Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS

    Scheduled Pinned Locked Moved Portuguese
    593 Posts 129 Posters 359.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      mateus0032
      last edited by

      Olá D0U6L4S! com relação ao GMAIL faça a limpeza completa do navegador e faça a importação do certificado novamente tive esses mesmo problemas e sempre resolvo assim… já ouvi falarem em revogar o certificado assim gera um CA e um certificado assim importo os 2 e fica 100% unico problema é bancos e alguns sites do governo que de modo geral o certificado gerado pelo pfsense é basico digamos e em alguns sites ele não é compreendido como valido nesse caso o jeito é encontras os ips do site ou o CIDR como esse do whatsapp...

      https://www.whatsapp.com/cidr.txt

      1 Reply Last reply Reply Quote 0
      • M
        m4xim0
        last edited by

        Eu to usando pfsense 2.1.4 transparente com filtro ssl
        rodando normal mais nao consigo acessar o conectivdade social
        https://conectividade.caixa.gov.br/  o computador esta com certificado

        E em services>proxy server

        em Bypass proxy for these destination IPs

        coloquei o 200.201.173.0/24;200.201.174.0/24

        mesmo assim nao abre alguem consiguiu acessar

        obrigado a todos

        1 Reply Last reply Reply Quote 0
        • E
          emilioeiji
          last edited by

          @m4xim0:

          Eu to usando pfsense 2.1.4 transparente com filtro ssl
          rodando normal mais nao consigo acessar o conectivdade social
          https://conectividade.caixa.gov.br/  o computador esta com certificado

          E em services>proxy server

          em Bypass proxy for these destination IPs

          coloquei o 200.201.173.0/24;200.201.174.0/24

          mesmo assim nao abre alguem consiguiu acessar

          obrigado a todos

          Tenta deixar assim e faz um teste.

          200.201.174.0/20;200.150.79.42/20;conectividade.caixa.gov.br

          1 Reply Last reply Reply Quote 0
          • M
            multnick
            last edited by

            Bom dia.

            Alguém teve algum problema referente ao Balanceamento/Fail Over ?

            Tenho um servidor em produção PFSense 2.1.5, que estava rodando apenas squid3, configurado FailOver/Balanceamento, nesta versão estava rodando perfeitamente.

            Fiz a atualização para o squid-dev, conforme o tópico, na realidade, fiz a desinstalação, e instalei do zero o squid-dev.

            Pude perceber que após a instalação do squid-dev, a navegação do segundo link não esta funcionando. Quando o link WAN Primario esta ativo, funciona 100%, na WAN2, para de funcionar.

            Tenho que desabilitar o squid, para que a navegação seja liberada na WAN2.

            Alguém aqui já teve algum problema similar com dois links ?

            Obrigado.

            1 Reply Last reply Reply Quote 0
            • M
              multnick
              last edited by

              Olá,

              No navegador Chrome, não abre Google/Gmail e Hotmail abre apenas a tela inicial mesmo depois de instalado o certificado.

              No caso do Hotmail, quando loga, a tela vai para o bloqueio da mesma forma do Google.

              Yahoo, depois de logado, a tela não abre 100%, fica com erros.

              Isso esta acontecendo apenas com o Chrome, no Internet Explorer e Firefox esta funcionando normalmente.

              Já existe alguma solução para o Chrome ?

              Obrigado.

              1 Reply Last reply Reply Quote 0
              • C
                clebemartins
                last edited by

                Ola pessoal,

                Entendi a seguinte situação que ao colocar :

                always_direct allow all
                ssl_bump server-first all

                os browsers não terão a chatice de ficar dando erro de certificado ! certo ?
                pois bem esta tudo quase perfeito, exceto quando coloco estes paramentros,

                nada mais navega trava tudo no CERTIFICADO !

                alguém pode me dizer onde errei ?

                1 Reply Last reply Reply Quote 0
                • machadomallM
                  machadomall
                  last edited by

                  Clebe Martins,
                  Instalou as bibliotecas faltantes? Conforme diz o incio do Post.

                  At.

                  Márcio Machado
                  Analista de Suporte Técnico
                  Brasília-DF

                  1 Reply Last reply Reply Quote 0
                  • D
                    D0U6L4S
                    last edited by

                    @Márcio:

                    Clebe Martins,
                    Instalou as bibliotecas faltantes? Conforme diz o incio do Post.

                    At.

                    Márcio Machado bom dia,

                    Precisa instalar as bibliotecas ? o povo disse que na ultima versão do Squid-dev já vem com estas bibliotecas, aqui eu não instalei e não tenho este problema.

                    Abs.@clebemartins:

                    Ola pessoal,

                    Entendi a seguinte situação que ao colocar :

                    always_direct allow all
                    ssl_bump server-first all

                    os browsers não terão a chatice de ficar dando erro de certificado ! certo ?
                    pois bem esta tudo quase perfeito, exceto quando coloco estes paramentros,

                    nada mais navega trava tudo no CERTIFICADO !

                    alguém pode me dizer onde errei ?

                    clebemartins bom dia,

                    O erro dá em qlq navegador ?
                    Aqui eu tive algo parecido e limpei o cache dos browsers e voltou !

                    Único problema é com os sites do governo que dá erro, dai tem que botar no ByPass.

                    Abs.

                    1 Reply Last reply Reply Quote 0
                    • C
                      calijurio
                      last edited by

                      @D0U6L4S:

                      @Márcio:

                      Clebe Martins,
                      Instalou as bibliotecas faltantes? Conforme diz o incio do Post.

                      At.

                      Márcio Machado bom dia,

                      Precisa instalar as bibliotecas ? o povo disse que na ultima versão do Squid-dev já vem com estas bibliotecas, aqui eu não instalei e não tenho este problema.

                      Abs.@clebemartins:

                      Ola pessoal,

                      Entendi a seguinte situação que ao colocar :

                      always_direct allow all
                      ssl_bump server-first all

                      os browsers não terão a chatice de ficar dando erro de certificado ! certo ?
                      pois bem esta tudo quase perfeito, exceto quando coloco estes paramentros,

                      nada mais navega trava tudo no CERTIFICADO !

                      alguém pode me dizer onde errei ?

                      clebemartins bom dia,

                      O erro dá em qlq navegador ?
                      Aqui eu tive algo parecido e limpei o cache dos browsers e voltou !

                      Único problema é com os sites do governo que dá erro, dai tem que botar no ByPass.

                      Abs.

                      Aqui eu coloquei o script e configurei no navegador google chrome versão 37 na versão 36 do chrrome da erro.. e no firefox tb

                      1 Reply Last reply Reply Quote 0
                      • T
                        TreeDark
                        last edited by

                        Marcelo tenho uma dúvida eu li o post inteiro mais creio que não achei a resposta, quando fazemos o bypass tanto do ip da máquina quanto do destino tem que ser instalado os certificados gerados no pfSense nas máquinas clientes independentes delas serem livre dos filtros?
                        Obrigado pela atenção

                        1 Reply Last reply Reply Quote 0
                        • M
                          mateus0032
                          last edited by

                          olá TreeDark! quando é feito o bypass a maquina não usa mais filtros assim não é necessário o uso de certificados, uma dica é usar o mac address da maquina fixado a um ip, esse ip dever estar fora da faixa do dhcp. faço na empresa com celulares e pcs e fica ótimo…  :D

                          1 Reply Last reply Reply Quote 0
                          • T
                            TreeDark
                            last edited by

                            Obrigado pela resposta Mateus0032!!
                            Então não pode usar DHCP para o bypass? Ou posso fazer outro range ou alias só para o bypass.

                            Falo isso por clientes que vem de fora acessarem a internet.
                            Ou posso associar o MAC de um router wireless a um ip do firewall e rotear ele.

                            Obrigado

                            1 Reply Last reply Reply Quote 0
                            • M
                              mateus0032
                              last edited by

                              Isso mesmo TreeDark… o pfsense não trabalha com IP fico ao MAC dentro do DHCP, mas o bypass pode ser de qualquer ip tanto fora quanto dentro então crie um range de quantos usuarios voce precise para o DHCP e o resto que estiver fora pode por o roteador e fixar o mac..  :D
                              Caso tenha duvidas crie seu DHCP com /24 e tente adcionar um ip ao mac veja no print como é simpes voce pode usar o DHCP leases que fica em status..

                              ![dhcp leases.PNG](/public/imported_attachments/1/dhcp leases.PNG)
                              ![dhcp leases.PNG_thumb](/public/imported_attachments/1/dhcp leases.PNG_thumb)

                              1 Reply Last reply Reply Quote 0
                              • A
                                andretoledo
                                last edited by

                                Olá

                                Eu segui o procedimento, instalei o squid3-dev, criei uma entidade certificadora interna no pfsense, importei o certificado, mas ao acessar o facebook por exemplo esta dando erro de certificado.

                                Já coloquei nas configurações de data e hora do pfsense o mesmo servidor ntp usado na estação.

                                1 Reply Last reply Reply Quote 0
                                • M
                                  mateus0032
                                  last edited by

                                  Olá andretoledo! primeiro faça uma limpeza do navegador cache histórico cookies e reveja suas regras do squid3-dev…

                                  já adicionou esses paramentros no squid3 ?

                                  Em Custom ACLS (Before_Auth)

                                  "always_direct allow all
                                  ssl_bump server-first all"

                                  1 Reply Last reply Reply Quote 0
                                  • T
                                    TreeDark
                                    last edited by

                                    olá mateus0032,

                                    Muito Obrigado por suas dicas está funcionando perfeitamente, aproveitando o tópico com qual ferramenta posso fazer log dos filtros ssl/https por tempo utilizado, por exemplo os ip X usou paginas com SSl por tantas horas e páginas com https por tantas horas, teria como fazer esse tipo de log? diario e semanal?

                                    Muito obrigado pela ajuda.

                                    1 Reply Last reply Reply Quote 0
                                    • M
                                      mateus0032
                                      last edited by

                                      então amigo esse tipo de monitoramento nunca fiz mas creio que o sarg ou o Lightsquid possam te dar uma boa noção, eles fazem o monitoramento por ano dia mes hora e pelo ip que acessa, mas não mostra exatamente o uso do ssl/https…

                                      1 Reply Last reply Reply Quote 0
                                      • A
                                        andretoledo
                                        last edited by

                                        @mateus0032:

                                        Olá andretoledo! primeiro faça uma limpeza do navegador cache histórico cookies e reveja suas regras do squid3-dev…

                                        já adicionou esses paramentros no squid3 ?

                                        Em Custom ACLS (Before_Auth)

                                        "always_direct allow all
                                        ssl_bump server-first all"

                                        Com essas configurações e limpando o cache funcionou para facebook, até mesmo para o banco santander, mas o gmail ainda esta dando erro.

                                        print02.png
                                        print02.png_thumb

                                        1 Reply Last reply Reply Quote 0
                                        • M
                                          mateus0032
                                          last edited by

                                          andretoledo o gmail.com infelizmente comigo deu o mesmo erro a forma que consegui foi entra pelo accounts do google voce pode abrir o google e na parte superior direita e entra no gmail ou por esse link "https://accounts.google.com" ainda não descobri o motivo e fica ai em aberto para que souber…  ;D ;D  "https://accounts.google.com"

                                          1 Reply Last reply Reply Quote 0
                                          • A
                                            andretoledo
                                            last edited by

                                            @mateus0032:

                                            andretoledo o gmail.com infelizmente comigo deu o mesmo erro a forma que consegui foi entra pelo accounts do google voce pode abrir o google e na parte superior direita e entra no gmail ou por esse link "https://accounts.google.com" ainda não descobri o motivo e fica ai em aberto para que souber…  ;D ;D  "https://accounts.google.com"

                                            Aqui não temos restrições ao gmail, eu coloquei o dominio gmail.com no campo "Bypass proxy for these destination IPs", assim ele não vai ser cacheado e não da o erro. Se alguém tiver uma solução diferente eu gostaria de não deixar em by pass, mas por hora vou deixar assim.

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.