com os dominios https do google, qualquer outra página https carrega normalmente....

    []s



  • sosmicro,

    Se me lembro bem, existe uma configuração/patch a aplicar na maquina para o google funcionar via proxy(não acontece em todas as redes/maquinas).

    Não me lembro de cabeça o que é, mas o google deve lembrar  :)

    veja se o gmail em modo básico abre, se abrir, estamos falando do mesmo problema.

    att,
    Marcello Coutinho



  • @marcelloc:

    sosmicro,

    Se me lembro bem, existe uma configuração/patch a aplicar na maquina para o google funcionar via proxy(não acontece em todas as redes/maquinas).

    Não me lembro de cabeça o que é, mas o google deve lembrar  :)

    veja se o gmail em modo básico abre, se abrir, estamos falando do mesmo problema.

    att,
    Marcello Coutinho

    Marcello.
    O patch é exclusivo para o squid3 ou é para o pfsense???
    veja que consigo abrir as paginas mas somente depois de  uns 4x  ctrl F5…
    veja as mensagens do proxy quando tento abrir a pagina (estou na pagina do google e clico em agenda por exemplo:) E quase sempre sao os mesmos erros. qdo clico em agenda dá uma tela de erro de dns (esta pagina nao pode ser exibida etc.... ). no primeiro ctrl F5 aparece uma tela de erro do squid (conexao para [unknown] falhou : erro 22 - invalid argument). no terceiro ctrl F5 algumas imagens não carregam, aí no quarto ctrl F5 a página é corretamente exibida…...

    Date IP Status Address User Destination
    15.06.2012 18:22:58 192.168.0.254 TCP_HIT/200 http://www.squid-cache.org/Artwork/SN.png teste1 -
    15.06.2012 18:22:58 192.168.0.254 TCP_MISS/503 accounts.google.com:443 teste1 -
    15.06.2012 18:22:55 192.168.0.254 TCP_MISS/503 www.google.com:443 teste1 -
    15.06.2012 18:22:53 192.168.0.254 TCP_MISS/204 http://www.google.com.br/csi? teste1 74.125.234.223
    15.06.2012 18:22:53 192.168.0.254 TCP_MISS/200 http://www.google.com.br/ teste1 74.125.234.223
    15.06.2012 18:19:27 192.168.0.254 TCP_MISS/200 mail.google.com:443

    veja os TCP_MISS/503 (TCP_MISS/503 The dnsserver returned:Refused: The name server refuses)



  • @sosmicro:

    O patch é exclusivo para o squid3 ou é para o pfsense???

    O patch é para o windows.



  • O patch é para o windows.

    vixi… procurei ate cansar os dedos... achei coisas sobre winhttp, netsh, ipconfig... fiz todas mas nenhuma adiantou...
    pensei entao em testar com outra versão do windows (estava com o xp sp3 em uma maquina virtual), então criei mais 3 vms (seven, window8, ubuntu)... e nada..
    o mesmo erro apenas nos https do google!!!!!!!!!!!!!e tome ctrl F5 :)

    idéias???? pode ser um erro do proxy (squid3)????



  • Instala o firebug no firefox e veja se consegue descobrir alguma coisa na aba rede.



  • @marcelloc:

    Instala o firebug no firefox e veja se consegue descobrir alguma coisa na aba rede.

    marcello … o primeiro cabeçalho é para o google agenda e o segundo para o gmail.....

    Cabeçalhos de Respostaboa impressão

    HTTP/1.0 503 Service Unavailable
    Server: squid/3.1.19
    Mime-Version: 1.0
    Date: Sat, 16 Jun 2012 01:50:08 GMT
    Content-Type: text/html
    Content-Length: 3389
    X-Squid-Error: ERR_CONNECT_FAIL 22
    Proxy-Connection: Close

    Cabeçalhos de Solicitaçãoboa impressão

    GET /accounts/CheckConnection?pmpo=https%3A%2F%2Faccounts.google.com&v=1643734519×tamp=1339811399305 HTTP/1.1
    Host: accounts.youtube.com
    User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13 (.NET CLR 3.5.30729)
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8
    Accept-Language: pt-br,pt;q=0.8,en-us;q=0.5,en;q=0.3
    Accept-Encoding: gzip,deflate
    Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
    Keep-Alive: 115
    Connection: keep-alive
    Referer: https://accounts.google.com/ServiceLogin?service=cl&passive=1209600&continue=https://www.google.com/calendar/render?tab%3Dnc&followup=https://www.google.com/calendar/render?tab%3Dnc&scc=1
    Cookie: VISITOR_INFO1_LIVE=clx3TnHOkCo; PREF=f1=50000000&fv=11.2.202

    Cabeçalhos de Respostaboa impressão

    HTTP/1.0 503 Service Unavailable
    Server: squid/3.1.19
    Mime-Version: 1.0
    Date: Sat, 16 Jun 2012 01:53:39 GMT
    Content-Type: text/html
    Content-Length: 3374
    X-Squid-Error: ERR_CONNECT_FAIL 22
    Proxy-Connection: Close

    Cabeçalhos de Solicitaçãoboa impressão

    GET /mail/?tab=wm HTTP/1.1
    Host: mail.google.com
    User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13 (.NET CLR 3.5.30729)
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8
    Accept-Language: pt-br,pt;q=0.8,en-us;q=0.5,en;q=0.3
    Accept-Encoding: gzip,deflate
    Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
    Keep-Alive: 115
    Connection: keep-alive
    Referer: http://www.google.com.br/
    Cookie: PREF=ID=d7a0f6c765667ab0:TM=1298817641:LM=1337335013:S=UjiIc5wNmVdWegm6; NID=60=Je1kCZrHnH5lg_SfuDm9z_-W2KNNmUx_mMOZU886CUaWUIV8tn2tuWWHERgGYlO37Wm4U24oY8TQGOosKmnYgG3Ad8UMjoLSbcfP70IePokQkpcCDIVKo8Yg_JAr08jo



  • já tentou liberar o accounts.google.com no squid?  ???



  • @marcelloc:

    já tentou liberar o accounts.google.com no squid?  ???

    já tentei de tudo quase… se tiro o proxy fica tudo normal..
    notei que algumas paginas tbem não carregam como a do google... sempre paginas https...(uma delas foi a do proprio mozilla - https://addons.mozilla.org/pt-br/firefox/addon/firebug/)
    a única que não era https foi a da caixa (caixa.gov.br) simplesmente abria ate a metade.. e travava o navegador por uns 50 segundos até carregar o restante da página....
    :(

    ps: pessoal era mesmo o squid3.... desinstalei o pacote e instalei o squid2 stable e tudo está funcionando perfeitamente... vou tentar depois reinstalar novamente o squid3...
    Posto aqui os resultados...

    obrigado a todos...



  • @sosmicro:

    ps: pessoal era mesmo o squid3…. desinstalei o pacote e instalei o squid2 stable e tudo está funcionando perfeitamente... vou tentar depois reinstalar

    Muito esquisito, uso o squid3 sem qualquer erro ou comportamento parecedido.



  • @marcelloc:

    @sosmicro:

    ps: pessoal era mesmo o squid3…. desinstalei o pacote e instalei o squid2 stable e tudo está funcionando perfeitamente... vou tentar depois reinstalar

    Muito esquisito, uso o squid3 sem qualquer erro ou comportamento parecedido.

    Tentei reinstalar o squid3 mas o erro persistiu… para acessar qualquer pagina https tenho que ficar dando ctrl f5 até conseguir carregar a pagina... (umas 5x no minimo)....
    Não encontrei qualquer pista sobre o que poderia estar causando este comportamento. Olhei os logs do squid (cache.log) e achei estas linhas abaixo: (elas não existem no squid2)...

    2012/07/06 12:40:16| helperOpenServers: Starting 0/0 'ssl_crtd' processes
    2012/07/06 12:40:16| helperOpenServers: No 'ssl_crtd' processes needed.

    ??????



  • Marceloc,

    Eu também estou com esse problema e não é só com o google, qualquer transmissão usando HTTPS pelo Squid 3 da esse problema. Não é constante, digamos que de 10 acessos a sites, 6 apresentam erro.

    Estou obtendo as mesmas mensagens de erro do colega acima.

    Tenho dois servidores em produção com o Squid 3 e neles não tive problema, esse que citei é o da empresa que trabalho.



  • @LFCavalcanti:

    Tenho dois servidores em produção com o Squid 3 e neles não tive problema, esse que citei é o da empresa que trabalho.

    LFCavalcanti…

    Ainda não consegui produzir nenhum servidor livre de quaisquer erros.... e olha que já tentei com uma infinidade de hardware e nas versoes 32 e 64 bits do pfsense...
    Sempre esbarro em alguma funcionalidade que se nega a funcionar :) .... Na verdade o post certo seria https via squid3 já que o problema acontece mesmo com qualquer acesso https...
    Outra coisa que ando notando é a impossibilidade de fazer certos serviços iniciarem pela GUI. Apenas consigo iniciá-los via Linha de comando...

    []s



  • sosmicro,

    Espero que não leve a mal, mas talvez o que esteja ocorrendo é que você está tentando implementar funções que não conheça completamente.

    Quando comecei a trabalhar com o PFSense passei por dificuldades parecidas, por exemplo o squid, em outras distribuições como o IPCOP e o Smoothwall a implementação do Squid é mais "facil", já no PFSense você você tem uma implementação mais profissional e com opções mais otimizadas, então para quem nunca implementou um Squid "na unha" pode causar dificuldades.

    No seu casso eu recomendo continuar a usar o Squid 2 no Servidor em Produção. Monte outro virtual ou em outro PC para você aprimorar no entendimento do PFSense.

    Tenho mais de 40 servidores rodando PFSense hoje, alguns em ambientes de Serviço Crítico, mantendo Sistemas de PTT(Troca de Tráfego) para uma empresa de grande porte, com VPN e redundância de Hardware(CARP).

    Estou verificando esse problema com o Squid3 aqui, se tiver alguma novidade posto aqui.

    Eu vou formatar meu Servidor hoje e vejo se está ok.



  • @LFCavalcanti:

    Espero que não leve a mal, mas talvez o que esteja ocorrendo é que você está tentando implementar funções que não conheça completamente.

    LFCavalcanti…

    Este é um ambiente colaborativo, assim como as dicas nos ajudam, as críticas construtivas também... Não se preocupe.... Estou propenso a acreditar que o erro é mesmo entre a cadeira e o teclado... :)
    Sempre usei distribuições como as citadas por vc (ipcop, smoothwall etc...), mas a implementação que tenho tentado no pfsense é bem simples (apenas com o squid3 instalado) sem nenhuma alteração dos parâmetros básicos da instalação.... o que me intriga é que não consigo visualizar quaisquer erros ( a não ser os TCP/MISS 503) que possam me ajudar a desvendar o mistério!!!

    []s



  • @sosmicro:

    Outra coisa que ando notando é a impossibilidade de fazer certos serviços iniciarem pela GUI. Apenas consigo iniciá-los via Linha de comando…

    Já consegui identificar este erro e já postei a solução para a versão 2.0.2 e 2.1

    Aplique ela no seu pfsense.

    https://github.com/bsdperimeter/pfsense/commit/6ae78f0808747893f30b867c51b744dfe39e2190

    @sosmicro:

    Na verdade o post certo seria https via squid3 já que o problema acontece mesmo com qualquer acesso https…

    Tópico corrigido  :)

    Você está usando a última versão do pacote?

    O jimp recentemente compilou a versão para o repositório oficial, você pode testar as diferentes versões do squid3 do meu repositório e do repositório oficial usando o pkg_del e pkg_add.

    att,
    Marcello Coutinho



  • Update.

    Eu coloquei a porta 443 como porta segura na config. do Squid 3 e o problema parece ter sido solucionado. Eu sei que por padrão a 80 e 443 são confiaveis, mas parece ter funcionado.

    Vou fazer mais testes… estou testando se isso também não afetou a integração do Squid com o Squidguard.



  • @LFCavalcanti:

    Update.

    Eu coloquei a porta 443 como porta segura na config. do Squid 3 e o problema parece ter sido solucionado. Eu sei que por padrão a 80 e 443 são confiaveis, mas parece ter funcionado.

    Vou fazer mais testes… estou testando se isso também não afetou a integração do Squid com o Squidguard.

    Tentei a mesma coisa, sem sucesso… desisti por enquanto do squid3... todos os servidores que montei (virtuais e reais) apresentaram o mesmo sintoma... testei outros pkgs tbem...
    com o squid 2.791 vai sem problemas....o decepcionante é desistir sem ter pelo menos uma pista do que poderia causar o erro... :(
    []s



  • O engraçado é que desisti do squid 2 pela infinidade de aborted durante a navegação. Vai entender…



  • Lei de Murphy? kkk

    Complicado, eu só acho preocupante termos experiências tão opostas para o mesmo pacote.

    Há algum outro fator que pode implicar nesse problema?



  • @LFCavalcanti:

    Há algum outro fator que pode implicar nesse problema?

    Acredito que a utilização dele somando configurações com ele autenticado/ não autenticado e a utilização de parents.

    Meu setup tem um dansguardian na frente.

    att,
    Marcello Coutinho



  • @marcelloc:

    @LFCavalcanti:

    Há algum outro fator que pode implicar nesse problema?

    Acredito que a utilização dele somando configurações com ele autenticado/ não autenticado e a utilização de parents.

    Meu setup tem um dansguardian na frente.

    att,
    Marcello Coutinho

    Marcello.
    Em todas as instalações que fiz, bastava instalar o squid3 (autenticado, sem autenticacao, transparente ou não). Não instalava mais nada… apenas configurava o acesso a internet (ppoe, statico ou dhcp)  e instalava o squid3...
    achei apenas este erro no log do system.. alguem pode me dizer o que é ??? [squid:(The ssl_crtd helpers are crashing too rapidly, need help!)]
    []s



  • @sosmicro:

    alguem pode me dizer o que é ??? [squid:(The ssl_crtd helpers are crashing too rapidly, need help!)]

    Olha o cache.log na console/ssh usando o tail -f para a informação completa do erro.

    ex: tail -f /var/squid/logs/cache.log

    att,
    Marcello Coutinho



  • Também estou tendo problemas com o squid3 ao tentar acesso https ao gmail por exmplo… mas o hotmail e outros que testei passaram normal.
    Acabei de fazer novamente uma instalação limpa para descartar problemas com o SquidGuard, mas acabou dando o mesmo problema. O Gmail só acessa depois de um refresh na página e mesmo assim depois de um tempo de logado no email ele acaba perdendo a conexão.



  • @dougf4nnie:

    O Gmail só acessa depois de um refresh na página e mesmo assim depois de um tempo de logado no email ele acaba perdendo a conexão.

    Aparece algum erro no cache.log?



  • @marcelloc:

    Aparece algum erro no cache.log?

    Pior que não… no cache.log ao meu ver não aparece nada de anormal...

    1. A única coisa que aperece de "estranho" é:

    2012/07/17 15:17:14| helperOpenServers: Starting 0/0 'ssl_crtd' processes
    2012/07/17 15:17:14| helperOpenServers: No 'ssl_crtd' processes needed.

    1. Olhando com tail -f access.log quando eu tento acessar ele apenas mostra as duas linhas abaixo e para:

    1342548732.062    350 10.2.1.200 TCP_MISS/302 993 GET http://mail.google.com/mail/ - DIRECT/74.125.234.53 text/html
    1342548732.066      0 10.2.1.200 TCP_MISS/503 0 CONNECT accounts.google.com:443 - DIRECT/- -

    1. Já olhando através do firebug ele mostra um breve carregamento da página e some o resultado gerado pelo firebug e aparece uma página em branco com o erro apresentado:

    Unable to connect 
    Firefox can't establish a connection to the server at accounts.google.com

    Mas se insistir com refresh na página ele abre normalmente... mais depois de um tempo ele perde a conexão de novo. Ainda não coloquei em produção este squid3 devido os emails da empresa serem hospedados no proprio Google (contas corporativas) e alem dos outros clientes que possuem suas contas de Gmail normal.

    Os testes realizados foram em cima de uma instalação limpa contendo apenas o squid3 instalado. Já criei regra de no_cache pra ver se influenciaria em algo e nada.



  • @dougf4nnie:

    1342548732.062    350 10.2.1.200 TCP_MISS/302 993 GET http://mail.google.com/mail/ - DIRECT/74.125.234.53 text/html
    1342548732.066      0 10.2.1.200 TCP_MISS/503 0 CONNECT accounts.google.com:443 - DIRECT/- -

    Um detalhe que pode não significar nada, mas parece que o erro ocorrido foi de resolução de dns.
    Já tentou desabilitar o dns forwarder do pfsense e usar somente o dns do ad e/ou do google(8.8.8.8)?



  • marcelloc,

    A principio eu também achei que era problema de resolução dns… tanto que já tinha desabilitado e mudado o dns dos dcs para os do google somente para teste. Tenho outros servidores utilizando o squid2 funcionam normal com os mesmos endereços dns.



  • Eu também estou tendo o mesmo problema que os colegas utilizando o squid 3, até mesmo quando tentava postar algum topico o squid dava um erro se não me engano de página não encontrada.
    No gmail as vezes a tela fica em branco.
    Utilizando o squid 2 nunca aconteceu isso.



  • Tópico morreu? ninguem da noticia da solução do problema?
    ja tentei colocar a porta 443 na safe ports, tentei colocar o dominio do gmail para não fazer cache, ainda sim, não resolveu.
    A tela fica branca e so aparece o site depois de um refresh na pagina, no primeiro refresh a codificação da pagina parece estar errada, aparece caracteres errados, depois do segundo refresh a pagina abre normal.


Locked