[Resolvido] HAVP: Erro de DNS



  • Boa tarde pessoal,

    Estava testando a configuracao do HAVP no pfSense seguindo o tutorial que tem aqui no forum, e funcionou beleza.
    Coloquei em producao o HAVP e aí surgiu o problema…

    O HAVP acusou um Erro de DNS quando acessei um portal aqui da empresa. Usamos um DNS proprio, nao sei o que pode ter acontecido.

    Adicionei o dominio da empresa no whitelist pela interface e nao funcionou.
    Adicionei tambem no arquivo /usr/local/etc/havp/whitelist.conf, parei o servico e voltei a executar e assim mesmo continuou o erro com o DNS.

    Alguem já passou por alguma situacao parecida ou tem alguma informacao que possa me ajudar?

    Obrigado!

    Segue abaixo a mensagem de erro que sai:
    HAVP - Error de DNS
    HAVP

    A ocurrido un error de DNS
    al abrir la página

    "portal.dominio.com" (aqui sai o nome do site que tento acessar)
    Por favor, contacte a su soporte técnico



  • @vithort:

    Alguem já passou por alguma situacao parecida ou tem alguma informacao que possa me ajudar?

    O dns que você configurou no pfsense sabe resonder o domínio com o ip interno?



  • @marcelloc:

    @vithort:

    Alguem já passou por alguma situacao parecida ou tem alguma informacao que possa me ajudar?

    O dns que você configurou no pfsense sabe resonder o domínio com o ip interno?

    Olá Marcelloc,

    Eu uso o DNS da Matriz da empresa que normalmente aponta sem problemas para esses portais. Alguns desses portais estao na propria Matriz do país, outros em outras Matrizes de outros países.

    Mas normalmente resolveria o pedido de acesso sem problemas.

    Nao entendi porque mesmo adicionando ao Whitelist eles sao bloqueados.



  • não é questão de bloqueio. se o daemon não consegue resolver o nome, como vai poder buscar a página?



  • @marcelloc:

    não é questão de bloqueio. se o daemon não consegue resolver o nome, como vai poder buscar a página?

    Entendi o seu ponto… Mas nao está muito claro para mim. Se fosse um problema de resolver o dominio, eu teria o mesmo problema com o Proxy, correto?

    Meu proxy é transparente e já testei com o HAVP transparente e tambem como parent do Squid. E dos dois modos tenho problemas.

    Como eu poderia resolver esse problema? Alguma regra de NAT / Firewall, redirector?



  • @vithort:

    Como eu poderia resolver esse problema?

    Antes de resolver, é preciso identificar o problema.

    vai na console do seu pfsense e digita nslookup portal.dominio.com



  • _$ nslookup portal2.dominio.com
    Server: 127.0.0.1
    Address: 127.0.0.1#53

    *** Can't find portal2.dominio.com: No answer_

    mas posso navegar no portal. (claro que testei com meu dominio.. soh mudei o nome pra nao divulgar a empresa)




  • _$ nslookup syst.idc.dominio.com
    Server: 10.X.X.X
    Address: 10.X.X.X#53

    Name: syst.idc.dominio.com
    Address: 10.X.X.X_

    _$ nslookup portal.dominio.com
    Server: 10.X.X.X
    Address: 10.X.X.X#53

    portal.dominio.com canonical name = sys.idc.br.dominio.com.
    Name: sys.idc.br.dominio.com
    Address: 10.X.X.X_

    Marquei o: Do not use the DNS Forwarder as a DNS server for the firewall em General Setup e tive resposta dos Servicos e Portais pelo nslookup,
    mas quando tento acessar pelo browser, os servicos pelo menos ficam bloqueados pelo HAVP.

    Pode ser porque o DNS da Matriz aponta para outro DNS?



  • @vithort:

    Marquei o: Do not use the DNS Forwarder as a DNS server for the firewall em General Setup e tive resposta dos Servicos e Portais pelo nslookup,
    mas quando tento acessar pelo browser, os servicos pelo menos ficam bloqueados pelo HAVP.

    Salve novamente as configurações do havp e do squid para forçar um restart do serviço e tente novamente.

    o dns do pfsense precisa responder corretamente o nome para o squid/havp navegar no site.



  • Foi isso mesmo, depois de um tempo ele passou a funcionar, deve ter sido o tempo do reinicio do servico mesmo.

    Obrigado pela ajuda.

    Vou estar analisando e posto os resultados aqui.

    Obrigado!!!


Log in to reply