Squid 3.3.10 para pfsense 2.0 e 2.1 com filtro de SSL/HTTPS
-
Opa, fiz a instalação tudo certinho, o squid está interceptando o ssl, mas continuo recebendo erro de certificado no log recebo este erro:
2013/05/28 22:17:03 kid1| clientNegotiateSSL: Error negotiating SSL connection on FD 93: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number (1/-1)
Já testou outros sites?
Como está a configuração do filtro de ssl no seu squid?
Criou e configurou a CA?
Instalou o certificado no cliente?
Já leu este tópico? -
Opa, fiz a instalação tudo certinho, o squid está interceptando o ssl, mas continuo recebendo erro de certificado no log recebo este erro:
2013/05/28 22:17:03 kid1| clientNegotiateSSL: Error negotiating SSL connection on FD 93: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number (1/-1)
Já testou outros sites?
Como está a configuração do filtro de ssl no seu squid?
Criou e configurou a CA?
Instalou o certificado no cliente?
Já leu este tópico?Opa Marcelo, acredito que tenha gerado o certificado errado…gerei novamente e tudo funcionou perfeitamente, parabens pela iniciativa!
So mais uma duvida, estou seguindo to tutorial para configuracao de multiwan no squid, na versao anterior funcionava bem, sera tem alguma mudanca no squid 3 que inviabiliza esse funcionamento?
Estou seguindo estes passos:
http://securite-ti.com/pfSense_Web_Proxy_with_multi-WAN_links.pdf
a unica diferenca eh que nao consigo setar a interface para o proxy para a LAN e loopback, se seleciono as duas o squid nao funciona (da erro de URL Invalida), selecionei tanto no proxy transparent tanto na listen interface.
Sera que teria a ver com o squid?
-
a unica diferenca eh que nao consigo setar a interface para o proxy para a LAN e loopback, se seleciono as duas o squid nao funciona (da erro de URL Invalida), selecionei tanto no proxy transparent tanto na listen interface.
Não escolha loopback se estiver usando proxy transparente. A configuração de loopback é feita automaticamente pelo pacote.
-
Ja importei os certificados como confiaveis nos navegadores, mas todos os sites de bancos recusam o certificado.
Uma questão, é possível comprar um certificado de uma autoridade já confiável, e utilizar no squid?
Abraços
-
Uma questão, é possível comprar um certificado de uma autoridade já confiável, e utilizar no squid?
CA acho que não.
Qual a versão do pfsense que você esta usando? 2.1 ou 2.0.3?
-
Olá Marcelloc,
Desculpe por realizar 2 posts simultâneos, mas queria postar um feedback da instalação que fiz do squid-3.3.5 com squidguard.
Primeiramente gostaria de agradecer o seu trabalho pq está muito bem feito. O Squid-3.3.5 está rodando perfeitamente com squidguard iniciando sobdemanda. Acabei de realizar diversos testes e ele está bloqueando, rodando etc etc etc..
Para ajudar quem precisa vou relatar o que fiz para instalar…
1 - removi o squid o squid 3 e o squidguard, que tinha instalado pela aba system/packages do pfsense.
2 - instalei o squid3-dev, que está em packages disponíveis do pfsense.
3 - copiei as bibliotecas não inclusas para a pasta usr/local/lib conforme solicitado no seu 1º post (Utilizei o WinSCP).
4 - instalei o squidguard.
5 - pelo putty acessei o console e fui na opção 8.
6 - instalei o squid-3.3.5 a partir do seu repositório pelo console com o comando pkg_add -rf http://e-sac.siteseguro.ws/packages/amd64/8/All/squid-3.3.5.tbz .
7 - configurei o squid3 e habilitei a opção do SSL.
8 - como já tinha o squid3 instalado as configurações foram mantidas.. e o squid funcionou perfeitamente.para criar um certificado..
1 - acessei system/cert manager.
2 - em Cas cliquei no + para adicionar um novo certificado.
3 -preenchi os dados conforme solicitado.
4 - nas opções key lenght e lifetime mantive o default.
5 - country code coloquei br.
6 - depois que cliquei em salvar fui na segunda opção e exportei o certificado.para instalar nas maquinas cliquei no certificado, escolhi o repositório manualmente e adicionei o certificado em Autoridade de certificação raiz confiáveis.
O Único problema que identifiquei foi em relação a sgerror.php do squidguard, junto com o certificado SSL. (não sei se isso se dá ao fato do local onde instalei o certificado, mas se eu instalar ele em outro local não funciona).
Instalei o certificado em 2 maquinas para testes. Se eu executar algum site que está na lista de bloqueio em uma usuário com total acesso o site é acessado normalmente sem erro de certificado, mas seu eu acessar o site a partir de um usuário bloqueado, ele exibe as 2 imagens em anexo ( se eu não instalar o certificado na maquina, as paginas em https apresentam erro, em qualquer usuário..)
será que fiz algo de errado? pq ele deu erro de certificado e quando cliquei em continuar nesse site não exibiu a sgerror.php
abraços
diego
Marcello, sem quere mudar o assunto do ultimo post, vc tem mais alguma dica para o problema da sgerror em https?
abs
diego
-
Marcello, sem querer mudar o assunto do ultimo post, vc tem mais alguma dica para o problema da sgerror em https?
Subir outro daemon do lightsquid em http somente com a página de erro do squidguard.(já postei isso por aqui também.)
-
Uma questão, é possível comprar um certificado de uma autoridade já confiável, e utilizar no squid?
CA acho que não.
Qual a versão do pfsense que você esta usando? 2.1 ou 2.0.3?
Estou usando a 2.1-RC0
-
Boa tarde galera
Estou efetuando a instalação do squid-dev conforme receita mais ao usar este comando no shell do pfsense fetch http://e-sac.siteseguro.ws/packages/8/All/squid-3.3.5-i386.pbi aparece a mensagem "not found"
O que estou fazendo errado?
A versão do PFSense é a 2.1 RC0 instalação nova
Efetuei somente a instalação do squidguard e logo após o squid3-dev através do system/packagesComecei o procedimento de alteração do squid através do shell:
pbi_delete squid-3.3.4-i386 comando ok
fetch http://e-sac.siteseguro.ws/packages/8/All/squid-3.3.5-i386.pbi not foundAgradeço a todos a ajuda
-
-
@LCantano:
Boa tarde galera
Estou efetuando a instalação do squid-dev conforme receita mais ao usar este comando no shell do pfsense fetch http://e-sac.siteseguro.ws/packages/8/All/squid-3.3.5-i386.pbi aparece a mensagem "not found"
O que estou fazendo errado?
A versão do PFSense é a 2.1 RC0 instalação nova
Efetuei somente a instalação do squidguard e logo após o squid3-dev através do system/packagesComecei o procedimento de alteração do squid através do shell:
pbi_delete squid-3.3.4-i386 comando ok
fetch http://e-sac.siteseguro.ws/packages/8/All/squid-3.3.5-i386.pbi not foundAgradeço a todos a ajuda
Os repositórios do marcelo estão ok. Através da web consigo baixar os pbi.
Teria outro comando para usar no lugar do fetch ou eu que estou realmente fazendo coisa errada? -
Estou usando a 2.1-RC0
Atualizou o pbi do meu repositório?
Sim atualizei ,conforme as instruções.
-
@LCantano:
Os repositórios do marcelo estão ok. Através da web consigo baixar os pbi.
Teria outro comando para usar no lugar do fetch ou eu que estou realmente fazendo coisa errada?veja se o seu pfsense esta resolvendo nomes dns corretamente.
nslookup e-sac.siteseguro.ws
-
@LCantano:
Os repositórios do marcelo estão ok. Através da web consigo baixar os pbi.
Teria outro comando para usar no lugar do fetch ou eu que estou realmente fazendo coisa errada?veja se o seu pfsense esta resolvendo nomes dns corretamente.
nslookup e-sac.siteseguro.ws
Sim
Name: e-sac.siteseguro.ws
address: 187.xx.xxx.xxxx -
Sim atualizei ,conforme as instruções.
Acabei de testar aqui na 2.1-RC0 e funcinou perfeitamente.
Pode verificar o que voce tem nestes diretorios?
-
ls /usr/local/share/certs/
-
ls /usr/pbi/squid-amd64/share/certs/
Segue print de um site com erro no certificado e outro site com certificado ok.
Testei no firefox depois de instalar o CRT da CA do pfsense.
O squid repassa a informação de site não confiável que ele econtrou, incluindo o texto "not trusted by" e o nome da CA configurada no squid.
O segundo print mostra o site do google sem qualquer alerta por parte do browser, afinal ele confia na "Internal-ca".
-
-
Sim atualizei ,conforme as instruções.
Acabei de testar aqui na 2.1-RC0 e funcinou perfeitamente.
Pode verificar o que voce tem nestes diretorios?
-
ls /usr/local/share/certs/
-
ls /usr/pbi/squid-amd64/share/certs/
Segue print de um site com erro no certificado e outro site com certificado ok.
Testei no firefox depois de instalar o CRT da CA do pfsense.
O squid repassa a informação de site não confiável que ele econtrou, incluindo o texto "not trusted by" e o nome da CA configurada no squid.
O segundo print mostra o site do google sem qualquer alerta por parte do browser, afinal ele confia na "Internal-ca".O meu caso está dando exatamente este erro "Not Trusted", o mais estranho que é só em alguns sites, por exemplo: hotmail, facebook e gmail, acessam normalmente, mas sites de bancos, receita e outros dá esse erro…
No meu nao existe nenhum destes diretorios, isso é normal?
Abracos.
-
-
@LCantano:
@LCantano:
Os repositórios do marcelo estão ok. Através da web consigo baixar os pbi.
Teria outro comando para usar no lugar do fetch ou eu que estou realmente fazendo coisa errada?veja se o seu pfsense esta resolvendo nomes dns corretamente.
nslookup e-sac.siteseguro.ws
Sim
Name: e-sac.siteseguro.ws
address: 187.xx.xxx.xxxxBoa noite Marcelo
Não consegui rodar o fetch mais efetuei o download pelo navegador e copiei os arquivos para o pf através do winscp.
Continuei com o procedimento. E consegui instalar o pacote.
As libs tive que copiar conforme inicio do post através do seu repositório.
Reinicie o PFSense e o squid subiu. Efetuei as configurações do squid e squidguard. Instalei o certificado gerado no pfsense na maquina de teste e aparentemente está tudo ok.
Vou efetuar mais testes amanhã.Obrigado
-
Não consigo acessar o gmail usando a SSL habilitada
"O certificado de segurança do site não é confiável." e não dar opção para aceitar.. coloquei em writelist "*.gmail.com" e nada..
-
No meu nao existe nenhum destes diretorios, isso é normal?
Não, eles deveriam existir.
É neste diretório que ficam os certificados das CAS confiáveis do mundo inteiro.
-
Não consigo acessar o gmail usando a SSL habilitada
Confere os diretorios que postei logo acima.
"O certificado de segurança do site não é confiável." e não dar opção para aceitar.. coloquei em writelist "*.gmail.com" e nada..
A whitelist do squid não tem *, só o .gmail.com
