Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS
-
vou refazer o pfsense do zero hj e instalar o squid-dev de novo mais devo instalar ele direto ou preciso instalar os outros squid antes?
Direto
-
ok obrigado
-
A versão do squid que tá sendo debatida aqui é a mesma que ta em packages? (3.1.20)
-
pacotes instalados
pfsense 2.1 amd64
freeradius2 System 2.1.12_1/2.2.0 pkg v1.6.7_2
squid3-dev Network 3.3.10 pkg 2.2
squidGuard-squid3 Network Management 1.4_4 pkg v.1.9.5Tenhou um firewall bloqueando todas as portas e liberando 7777 (http) 7778 (https) configuradas no squid,
uso squid transparente com intercepção de https,
squid integrado com usuário do captiveportal.
captiveportal integrado com freeradius
funciona tudo bem com o squid configurando para interceptação https e integração com o captive portal,quando instalo o squidguard, a segunda conexão começa dar erro de acesso no squidalguém já passou por isso? não sei o que está acontecendo ou se eu estou fazendo alguma configuração errada.
se alguem sabe a solução eu fico grato não sei mais o que fazer.
segue anexo os logs e conf do squid e squidguard abrir no wordpad
calebe
squidGuardconf.txt
squidGuardlog.txt
squidconf.txt
accesslog.txt
cachelog.txt
pagerro.txt -
Boa tarde marcelloc,
Estou hoje com a necessidade de implementar um proxy, mas quero fazer com da seguinte maneira:
Proxy transparent e autenticando com usuários/grupos do AD.Hoje é possível eu fazer isso com squid3 + squidguard 3, ou ainda existem limitações?
Tenho um AD 2003 que é meu DNS com 3 Grupos criados.
e O pfSense vai ser o gw da rede.Grato.
-
Marcelo bom dia!!
Gostaria de reportar um erro com a versão Dev.
O squid funciona perfeitamente para quem usa modo transparente, porem ao habilitar o proxy o squid recusa a conexão.
Testei no pfsense 2.0.3 2 na 2.1 o mesmo ocorreu o mesmo problema.Depois de instalado os binários faltantes, não consigo subir a versão 2.7 do squid.
Mas se instalar a versão squid3, funciona tudo perfeitamente, tanto em transparente quando o uso com proxy
att.
-
ok obrigado
Marcelloc
Desculpe a demora em responder estava meio corrido mais fiz o que me passou e deu certo só teve um problema ele passou a abrir somente a pagina do google o resto dava erro sabe o que pode ser ? mais uma duvida que tipo de CA devo criar para ele não dar erros em https ?
-
Marcello Boa noite,
Gostaria de tirar algumas dúvidas!!
-
Se eu instalar a versão que está em System > Packages > Available Packages > Squid3-dev 3.3.10 pkg 2.2 ainda sim será necessário fazer a instalação das bibliotecas conforme início do post ou já são instaladas automaticamente?
-
É possível eu fazer a utilização de um certificado adquirido por mim no serasa por exemplo para configurar o squid do pfsense para que não seja necessário instalar a CRT no browser? Se sim, sabe me dizer como devo proceder?
-
O SquidGuard eu posso instalar a versão SquidGuard-squid3 1.4_4 pkg v.1.9.5 ou utilizo alguma outra versão diferente?
Obrigado!
-
-
Boa Tarde Marcello,
desde ontem estou fazendo os testes e depois de muita pesquisa consegui a resposta para todas as minhas perguntas realizadas no post anterior.
Está de parabéns pelo projeto, funcionou tudo perfeitamente com exceção de um suposto erro que encontrei conforme anexo.
Obrigado!
-
Aparentemente o squidguard está procurando a lista de outras acls.
Crie a primeira e veja se o erro some.
-
Aparentemente o squidguard está procurando a lista de outras acls.
Crie a primeira e veja se o erro some.
Boa tarde Marcello,
Realmente como você disse, criei a primeira e depois sumiu. Eu pensei que fosse um erro porque na versão 2.0 do squid não acontece isso.
Eu li todos os post do forum Marcello e vi que em um deles, alguem lhe fez a mesma pergunta que te fiz ontem em relação a utilizar certificado da certsign por exemplo no firewall para o squid eliminando a necessidade de importar os certificados no navegador. É possível sim fazer isso, ontem a tarde eu entrei em contato com a certsign e peguei um orçamento referente à geração deste tipo de certificado. Para os interessados o custo de um certificado desses é na faixa de R$1850,00 anual inclusive eu consegui um certificado de teste e funcionou perfeitamente.
Mudando de assunto, precisava de outra ajuda, se alguém souber, me ajuda por gentileza.
fiz as configurações tudo certinho com o certificado gerado pelo pfsense e importei no navegador, no internet explorer e no firefox funcionou perfeitamente todas as páginas que eu tentei navegar, no google chrome eu tive a seguinte mensagem de erro conforme anexo e abaixo:
**Não é possível se conectar ao www.gmail.com real
Algo está interferindo em sua conexão segura com www.gmail.com no momento.
Tente recarregar esta página em alguns minutos ou após a mudança para uma nova rede.Se você tiver se conectado recentemente a uma nova rede Wi-Fi, termine o login antes de recarregar.
Se você visitasse www.gmail.com agora, poderia compartilhar informações privadas com um invasor. Para proteger sua privacidade, o Chrome não carregará a página até que possa estabelecer uma conexão segura com o www.gmail.com real.
Recarregar Menos
O que isso significa?www.gmail.com normalmente usa criptografia (SSL) para proteger suas informações. Quando o Chrome tentou se conectar a www.gmail.com desta vez, www.gmail.com retornou credenciais incomuns e incorretas. Isso significa que um invasor está fingindo ser www.gmail.com ou uma tela de login Wi-Fi interrompeu a conexão. Suas informações ainda estão protegidas porque o Chrome parou a conexão antes que os dados fossem trocados.
Erros de rede e ataques são geralmente temporários, por isso esta página provavelmente funcionará mais tarde. Você também pode tentar mudar para outra rede.
Detalhes técnicos
www.gmail.com solicitou que o Google Chrome bloqueie quaisquer certificados com erros, mas o certificado que o Chrome recebeu durante esta tentativa de conexão tem um erro.
Tipo de erro: HSTS failure
Assunto: mail.google.com
Emissor: proxy-ca
Hashes de chave pública: sha1/1IJp0cjjumkIefyLFKnWgcPxX4k= sha256/RzA3g81si8pB1L6a3tZsR2iMZetjaZ8KUj9wzwOxvwE= sha1/1IJp0cjjumkIefyLFKnWgcPxX4k= sha256/RzA3g81si8pB1L6a3tZsR2iMZetjaZ8KUj9wzwOxvwE=**Este erro ocorre quando utilizando o google chrome, tento acessar o endereço https://www.gmail.com. Por exemplo se eu acessar https://www.gmail.com.br já não ocorre isso só no gmail que está ocorrendo isso as demais páginas todas que testei até agora estão funcionando perfeitamente no google chrome inclusive as outras relacionadas ao google.
 -
Boa noite Pessoal,
fiz um vídeo explicando como configurar o Squid3-dev + SquidGuard3-Squid3 com Proxy Transparente conforme trata este tópico.
Espero que possa ajudar vocês.
Obrigado!
-
É possível sim fazer isso, ontem a tarde eu entrei em contato com a certsign e peguei um orçamento referente à geração deste tipo de certificado. Para os interessados o custo de um certificado desses é na faixa de R$1850,00 anual inclusive eu consegui um certificado de teste e funcionou perfeitamente.
A certsign vende certificados do tipo certificate authority ou somente de host/wildcard?
o squid precisa de uma unidade certificadora, não de um certificado de host.
-
Desculpa me referi errado Macello, ele precisa de uma autoridade certificadora. Exatamente a certisign vende os dois tipos de certificado.
-
fiz um vídeo explicando como configurar o Squid3-dev + SquidGuard3-Squid3 com Proxy Transparente conforme trata este tópico.
Fixado nos tutoriais, Obrigado pela contribuição.
-
Boa Noite Marcello
Como faz para colocar o antivirus via icap nessa versão do squid?
tem algum tutorial?obrigado.
-
Como faz para colocar o antivirus via icap nessa versão do squid?
Na versão 32 bits, segundoEduardo Gonçalves já é funcional.
-
@ marcelloc,
Please, excuse me for not portuguese speaking…
Help at Spanish Forum, squid3-devel + squidGuard-squid3 not working!
squid3 + squidGuard-squid3 working.
https://forum.pfsense.org/index.php?topic=73007.msg401975#msg401975
Thanks,
Josep (Spanish Moderator)
-
o check_ip.php esta com erro no autentication captive portal, segue o forum que achei o erro:
https://forum.pfsense.org/index.php?topic=72443.msg395218#msg395218
Troque o seu check_ip por este por este em anexo@calebepereira@hotmail.com:
o check_ip.php esta com erro. segue o forum que achei o erro:
-
@calebepereira@hotmail.com:
o check_ip.php esta com erro no autentication captive portal, segue o forum que achei o erro:
Apliquei o patch no pacote, basta reinstalar. Obrigado pela ajuda.
