Https via squid3
-
alguem pode me dizer o que é ??? [squid:(The ssl_crtd helpers are crashing too rapidly, need help!)]
Olha o cache.log na console/ssh usando o tail -f para a informação completa do erro.
ex: tail -f /var/squid/logs/cache.log
att,
Marcello Coutinho -
Também estou tendo problemas com o squid3 ao tentar acesso https ao gmail por exmplo… mas o hotmail e outros que testei passaram normal.
Acabei de fazer novamente uma instalação limpa para descartar problemas com o SquidGuard, mas acabou dando o mesmo problema. O Gmail só acessa depois de um refresh na página e mesmo assim depois de um tempo de logado no email ele acaba perdendo a conexão. -
O Gmail só acessa depois de um refresh na página e mesmo assim depois de um tempo de logado no email ele acaba perdendo a conexão.
Aparece algum erro no cache.log?
-
Aparece algum erro no cache.log?
Pior que não… no cache.log ao meu ver não aparece nada de anormal...
- A única coisa que aperece de "estranho" é:
2012/07/17 15:17:14| helperOpenServers: Starting 0/0 'ssl_crtd' processes
2012/07/17 15:17:14| helperOpenServers: No 'ssl_crtd' processes needed.- Olhando com tail -f access.log quando eu tento acessar ele apenas mostra as duas linhas abaixo e para:
1342548732.062 350 10.2.1.200 TCP_MISS/302 993 GET http://mail.google.com/mail/ - DIRECT/74.125.234.53 text/html
1342548732.066 0 10.2.1.200 TCP_MISS/503 0 CONNECT accounts.google.com:443 - DIRECT/- -- Já olhando através do firebug ele mostra um breve carregamento da página e some o resultado gerado pelo firebug e aparece uma página em branco com o erro apresentado:
Unable to connect
Firefox can't establish a connection to the server at accounts.google.comMas se insistir com refresh na página ele abre normalmente... mais depois de um tempo ele perde a conexão de novo. Ainda não coloquei em produção este squid3 devido os emails da empresa serem hospedados no proprio Google (contas corporativas) e alem dos outros clientes que possuem suas contas de Gmail normal.
Os testes realizados foram em cima de uma instalação limpa contendo apenas o squid3 instalado. Já criei regra de no_cache pra ver se influenciaria em algo e nada.
-
1342548732.062 350 10.2.1.200 TCP_MISS/302 993 GET http://mail.google.com/mail/ - DIRECT/74.125.234.53 text/html
1342548732.066 0 10.2.1.200 TCP_MISS/503 0 CONNECT accounts.google.com:443 - DIRECT/- -Um detalhe que pode não significar nada, mas parece que o erro ocorrido foi de resolução de dns.
Já tentou desabilitar o dns forwarder do pfsense e usar somente o dns do ad e/ou do google(8.8.8.8)? -
marcelloc,
A principio eu também achei que era problema de resolução dns… tanto que já tinha desabilitado e mudado o dns dos dcs para os do google somente para teste. Tenho outros servidores utilizando o squid2 funcionam normal com os mesmos endereços dns.
-
Eu também estou tendo o mesmo problema que os colegas utilizando o squid 3, até mesmo quando tentava postar algum topico o squid dava um erro se não me engano de página não encontrada.
No gmail as vezes a tela fica em branco.
Utilizando o squid 2 nunca aconteceu isso. -
Tópico morreu? ninguem da noticia da solução do problema?
ja tentei colocar a porta 443 na safe ports, tentei colocar o dominio do gmail para não fazer cache, ainda sim, não resolveu.
A tela fica branca e so aparece o site depois de um refresh na pagina, no primeiro refresh a codificação da pagina parece estar errada, aparece caracteres errados, depois do segundo refresh a pagina abre normal. -
Façam o teste:
Desabilitem a administração https do pfsense (passem para http)Limpem o cache tanto do PC como do Squid e vejam se o problema persiste!
-
Tirar o HTTPS da WebGUI do PFSense não é uma opção. Implica demais na segurança.
Se alguém puder testar isso em AMBIENTE DE TESTES, ok.. mas se o servidor estiver em produção, deixe o HTTPS ativado.
-
O pfsense vem com squid3.1.19, ele dá o problema em navegações https da google.
Já atualizei pra versão 3.1.20, problema persiste.
Estou achando que pode ser problema com DNS.
Porque o ipv6 está ativado.
Se alguem puder me ajudar? Versões mais novas deveriam resolver esse tipo de coisa.Obs: Uma coisa se deixarem o HTTPS para WEbgui, não funciona a autenticação utilizando Wpad.
Tive que deixar HTTP, mesmo. -
Cristiano se você passar para o squid2 o wpad funciona com o HTTPS ativado?
[]´s
-
o problema que a opção forward_for do squid3.1 não funciona nessa versão.
Até porque uso o dansguardian na frente.
A opção do forward_for serve pra pegar o ip real do usuário repassado do dansguardian. -
Cristiano se você passar para o squid2 o wpad funciona com o HTTPS ativado?
A gui do pfsense só permite um protocolo, por questões de segurança, usamos o https. Porem você pode fazer uma "adaptação técnica" para deixar a gui com http(para funcionar o wpad) e quando você precisar acessar a gui, faça via túnel ssh.
Não é a melhor solução, mas é uma solução com quase nenhuma customização ou configuração de daemons extra.att,
Marcello Coutinho -
Alguém conseguiu algum êxito no problema do https com gmail?
-
Instale o squid2, que resolve seu problema.
Certeza; -
Instale o squid2, que resolve seu problema.
e infelizmente insere outros… :( (connection aborted)
-
Srs,
Solução para o problema de SQUID3 com o sites vinculados ao Google, tenho vários firewalls recentemente apresentando esse problema.
Minhas Versões:
2.0.1-RELEASE (i386) built on Mon Dec 12 19:00:03 EST 2011 FreeBSD 8.1-RELEASE-p6
Installed: 3.1.20 pkg 2.0.5_2Não tenho dansguardian, ou squidguardian.
Pelas pesquisas que fiz, a partir da versão do squid 3.1.9 o Ipv6 já vem ativo por padrão no SQUID e caso o SO tenha compatibilidade com o IPv6 ele ira tentar trabalhar com IPv6, detalhe, não tenho configuração de IPs em IPv6 nos meus firewalls.
Verifiquei também que ao resolver o nome accounts.google.com não retorna IPv6 nenhuma vez.
Porem no access.log apresenta o erro:
1345732006.156 20 192.168.0.101 TCP_MISS/503 0 CONNECT accounts.google.com:443 - DIRECT/- -Podem ver que não aprece o IP após o directy vejam como fica quando funciona:
1345732738.458 1026 192.168.0.160 TCP_MISS/200 15489 CONNECT accounts.google.com:443 - DIRECT/74.125.137.84 -SOLUÇÃO:
Não temos como recompilar o squid3 desabilitando o suporte a IPv6 que vem habilitado por padrão.
Tentei alterar as configurações de sysctl do FreeBSD desabilitando também o reconhecimento de IPv6 pelo squid.Por último o que resolveu meu problema e validei, foi adicionar a seguinte configuração em Custom Options do squid:
dns_v4_first onBom isso foi o suficiente para não ter mais o erro ao logar e deslogar do GMAIL,GLOBO e IG.
Espero ter ajudado.
Abs
-
Excelente dica filipisilva! Pelos testes iniciais que fiz… resolveu o problema. :D
Obrigado pela dica.
-
Excelente! Parabéns Felipesilva!!!
Até agora funcionando corretamente aqui.
