Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

D0U6L4S

@emilioeiji:

@faustovianna:

Valeu, agora sim!! Só ficou impedido de entrar no Gmail, isso aqui na empresa representa um grande problema porque o povo adora usar ele… tem algum solução pra isso ai? alguém?

No meu caso está tranquilo… quem usa o gmail tem acesso full, então não vai impactar tanto, vou testar mais um pouco em ambiente de teste e tentarei colocar pra rodar em produção durante a semana.

Eilioeiji desculpa a demora,

Sim coloquei estes parâmetros, os mesmo informados nos posts anteriores pelo Marcelloc e no vídeo do João.
Só que no GMAIL o erro continua, trabalho em uma Contabilidade com mais de 70 PC, e esses sites do Governo dão dor de cabeça, meu medo é dar pau em alguns desses sites tmb, e são muitos para testar rsrsrs.

Parece que dá pra fazer colocar o site em ByPass, pra não ser filtrado pelo SSL do Squid, mas ainda não testei !
Se conseguirem dá um FeedBack pra nós !!!

Abs.

mateus0032

Olá D0U6L4S! com relação ao GMAIL faça a limpeza completa do navegador e faça a importação do certificado novamente tive esses mesmo problemas e sempre resolvo assim… já ouvi falarem em revogar o certificado assim gera um CA e um certificado assim importo os 2 e fica 100% unico problema é bancos e alguns sites do governo que de modo geral o certificado gerado pelo pfsense é basico digamos e em alguns sites ele não é compreendido como valido nesse caso o jeito é encontras os ips do site ou o CIDR como esse do whatsapp...

https://www.whatsapp.com/cidr.txt

m4xim0

Eu to usando pfsense 2.1.4 transparente com filtro ssl
rodando normal mais nao consigo acessar o conectivdade social
https://conectividade.caixa.gov.br/  o computador esta com certificado

E em services>proxy server

em Bypass proxy for these destination IPs

coloquei o 200.201.173.0/24;200.201.174.0/24

mesmo assim nao abre alguem consiguiu acessar

obrigado a todos

emilioeiji

@m4xim0:

Eu to usando pfsense 2.1.4 transparente com filtro ssl
rodando normal mais nao consigo acessar o conectivdade social
https://conectividade.caixa.gov.br/  o computador esta com certificado

E em services>proxy server

em Bypass proxy for these destination IPs

coloquei o 200.201.173.0/24;200.201.174.0/24

mesmo assim nao abre alguem consiguiu acessar

obrigado a todos

Tenta deixar assim e faz um teste.

200.201.174.0/20;200.150.79.42/20;conectividade.caixa.gov.br

multnick

Bom dia.

Alguém teve algum problema referente ao Balanceamento/Fail Over ?

Tenho um servidor em produção PFSense 2.1.5, que estava rodando apenas squid3, configurado FailOver/Balanceamento, nesta versão estava rodando perfeitamente.

Fiz a atualização para o squid-dev, conforme o tópico, na realidade, fiz a desinstalação, e instalei do zero o squid-dev.

Pude perceber que após a instalação do squid-dev, a navegação do segundo link não esta funcionando. Quando o link WAN Primario esta ativo, funciona 100%, na WAN2, para de funcionar.

Tenho que desabilitar o squid, para que a navegação seja liberada na WAN2.

Alguém aqui já teve algum problema similar com dois links ?

Obrigado.

multnick

Olá,

No navegador Chrome, não abre Google/Gmail e Hotmail abre apenas a tela inicial mesmo depois de instalado o certificado.

No caso do Hotmail, quando loga, a tela vai para o bloqueio da mesma forma do Google.

Yahoo, depois de logado, a tela não abre 100%, fica com erros.

Isso esta acontecendo apenas com o Chrome, no Internet Explorer e Firefox esta funcionando normalmente.

Já existe alguma solução para o Chrome ?

Obrigado.

clebemartins

Ola pessoal,

Entendi a seguinte situação que ao colocar :

always_direct allow all
ssl_bump server-first all

os browsers não terão a chatice de ficar dando erro de certificado ! certo ?
pois bem esta tudo quase perfeito, exceto quando coloco estes paramentros,

nada mais navega trava tudo no CERTIFICADO !

alguém pode me dizer onde errei ?

machadomall

Clebe Martins,
Instalou as bibliotecas faltantes? Conforme diz o incio do Post.

At.

D0U6L4S

@Márcio:

Clebe Martins,
Instalou as bibliotecas faltantes? Conforme diz o incio do Post.

At.

Márcio Machado bom dia,

Precisa instalar as bibliotecas ? o povo disse que na ultima versão do Squid-dev já vem com estas bibliotecas, aqui eu não instalei e não tenho este problema.

Abs.@clebemartins:

Ola pessoal,

Entendi a seguinte situação que ao colocar :

always_direct allow all
ssl_bump server-first all

os browsers não terão a chatice de ficar dando erro de certificado ! certo ?
pois bem esta tudo quase perfeito, exceto quando coloco estes paramentros,

nada mais navega trava tudo no CERTIFICADO !

alguém pode me dizer onde errei ?

clebemartins bom dia,

O erro dá em qlq navegador ?
Aqui eu tive algo parecido e limpei o cache dos browsers e voltou !

Único problema é com os sites do governo que dá erro, dai tem que botar no ByPass.

Abs.

calijurio

@D0U6L4S:

@Márcio:

Clebe Martins,
Instalou as bibliotecas faltantes? Conforme diz o incio do Post.

At.

Márcio Machado bom dia,

Precisa instalar as bibliotecas ? o povo disse que na ultima versão do Squid-dev já vem com estas bibliotecas, aqui eu não instalei e não tenho este problema.

Abs.@clebemartins:

Ola pessoal,

Entendi a seguinte situação que ao colocar :

always_direct allow all
ssl_bump server-first all

os browsers não terão a chatice de ficar dando erro de certificado ! certo ?
pois bem esta tudo quase perfeito, exceto quando coloco estes paramentros,

nada mais navega trava tudo no CERTIFICADO !

alguém pode me dizer onde errei ?

clebemartins bom dia,

O erro dá em qlq navegador ?
Aqui eu tive algo parecido e limpei o cache dos browsers e voltou !

Único problema é com os sites do governo que dá erro, dai tem que botar no ByPass.

Abs.

Aqui eu coloquei o script e configurei no navegador google chrome versão 37 na versão 36 do chrrome da erro.. e no firefox tb

TreeDark

Marcelo tenho uma dúvida eu li o post inteiro mais creio que não achei a resposta, quando fazemos o bypass tanto do ip da máquina quanto do destino tem que ser instalado os certificados gerados no pfSense nas máquinas clientes independentes delas serem livre dos filtros?
Obrigado pela atenção

mateus0032

olá TreeDark! quando é feito o bypass a maquina não usa mais filtros assim não é necessário o uso de certificados, uma dica é usar o mac address da maquina fixado a um ip, esse ip dever estar fora da faixa do dhcp. faço na empresa com celulares e pcs e fica ótimo…  :D

TreeDark

Obrigado pela resposta Mateus0032!!
Então não pode usar DHCP para o bypass? Ou posso fazer outro range ou alias só para o bypass.

Falo isso por clientes que vem de fora acessarem a internet.
Ou posso associar o MAC de um router wireless a um ip do firewall e rotear ele.

Obrigado

mateus0032

Isso mesmo TreeDark… o pfsense não trabalha com IP fico ao MAC dentro do DHCP, mas o bypass pode ser de qualquer ip tanto fora quanto dentro então crie um range de quantos usuarios voce precise para o DHCP e o resto que estiver fora pode por o roteador e fixar o mac..  :D
Caso tenha duvidas crie seu DHCP com /24 e tente adcionar um ip ao mac veja no print como é simpes voce pode usar o DHCP leases que fica em status..


andretoledo

Olá

Eu segui o procedimento, instalei o squid3-dev, criei uma entidade certificadora interna no pfsense, importei o certificado, mas ao acessar o facebook por exemplo esta dando erro de certificado.

Já coloquei nas configurações de data e hora do pfsense o mesmo servidor ntp usado na estação.

mateus0032

Olá andretoledo! primeiro faça uma limpeza do navegador cache histórico cookies e reveja suas regras do squid3-dev…

já adicionou esses paramentros no squid3 ?

Em Custom ACLS (Before_Auth)

"always_direct allow all
ssl_bump server-first all"

TreeDark

olá mateus0032,

Muito Obrigado por suas dicas está funcionando perfeitamente, aproveitando o tópico com qual ferramenta posso fazer log dos filtros ssl/https por tempo utilizado, por exemplo os ip X usou paginas com SSl por tantas horas e páginas com https por tantas horas, teria como fazer esse tipo de log? diario e semanal?

Muito obrigado pela ajuda.

mateus0032

então amigo esse tipo de monitoramento nunca fiz mas creio que o sarg ou o Lightsquid possam te dar uma boa noção, eles fazem o monitoramento por ano dia mes hora e pelo ip que acessa, mas não mostra exatamente o uso do ssl/https…

andretoledo

@mateus0032:

Olá andretoledo! primeiro faça uma limpeza do navegador cache histórico cookies e reveja suas regras do squid3-dev…

já adicionou esses paramentros no squid3 ?

Em Custom ACLS (Before_Auth)

"always_direct allow all
ssl_bump server-first all"

Com essas configurações e limpando o cache funcionou para facebook, até mesmo para o banco santander, mas o gmail ainda esta dando erro.

mateus0032

andretoledo o gmail.com infelizmente comigo deu o mesmo erro a forma que consegui foi entra pelo accounts do google voce pode abrir o google e na parte superior direita e entra no gmail ou por esse link "https://accounts.google.com" ainda não descobri o motivo e fica ai em aberto para que souber…  ;D ;D  "https://accounts.google.com"