Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS
-
Bom dia.
Alguém teve algum problema referente ao Balanceamento/Fail Over ?
Tenho um servidor em produção PFSense 2.1.5, que estava rodando apenas squid3, configurado FailOver/Balanceamento, nesta versão estava rodando perfeitamente.
Fiz a atualização para o squid-dev, conforme o tópico, na realidade, fiz a desinstalação, e instalei do zero o squid-dev.
Pude perceber que após a instalação do squid-dev, a navegação do segundo link não esta funcionando. Quando o link WAN Primario esta ativo, funciona 100%, na WAN2, para de funcionar.
Tenho que desabilitar o squid, para que a navegação seja liberada na WAN2.
Alguém aqui já teve algum problema similar com dois links ?
Obrigado.
-
Olá,
No navegador Chrome, não abre Google/Gmail e Hotmail abre apenas a tela inicial mesmo depois de instalado o certificado.
No caso do Hotmail, quando loga, a tela vai para o bloqueio da mesma forma do Google.
Yahoo, depois de logado, a tela não abre 100%, fica com erros.
Isso esta acontecendo apenas com o Chrome, no Internet Explorer e Firefox esta funcionando normalmente.
Já existe alguma solução para o Chrome ?
Obrigado.
-
Ola pessoal,
Entendi a seguinte situação que ao colocar :
always_direct allow all
ssl_bump server-first allos browsers não terão a chatice de ficar dando erro de certificado ! certo ?
pois bem esta tudo quase perfeito, exceto quando coloco estes paramentros,nada mais navega trava tudo no CERTIFICADO !
alguém pode me dizer onde errei ?
-
Clebe Martins,
Instalou as bibliotecas faltantes? Conforme diz o incio do Post.At.
-
@Márcio:
Clebe Martins,
Instalou as bibliotecas faltantes? Conforme diz o incio do Post.At.
Márcio Machado bom dia,
Precisa instalar as bibliotecas ? o povo disse que na ultima versão do Squid-dev já vem com estas bibliotecas, aqui eu não instalei e não tenho este problema.
Abs.@clebemartins:
Ola pessoal,
Entendi a seguinte situação que ao colocar :
always_direct allow all
ssl_bump server-first allos browsers não terão a chatice de ficar dando erro de certificado ! certo ?
pois bem esta tudo quase perfeito, exceto quando coloco estes paramentros,nada mais navega trava tudo no CERTIFICADO !
alguém pode me dizer onde errei ?
clebemartins bom dia,
O erro dá em qlq navegador ?
Aqui eu tive algo parecido e limpei o cache dos browsers e voltou !Único problema é com os sites do governo que dá erro, dai tem que botar no ByPass.
Abs.
-
@Márcio:
Clebe Martins,
Instalou as bibliotecas faltantes? Conforme diz o incio do Post.At.
Márcio Machado bom dia,
Precisa instalar as bibliotecas ? o povo disse que na ultima versão do Squid-dev já vem com estas bibliotecas, aqui eu não instalei e não tenho este problema.
Abs.@clebemartins:
Ola pessoal,
Entendi a seguinte situação que ao colocar :
always_direct allow all
ssl_bump server-first allos browsers não terão a chatice de ficar dando erro de certificado ! certo ?
pois bem esta tudo quase perfeito, exceto quando coloco estes paramentros,nada mais navega trava tudo no CERTIFICADO !
alguém pode me dizer onde errei ?
clebemartins bom dia,
O erro dá em qlq navegador ?
Aqui eu tive algo parecido e limpei o cache dos browsers e voltou !Único problema é com os sites do governo que dá erro, dai tem que botar no ByPass.
Abs.
Aqui eu coloquei o script e configurei no navegador google chrome versão 37 na versão 36 do chrrome da erro.. e no firefox tb
-
Marcelo tenho uma dúvida eu li o post inteiro mais creio que não achei a resposta, quando fazemos o bypass tanto do ip da máquina quanto do destino tem que ser instalado os certificados gerados no pfSense nas máquinas clientes independentes delas serem livre dos filtros?
Obrigado pela atenção -
olá TreeDark! quando é feito o bypass a maquina não usa mais filtros assim não é necessário o uso de certificados, uma dica é usar o mac address da maquina fixado a um ip, esse ip dever estar fora da faixa do dhcp. faço na empresa com celulares e pcs e fica ótimo… :D
-
Obrigado pela resposta Mateus0032!!
Então não pode usar DHCP para o bypass? Ou posso fazer outro range ou alias só para o bypass.Falo isso por clientes que vem de fora acessarem a internet.
Ou posso associar o MAC de um router wireless a um ip do firewall e rotear ele.Obrigado
-
Isso mesmo TreeDark… o pfsense não trabalha com IP fico ao MAC dentro do DHCP, mas o bypass pode ser de qualquer ip tanto fora quanto dentro então crie um range de quantos usuarios voce precise para o DHCP e o resto que estiver fora pode por o roteador e fixar o mac.. :D
Caso tenha duvidas crie seu DHCP com /24 e tente adcionar um ip ao mac veja no print como é simpes voce pode usar o DHCP leases que fica em status..
 -
Olá
Eu segui o procedimento, instalei o squid3-dev, criei uma entidade certificadora interna no pfsense, importei o certificado, mas ao acessar o facebook por exemplo esta dando erro de certificado.
Já coloquei nas configurações de data e hora do pfsense o mesmo servidor ntp usado na estação.
-
Olá andretoledo! primeiro faça uma limpeza do navegador cache histórico cookies e reveja suas regras do squid3-dev…
já adicionou esses paramentros no squid3 ?
Em Custom ACLS (Before_Auth)
"always_direct allow all
ssl_bump server-first all" -
olá mateus0032,
Muito Obrigado por suas dicas está funcionando perfeitamente, aproveitando o tópico com qual ferramenta posso fazer log dos filtros ssl/https por tempo utilizado, por exemplo os ip X usou paginas com SSl por tantas horas e páginas com https por tantas horas, teria como fazer esse tipo de log? diario e semanal?
Muito obrigado pela ajuda.
-
então amigo esse tipo de monitoramento nunca fiz mas creio que o sarg ou o Lightsquid possam te dar uma boa noção, eles fazem o monitoramento por ano dia mes hora e pelo ip que acessa, mas não mostra exatamente o uso do ssl/https…
-
Olá andretoledo! primeiro faça uma limpeza do navegador cache histórico cookies e reveja suas regras do squid3-dev…
já adicionou esses paramentros no squid3 ?
Em Custom ACLS (Before_Auth)
"always_direct allow all
ssl_bump server-first all"Com essas configurações e limpando o cache funcionou para facebook, até mesmo para o banco santander, mas o gmail ainda esta dando erro.
-
andretoledo o gmail.com infelizmente comigo deu o mesmo erro a forma que consegui foi entra pelo accounts do google voce pode abrir o google e na parte superior direita e entra no gmail ou por esse link "https://accounts.google.com" ainda não descobri o motivo e fica ai em aberto para que souber… ;D ;D "https://accounts.google.com"
-
andretoledo o gmail.com infelizmente comigo deu o mesmo erro a forma que consegui foi entra pelo accounts do google voce pode abrir o google e na parte superior direita e entra no gmail ou por esse link "https://accounts.google.com" ainda não descobri o motivo e fica ai em aberto para que souber… ;D ;D "https://accounts.google.com"
Aqui não temos restrições ao gmail, eu coloquei o dominio gmail.com no campo "Bypass proxy for these destination IPs", assim ele não vai ser cacheado e não da o erro. Se alguém tiver uma solução diferente eu gostaria de não deixar em by pass, mas por hora vou deixar assim.
-
Pessoal, boa noite
Fiz todo o passo a passo e começou a funcionar que é uma beleza, porém (Sempre tem um porém hehehe) poucos minutos depois a navegação simplesmente parou. Qualquer página que tento acessar simplesmente não abre.
Obs: Instalei o squid3-dev e depois o Squidguard3-dev
-
Pessoal, boa noite
Fiz todo o passo a passo e começou a funcionar que é uma beleza, porém (Sempre tem um porém hehehe) poucos minutos depois a navegação simplesmente parou. Qualquer página que tento acessar simplesmente não abre.
Obs: Instalei o squid3-dev e depois o Squidguard3-dev
victorfmaraujo bom dia,
Qual a versão do seu PfSense ?
Abs.
-
Alguma solução ? estou com o mesmo problema erro de certificado.. criei o certificado interno exportei instalei no navegador configurei o squid e mesmo assim continuo recebendo o erro de certificado já testei varios metodos descritos aqui e nada…
versao pfsense 2.1.5 amd64 squid3-dev versao "3.3.10
