Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS
-
@Márcio:
Clebe Martins,
Instalou as bibliotecas faltantes? Conforme diz o incio do Post.At.
Márcio Machado bom dia,
Precisa instalar as bibliotecas ? o povo disse que na ultima versão do Squid-dev já vem com estas bibliotecas, aqui eu não instalei e não tenho este problema.
Abs.@clebemartins:
Ola pessoal,
Entendi a seguinte situação que ao colocar :
always_direct allow all
ssl_bump server-first allos browsers não terão a chatice de ficar dando erro de certificado ! certo ?
pois bem esta tudo quase perfeito, exceto quando coloco estes paramentros,nada mais navega trava tudo no CERTIFICADO !
alguém pode me dizer onde errei ?
clebemartins bom dia,
O erro dá em qlq navegador ?
Aqui eu tive algo parecido e limpei o cache dos browsers e voltou !Único problema é com os sites do governo que dá erro, dai tem que botar no ByPass.
Abs.
Aqui eu coloquei o script e configurei no navegador google chrome versão 37 na versão 36 do chrrome da erro.. e no firefox tb
-
Marcelo tenho uma dúvida eu li o post inteiro mais creio que não achei a resposta, quando fazemos o bypass tanto do ip da máquina quanto do destino tem que ser instalado os certificados gerados no pfSense nas máquinas clientes independentes delas serem livre dos filtros?
Obrigado pela atenção -
olá TreeDark! quando é feito o bypass a maquina não usa mais filtros assim não é necessário o uso de certificados, uma dica é usar o mac address da maquina fixado a um ip, esse ip dever estar fora da faixa do dhcp. faço na empresa com celulares e pcs e fica ótimo… :D
-
Obrigado pela resposta Mateus0032!!
Então não pode usar DHCP para o bypass? Ou posso fazer outro range ou alias só para o bypass.Falo isso por clientes que vem de fora acessarem a internet.
Ou posso associar o MAC de um router wireless a um ip do firewall e rotear ele.Obrigado
-
Isso mesmo TreeDark… o pfsense não trabalha com IP fico ao MAC dentro do DHCP, mas o bypass pode ser de qualquer ip tanto fora quanto dentro então crie um range de quantos usuarios voce precise para o DHCP e o resto que estiver fora pode por o roteador e fixar o mac.. :D
Caso tenha duvidas crie seu DHCP com /24 e tente adcionar um ip ao mac veja no print como é simpes voce pode usar o DHCP leases que fica em status..![dhcp leases.PNG](/public/imported_attachments/1/dhcp leases.PNG)
![dhcp leases.PNG_thumb](/public/imported_attachments/1/dhcp leases.PNG_thumb) -
-
Olá andretoledo! primeiro faça uma limpeza do navegador cache histórico cookies e reveja suas regras do squid3-dev…
já adicionou esses paramentros no squid3 ?
Em Custom ACLS (Before_Auth)
"always_direct allow all
ssl_bump server-first all" -
olá mateus0032,
Muito Obrigado por suas dicas está funcionando perfeitamente, aproveitando o tópico com qual ferramenta posso fazer log dos filtros ssl/https por tempo utilizado, por exemplo os ip X usou paginas com SSl por tantas horas e páginas com https por tantas horas, teria como fazer esse tipo de log? diario e semanal?
Muito obrigado pela ajuda.
-
então amigo esse tipo de monitoramento nunca fiz mas creio que o sarg ou o Lightsquid possam te dar uma boa noção, eles fazem o monitoramento por ano dia mes hora e pelo ip que acessa, mas não mostra exatamente o uso do ssl/https…
-
Olá andretoledo! primeiro faça uma limpeza do navegador cache histórico cookies e reveja suas regras do squid3-dev…
já adicionou esses paramentros no squid3 ?
Em Custom ACLS (Before_Auth)
"always_direct allow all
ssl_bump server-first all"Com essas configurações e limpando o cache funcionou para facebook, até mesmo para o banco santander, mas o gmail ainda esta dando erro.
-
andretoledo o gmail.com infelizmente comigo deu o mesmo erro a forma que consegui foi entra pelo accounts do google voce pode abrir o google e na parte superior direita e entra no gmail ou por esse link "https://accounts.google.com" ainda não descobri o motivo e fica ai em aberto para que souber… ;D ;D "https://accounts.google.com"
-
andretoledo o gmail.com infelizmente comigo deu o mesmo erro a forma que consegui foi entra pelo accounts do google voce pode abrir o google e na parte superior direita e entra no gmail ou por esse link "https://accounts.google.com" ainda não descobri o motivo e fica ai em aberto para que souber… ;D ;D "https://accounts.google.com"
Aqui não temos restrições ao gmail, eu coloquei o dominio gmail.com no campo "Bypass proxy for these destination IPs", assim ele não vai ser cacheado e não da o erro. Se alguém tiver uma solução diferente eu gostaria de não deixar em by pass, mas por hora vou deixar assim.
-
Pessoal, boa noite
Fiz todo o passo a passo e começou a funcionar que é uma beleza, porém (Sempre tem um porém hehehe) poucos minutos depois a navegação simplesmente parou. Qualquer página que tento acessar simplesmente não abre.
Obs: Instalei o squid3-dev e depois o Squidguard3-dev
-
Pessoal, boa noite
Fiz todo o passo a passo e começou a funcionar que é uma beleza, porém (Sempre tem um porém hehehe) poucos minutos depois a navegação simplesmente parou. Qualquer página que tento acessar simplesmente não abre.
Obs: Instalei o squid3-dev e depois o Squidguard3-dev
victorfmaraujo bom dia,
Qual a versão do seu PfSense ?
Abs.
-
Alguma solução ? estou com o mesmo problema erro de certificado.. criei o certificado interno exportei instalei no navegador configurei o squid e mesmo assim continuo recebendo o erro de certificado já testei varios metodos descritos aqui e nada…
versao pfsense 2.1.5 amd64 squid3-dev versao "3.3.10
-
Pessoal, boa noite
Fiz todo o passo a passo e começou a funcionar que é uma beleza, porém (Sempre tem um porém hehehe) poucos minutos depois a navegação simplesmente parou. Qualquer página que tento acessar simplesmente não abre.
Obs: Instalei o squid3-dev e depois o Squidguard3-dev
victorfmaraujo bom dia,
Qual a versão do seu PfSense ?
Abs.
D0U6L4S, boa tarde
estou com a última versão release.
2.1.5-RELEASE (i386)
Acho que o problema parece ser no squidguard-squid3.
Os sites que coloco na Blacklist dão erro de timeout ao invés de bloquear.
Aparece a mensagem abaixo.
O seguinte erro foi encontrado ao tentar recuperar a URL: http://192.168.1.1/sgerror.php?
Conexão para 192.168.1.1 falhou.
O sistema retornou: (60) Operation timed out
O Host ou a rede remota pode estar fora do ar. Por favor, faça uma requisição novamente. -
Pessoal, boa noite
Fiz todo o passo a passo e começou a funcionar que é uma beleza, porém (Sempre tem um porém hehehe) poucos minutos depois a navegação simplesmente parou. Qualquer página que tento acessar simplesmente não abre.
Obs: Instalei o squid3-dev e depois o Squidguard3-dev
victorfmaraujo bom dia,
Qual a versão do seu PfSense ?
Abs.
D0U6L4S, boa tarde
estou com a última versão release.
2.1.5-RELEASE (i386)
Acho que o problema parece ser no squidguard-squid3.
Os sites que coloco na Blacklist dão erro de timeout ao invés de bloquear.
Aparece a mensagem abaixo.
O seguinte erro foi encontrado ao tentar recuperar a URL: http://192.168.1.1/sgerror.php?
Conexão para 192.168.1.1 falhou.
O sistema retornou: (60) Operation timed out
O Host ou a rede remota pode estar fora do ar. Por favor, faça uma requisição novamente.Ainda nem atualizei e acho que nem vou !
Só pra arranjar problema na hora de atualizar …. ._.!
não vale a pena essa versão ainda .. vou ficar com a 2.1.4 mesmo.
-
@JuniorAndrade:
Pessoal, boa noite
Fiz todo o passo a passo e começou a funcionar que é uma beleza, porém (Sempre tem um porém hehehe) poucos minutos depois a navegação simplesmente parou. Qualquer página que tento acessar simplesmente não abre.
Obs: Instalei o squid3-dev e depois o Squidguard3-dev
victorfmaraujo bom dia,
Qual a versão do seu PfSense ?
Abs.
D0U6L4S, boa tarde
estou com a última versão release.
2.1.5-RELEASE (i386)
Acho que o problema parece ser no squidguard-squid3.
Os sites que coloco na Blacklist dão erro de timeout ao invés de bloquear.
Aparece a mensagem abaixo.
O seguinte erro foi encontrado ao tentar recuperar a URL: http://192.168.1.1/sgerror.php?
Conexão para 192.168.1.1 falhou.
O sistema retornou: (60) Operation timed out
O Host ou a rede remota pode estar fora do ar. Por favor, faça uma requisição novamente.Ainda nem atualizei e acho que nem vou !
Só pra arranjar problema na hora de atualizar …. ._.!
não vale a pena essa versão ainda .. vou ficar com a 2.1.4 mesmo.
Mesmo sendo release???????
-
Pessoal, boa noite
Fiz todo o passo a passo e começou a funcionar que é uma beleza, porém (Sempre tem um porém hehehe) poucos minutos depois a navegação simplesmente parou. Qualquer página que tento acessar simplesmente não abre.
Obs: Instalei o squid3-dev e depois o Squidguard3-dev
victorfmaraujo bom dia,
Qual a versão do seu PfSense ?
Abs.
D0U6L4S, boa tarde
estou com a última versão release.
2.1.5-RELEASE (i386)
Acho que o problema parece ser no squidguard-squid3.
Os sites que coloco na Blacklist dão erro de timeout ao invés de bloquear.
Aparece a mensagem abaixo.
O seguinte erro foi encontrado ao tentar recuperar a URL: http://192.168.1.1/sgerror.php?
Conexão para 192.168.1.1 falhou.
O sistema retornou: (60) Operation timed out
O Host ou a rede remota pode estar fora do ar. Por favor, faça uma requisição novamente.Estranho,
Estou com a 2.1.4 em testes ainda mas não tive este problema até o momento, o povo diz que a 2.1.5 está com alguns problemas quando usam filtro de SSL + LoadBalance.
Teste um DownGrade pra 2.1.4 e vê se funfa.
@JuniorAndrade:
Pessoal, boa noite
Fiz todo o passo a passo e começou a funcionar que é uma beleza, porém (Sempre tem um porém hehehe) poucos minutos depois a navegação simplesmente parou. Qualquer página que tento acessar simplesmente não abre.
Obs: Instalei o squid3-dev e depois o Squidguard3-dev
victorfmaraujo bom dia,
Qual a versão do seu PfSense ?
Abs.
D0U6L4S, boa tarde
estou com a última versão release.
2.1.5-RELEASE (i386)
Acho que o problema parece ser no squidguard-squid3.
Os sites que coloco na Blacklist dão erro de timeout ao invés de bloquear.
Aparece a mensagem abaixo.
O seguinte erro foi encontrado ao tentar recuperar a URL: http://192.168.1.1/sgerror.php?
Conexão para 192.168.1.1 falhou.
O sistema retornou: (60) Operation timed out
O Host ou a rede remota pode estar fora do ar. Por favor, faça uma requisição novamente.Ainda nem atualizei e acho que nem vou !
Só pra arranjar problema na hora de atualizar …. ._.!
não vale a pena essa versão ainda .. vou ficar com a 2.1.4 mesmo.
É mesmo JuniorAndrade essa versão está meio zuada, rs
-
É mesmo JuniorAndrade essa versão está meio zuada, rs
Zuada em qual sentido? Eu pelo menos não tive problemas em produção.
-
É mesmo JuniorAndrade essa versão está meio zuada, rs
Zuada em qual sentido? Eu pelo menos não tive problemas em produção.
Fica Atualizando direto o PFsense não é legal ! não no meu ponto de vista !
Eu agora só vou atualizar com umas 10 versões de diferença..
-
Bom Dia,
Instalei o filtro e fiz vários testes com o squid em relação a bypass de bancos e outros sites, tudo estava lindo funcionando beleza, dai fui instalar o squidguard 3 para utilizar suas blacklists depois da instalação nenhum site que eu coloque no bypass do proxy server funciona todos dão erro de certificado, então removi o squidguard e mesmo assim o erro continua.
Fiz uma nova instalação limpa reconfigurei tudo mais quando instalo o squidguard 3 o bypasss para de funcionar.Alguém pode me dar uma mão nisso Muito obrigado
-
É mesmo JuniorAndrade essa versão está meio zuada, rs
Zuada em qual sentido? Eu pelo menos não tive problemas em produção.
victorfmaraujo o pessoal diz estar com problemas relacionado a usar o Filtro SSL e LoadBalance, o seu está OK ?
Abs.
-
É mesmo JuniorAndrade essa versão está meio zuada, rs
Zuada em qual sentido? Eu pelo menos não tive problemas em produção.
victorfmaraujo o pessoal diz estar com problemas relacionado a usar o Filtro SSL e LoadBalance, o seu está OK ?
Abs.
Por enquanto estou em ambiente de testes. Apenas o erro que informei sobre o SquidGuard.
Quanto ao load ballance, creio que tenha que fazer o tcp_outgoing_address 127.0.0.1 em custom options do squid, além da regra float para resolver. Vejo muitas pessoas com esse problema sem configurar isso.
-
É mesmo JuniorAndrade essa versão está meio zuada, rs
Zuada em qual sentido? Eu pelo menos não tive problemas em produção.
victorfmaraujo o pessoal diz estar com problemas relacionado a usar o Filtro SSL e LoadBalance, o seu está OK ?
Abs.
Douglas, foi bobeira minha cara.
o fato do squidguard não estar apresentando a tela de bloqueio é porquê o Pfsense está utilizando a porta 443 para o Lightttpd. Coisa de amador a minha agora kkkkk.
Ele tenta gerar o erro através da porta 80, mas como não tem webserver rodando nela, só gera erro.
-
Boa Tarde victorfmaraujo! Sobre esse loadbalance com as confs de voce tbm não funciona o squid só recebe o link do padrão só sai por uma wan já tentei de tudo e até agora nada… qualquer duvida te envio os prints para voce analisar... :D
-
Boa Tarde victorfmaraujo! Sobre esse loadbalance com as confs de voce tbm não funciona o squid só recebe o link do padrão só sai por uma wan já tentei de tudo e até agora nada… qualquer duvida te envio os prints para voce analisar... :D
Rapaz, estou sem ambiente para testar loadballance :/
o seu ambiente é de teste ou produção?
-
sim está no vmware workstation e esxi 5.1, 5.5 e xenserver, mas tbm tenho fisico e da o mesmo problema….
-
Alguem teve problema com google driver com programa que instalado no pc
tipo ele não conecta com se eu removo squid dev mais squid guard removo tudo ai ele
conecta. tem que colocar nao fazer cache do google driver ?? alguem sabe os ip do google driver -
Já tentou colocar o endereço: drive.google.com como bypass/whitelist
-
Já tentou colocar o endereço: drive.google.com como bypass/whitelist
isso para fazer uma whitelist ou colocar em
E em services>proxy server
em Bypass proxy for these destination IPs ???
-
Bom dia Marcelo!
Esta versão do squid funciona com proxy autenticado?
caso sim existe alguma outra configuração necessária para que funcione?Em meu cenário, tudo configurado setado proxy no navegador o squid não responde a requisição.
Voltei para a antiga versão do squid até sanar estas as duvidas
Grato!
-
Eu to usando pfsense 2.1.4 transparente com filtro ssl
rodando normal mais nao consigo acessar o conectivdade social
https://conectividade.caixa.gov.br/ o computador esta com certificadoE em services>proxy server
em Bypass proxy for these destination IPs
coloquei o 200.201.173.0/24;200.201.174.0/24
mesmo assim nao abre alguem consiguiu acessar
obrigado a todos
Tenta deixar assim e faz um teste.
200.201.174.0/20;200.150.79.42/20;conectividade.caixa.gov.br
Modifiquei o post. Entao eu testei nao estava consiguindo por que a maquina que testei tava
sem certificado ai colqouei para nao fazer cache no 200.201.174.0/20;200.150.79.42/20;conectividade.caixa.gov.brFunciono Valeuu Muito Obrigado pela Ajuda
-
Se alguém não estiver conseguindo utilizar o Whatsapp aqui eu resolvi instalando o certificado do proxy no celular, depois disso ficou perfeito.
No caso do Google Drive e Dropbox eles são bloqueados por não terem acesso ao certificado do proxy, então eu utilizo um programa chamado Goodsync http://www.goodsync.com/ que tem opção de proxy avançado e consegue acessar o certificado para abrir os serviços.
Oi tudo bem se poderia explicar como usar esse programa GOODSYNC???
-
@JuniorAndrade:
Bom minha solução para os erros de Certificado !
Se o Site está na Whitelist e está com erro de certificado ..
Fiz uma Aliases "Passproxy" coloquei no squid ..
e decubro o IP do destino e vou liberando.. jogando por trás do Proxy (Bypass)
Se o site é para liberar para alguns …Fiz 2 Aliases e fiz o bloqueio via Regra de Firewall por IP, mas tem a opção de ir por URL também !
Estou usando tranquilamente o SSL :)
Oi tudo bem, se poderia mostrar algum exemplo de como fazer isso fazendo favor
Muito Obrigado -
coloca as configurações de proxy no dropbox que funciona mesma coisa pro skydriver
- 7 days later
-
Galera, quem ta com problemas para acessar o Gmail, eu consegui contornar o problema, configurei o Squidguard para toda vez qeu a pessoa entrar nos sites www.gmail.com e www.gmail.com.br ele redirecione para a pagina www.lemail.com.br
-
aproveitando para tirar uma duvida, vi que tem a versão squid3-dev que intercepta ssl em modo transparente, e agora a desse topico, então minha pergunta é: esse a mesma coisa que a versão dev?
se não,
sei que versão dev vem de desenvolvimento e que por tanto não é estável, e talvez algumas coisas tenham que ser feitas como se diz na mão, então se caso forem versões diferentes alguem poderia esclarecer a diferente entre as duas versões e quais as vantagens e desvantagens de cada uma, e por ultimo caso coloque o proxy transparente com filtro de ssl, com certificado auto assinado, vai ficar dando aquela tela de erro caso não importe o certificado em todos os pc correto?
há alguma forma de contornar isso, sem ter que colcoar certificado valido, pois aqui é uma instituição de ensino publica, ai pra adquirir certificado digital já viu né a maior burocracia do mundo, e segundo se tiver importar em todas as maquinas, pq aqui tem wifi pra alunos e visitantes, ai já viu né todo dia tem pc novo na rede, vou passar o dia todim só adicionando certificado em notes -
Boa noite marcioducrato! Nesse seu caso as versões não são estáveis pois existem mantedores do pacote pessoas dedicadas a esse projeto magnifico e sempre a mudanças.. bom vejo que outra duvida sua é sobre certificado, bom esse problema é pelo motivo de ser auto-assinado alguns sites não vão entender e apresentará o erro.. não entendo muito de certificados mais é uma base. Oque voce pode fazer é colocar uma vlan na sua rede e tentar passar somente pelo squid3 e não marcar o ssl, ou colocar uma 2ª placa de rede e fazer o memso procedimento mas retirar o ssl assim fica perfeitoo..
-
blza mais minha duvida principal é:
esse 3.3.10 é a mesma coisa do squid-dev?
e caso esse 3.3.10 faz o filtro ssl em modo transparente correto? que antes só era feito pelo squid-dev então quais as diferenças e pq ter os dois é isso que um nó na minha cabeça.