Usar proxy del ISP



  • Hola soy novato en pfsense pero en el tiempo que lo he utilizado tuve problemas con la gestion de los paquetes, pues me encuentro detrás de un proxy dentro de una red coorporativa, pero bueno ya eso está solucionado. El hace la función de host-bastion o firewall de mi red LAN. El problema está en que quisiera configurarlo para que el squid utilice de padre el servidor proxy nacional, he configurado los parámetros que creo necesita en la definición de cache remota para el servidor proxy padre y una vez que intento navegar, me autentico sin problemas, accedo a dos o tres páginas, luego se demora en responder y me notifica este error

    Incapaz de determinar la dirección IP a partir del nombre

    Yo por esa red no tengo servidor de DNS, ni nunca lo necesite cuando utilizaba el squid de debian configuraba estos parámetros en el squid, para que la autenticación fuera enviada al proxy nacional y listo, y así tenia yo también una replica de los log de navegación, podia definir los mismos parámetros de autencicación en mi proxy utilizando la misma base de datos de usuarios nacional y en el log de navegación tenia toda la információn necesaria, un mayor control del servicio y ambos proxy compartian cache

    cache_peer IPproxynacional parent 3128 3130 default no-query login=PASS

    Ahora necesito saber si es posible hacer todo esto en pfsense
    Gracias por adelantado a todo aquel que me ayude



  • Igual te falta…

    cache_peer_access IPproxy_nacional allow all

    Si persiste el problema, por favor copia/pega el texto del error exacto, que seguramente está en inglés. Esto permite buscar en Google situaciones parecidas.

    Saludos,

    Josep Pujadas-Jubany



  • Gracias por responder tan rápido bellera, disculpa el lugar donde puse mi duda, luego me percate que esa temática era informativa.
    Es este el error:

    ERROR
    El URL solicitado no se ha podido conseguir

    Se encontró el siguiente error al intentar recuperar la dirección URL: http://www.google.com

    Incapaz de determinar la dirección IP a partir del nombre de la máquina www.google.com

    El servidor DNS devolvió:

    Timeout

    Esto significa que el caché no ha sido capaz de resolver el nombre de máquina presente en la URL. Compruebe que la dirección sea correcta.

    La notificación de errores la configuré en español. Este error ya lo comentaron en el forum pero no se trataba del mismo caso mio, la solución era utilizar los DNS de OpenDNS, yo como explique estoy detrás de un proxy en una red coorporativa y no tengo servidores de DNS, la navegación sale por este proxy dando la posibilidad de configurar un proxy hijo por el puerto ICP 3130
    Mi duda ahora está en si es posible configurarlo desde la misma interfaz web de Pfsense como lo hago o editar directamente el archivo de configuración en /usr/local/etc/squid/squid.conf



  • No tengo servidores de DNS

    Como la mayoría, a no ser que tengas una red algo grande.

    Tu pfSense deber tener configurados DNS externos en [System].

    Y tus máquinas, si están por DHCP, deben tomar como primer DNS a pfSense.

    Sin embargo quien se queja es el servicio de proxy, que debería emplear como DNS a pfSense.

    ¿No tendrás parado el DNS Forwarder de pfSense?

    Fíjate que en la configuración de squid (Proxy Server) pone:

    Use alternate DNS-servers for the proxy-server	
    If you want to use other DNS-servers than the DNS-forwarder, enter the IPs here, separated by semi-colons (;).
    

    Si no indicas nada ahí quien manda es el DNS Forwarder de pfSense. Que a su vez emplea los DNS externos definidos en [System].

    ¿Probaste a añadir? No parece de entrada que sea esto pero…

    cache_peer_access IPproxy_nacional allow all

    Saludos,

    Josep Pujadas-Jubany



  • Una vez más gracias
    Te responderé por partes, mira mi red corporativa para la navegación en Internet no cuenta con un servidor de DNS, por lo menos no uno al que yo tenga acceso para realizar consultas externas, por supuesto debe estar configurado para que mi proxy nacional resuelva pero yo solo accedo al proxy este nacional autenticandome con nombre de usuario y contraseña y así cada uno de mis usuarios autorizados a navegar, en mi entidad yo utilize a pfsense para que me sirviera de firewall y a la vez de proxy hijo, antes utilizaba a debian con iptables y squid y nunca necesite de un servidor de DNS, te envió el archivo de configuración de squid

    WELCOME TO SQUID xxxxx

    –--------------------------

    http_port 3128

    acl all src 0.0.0.0/0.0.0.0
    acl manager proto cache_object
    acl localhost src 127.0.0.1/32
    acl to_localhost dst 127.0.0.0/8
    acl ip src "/etc/squid/ip_permitidas"
    acl localnet src RedLan

    acl SSL_ports port 443 # https
    acl SSL_ports port 563 # snews
    acl SSL_ports port 873 # rsync
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 # https
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl Safe_ports port 631 # cups
    acl Safe_ports port 873 # rsync
    acl Safe_ports port 901 # SWAT
    acl purge method PURGE
    acl CONNECT method CONNECT

    http_access allow manager localhost
    http_access deny purge
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports
    http_access allow localhost
    http_access allow localnet
    http_access deny all

    icp_access allow localhost
    icp_access allow localnet
    icp_access deny all

    htcp_access allow localnet
    htcp_access deny all

    cache_peer IpProxy_nacional parent 3128 3130 default no-query login=PASS
    hierarchy_stoplist cgi-bin ?
    cache_mem 32 MB
    cache_dir ufs /var/spool/squid 5000 16 256
    maximum_object_size_in_memory 1024 KB
    never_direct allow all

    access_log /var/log/squid/access.log squid

    refresh_pattern ^ftp: 1440 20% 10080
    refresh_pattern ^gopher: 1440 0% 1440
    refresh_pattern -i (/cgi-bin/|?) 0 0% 0
    refresh_pattern (Release|Package(.gz)*)$ 0 20% 2880
    refresh_pattern . 0 20% 4320

    store_avg_object_size 100 KB

    request_body_max_size 150 KB

    acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
    upgrade_http0.9 deny shoutcast
    acl apache rep_header Server ^Apache
    broken_vary_encoding allow apache

    extension_methods REPORT MERGE MKACTIVITY CHECKOUT

    connect_timeout 1 hour

    hosts_file /etc/hosts

    coredump_dir /var/spool/squid

    emulate_httpd_log on

    De esta forma todo funcionaba sin problemas, ahora lo que edito en el archivo /usr/local/etc/squid/squid.conf desde la misma interfaz web de Pfsense al explorar los parámetros una vez más por la página se borran, bueno y eso me paso cuando probé lo que me mandaste: "cache_peer_access IPproxy_nacional allow all"

    Yo no utilizo DHCP, las ip las configuro estáticas y eso mismo hago con la tabla ARP en mis servidores y estaciones
    Quisiera que me mostrarás un ejemplo de como configurar la cache remota desde la interfaz web y de antemano mil gracias por ayudarme y por tu trabajo como moderador



  • Bueno, en ese caso la cuestión es si un squid hijo puede trabajar con un squid padre sin resolver nombres…

    Me temo que no. He buscado en la documentación de squid y no he sabido encontrar esta posibilidad.

    ¿No tienes acceso a ningún DNS externo? ¿Ni a los de Google?

    Tendrás que hablar con el proveedor de tu conexión con proxy.

    No puedes editar squid.conf "a pelo". Tienes que añadir lo que no esté previsto en el cajetín Custom Options.

    Saludos,

    Josep Pujadas-Jubany



  • Hola acabo de dar con la solución al problema, elimine todos los parámetros que había definido en la pestaña para la cache remota, deje lo mismo en la cache local y añadí las siguientes líneas en el cajetín Custom Options

    cache_peer IpProxy_nacional parent 3128 3130 default no-query login=PASS
    never_direct allow all

    Ahora no entiendo el porqué se solucionó así, siempre pensé que la pestaña Remote Cache era para definir todos estos parámetros. El DNS que está resolviendo lo utiliza solamente el padre, mi proxy nacional
    Bueno mis saludos, pienso que está problemática no será solo mía



  • Yo me refería a precisamente a Custom Options

    ¿Qué versión de squid tienes? Porque yo no veo en ningún lugar una pestaña Remote Cache en mi pfSense de pruebas.

    Me alegro de que lo hayas podido solucionar…

    Saludos,

    Josep Pujadas-Jubany


Locked