[RESOLVIDO] Problema com Conectividade Social



  • Bom dia pessoal!
    Vou deixar aqui um depoimento dos meus testes para talvez possa ajudar alguem que tenha o mesmo o problema e talvez a melhorar alguns conceitos que venho implementando.

    Tenho o seguinte cenario.
    Pfsense + Squid + Squidguard + WPAD

    Proxy manual nos computadores e autenticacao local.

    Estava com problema no conectivade social que apresentava os seguintes erros.

    Quando abria o Conectividade Social aparece a seguinte mensagem de erro:

    "Erro ao baixar o arquivo de controle de versoes. Por favor tente mais tarde."

    Outro erro acontecia quando entrava na opcao: Operacoes com o Sefip> envio de RE

    "Ocorreu um erro ao tentar validar a data de operacao.
    E necessario estar conectado a internet
    Certifique-se de que possui uma conexao pre-estabelecida e tente novamente."

    Enfim apos pesquisar um pouco e realizar alguns testes funcionou da seguinte forma.

    Em Proxy Server>cache Mgnt>do not cache

    Inseri esses dominios

    caixa.gov.br
    cmt.caixa.gov.br
    obsupgdp.caixa.gov.br

    Em Proxy server>Acess Control>Whitelist

    Inseri esses dominios

    caixa.gov.br
    cmt.caixa.gov.br
    obsupgdp.caixa.gov.br

    Sendo assim resolveu o problema.
    Eu verifiquei que ele conectava no site http://obsupgdp.caixa.gov.br e pedia autenticacao assim dava o erro.
    Sendo que nao na otem como configurar proxy e usuario e senha no programa da caixa, eu acho que a solucao seria fazer os sites nao passarem pelo squid.
    Mas procurei e as solucoes que encontrei nao funcionaram. Porem essa do whitlist funcionou.
    Agora em parte de conceito o whitelist pelo que sei ele nao bloqueia os dominos que estao inseridos no whitelist. Mas pelo jeito parece que nao passa pelo squid, porque o mesmo tambem nao pediu autenticacao local.

    Eu ainda estou aprendendo e pegandos os conceitos, apesar de estar na cara o whitlist demorou um pouco pra eu pensar em colocar lá.
    Se possivel ao amigos do forum dizer se do jeito que fiz esta certo, se pode ter algum problema ou se existe uma melhor forma de fazer esse procedimento.

    Abraços  ;D



  • Já passei por esse problema também, a forma que encontrei para a liberação quando se tem a porta 443 bloqueada, uma vez que a Conectividade Social ICP, rodando na web é via HTTPS, bastou bloquear a porta, desde que não seja para estes destinos:

    200.201.173.0/24
    200.201.174.0/24
    200.201.172.0/24
    200.201.166.0/24

    Já o SEFIP ( programa), utiliza da porta 80, com o mesmo tipo de regra bloqueando a porta, desde que o destino não seja estes IP's.

    Obs.: Aplica-se também para algumas aplicações / serviços da RFB.

    ;)



  • Bem lembrado jhonthan!
    Alem disso para funcionar tive que liberar a porta no firewall para o site http://cmt.caixa.gov.br caso ao contrario nao funcionava.
    Agora esta funcionando lindamente!  :D

    Segue a solução para amigos da comunidade.

    Estou utilizando

    Firewall: Pfsense 2.0.3
    Packages: Squid 2.7.9 pkg v.4.3.3 / Sarg 2.3.6 pkg v.0.6.1  / Squidguard 1.4_4 pkg v.1.9.4

    Proxy Squid c/ autenticação local

    Configurar em Proxy server:

    Proxy Server>cache Mgnt>do not cache

    Inseri esses dominios (Inseri esses dominios que tem relação com caixa- receita - governo, alem poderia incluir os bancos criando apenas uma regra no FW)

    caixa.gov.br
    cmt.caixa.gov.br
    obsupgdp.caixa.gov.br
    receita.fazenda.gov.br
    ecac.receita.fazenda.gov.br
    dataprev.gov.br
    previdencia.gov.br
    serpro.gov.br
    negociacao.caixa.gov.br
    cafe.dataprev.gov.br
    granulito.mte.gov.br
    portal.mte.gov.br
    nfse.campinas.sp.gov.br
    ccd.serpro.gov.br
    ccd2.serpro.gov.br
    repositorio.icpbrasil.gov.br

    Em Proxy server>Acess Control>Whitelist

    caixa.gov.br
    cmt.caixa.gov.br
    obsupgdp.caixa.gov.br
    receita.fazenda.gov.br
    ecac.receita.fazenda.gov.br
    dataprev.gov.br
    previdencia.gov.br
    serpro.gov.br
    negociacao.caixa.gov.br
    cafe.dataprev.gov.br
    granulito.mte.gov.br
    portal.mte.gov.br
    nfse.campinas.sp.gov.br
    ccd.serpro.gov.br
    ccd2.serpro.gov.br
    repositorio.icpbrasil.gov.br

    Agora crie um Aliases

    Name: sites_gov (nome do aliases desua preferencia)
    Type: Network(s)

    200.201.173.82/32
    161.148.231.100/32
    161.148.231.190/32
    200.152.32.178/32
    200.152.40.50/32
    161.148.173.66/32
    200.201.166.240/32
    200.201.174.207/32
    200.201.166.0/24
    200.201.174.204/32
    200.201.174.0/24
    200.152.32.148/32
    200.152.33.1/32
    177.43.84.9/32
    200.198.22.138/32
    200.201.173.0/24

    Crie uma aliases para portas

    Name: portas_gov
    Tipo: Port(s)

    8017
    2500
    2631
    3456
    5017
    5022
    80
    443

    Agora em Firewall>Rules

    Crie a seguinte regra antes da regra de bloqueio da porta 80 e 433 para liberar as portas para os endereços do sites da caixa.

    Proto: TCP/UDP
    Source: Lan Net
    Port: any
    Destination: sites_gov
    port: portas_gov

    Pronto com essa regra consegui tem acesso sem problemas aos sites da caixa - receita.



  • @djblade:

    Segue a solução para amigos da comunidade.

    Que tal gerar um post no blog da comunidade brasileira contendo esta receita de bolo?

    É só se registrar e postar: http://www.pfsense-br.org/blog/

    Estou certo de que esta sua contribuição vai ajudar muito mais gente! ;)

    Abraços!
    Jack



  • obrigado



  • @JackL:

    @djblade:

    Segue a solução para amigos da comunidade.

    Que tal gerar um post no blog da comunidade brasileira contendo esta receita de bolo?

    É só se registrar e postar: http://www.pfsense-br.org/blog/

    Estou certo de que esta sua contribuição vai ajudar muito mais gente! ;)

    Abraços!
    Jack

    Vou ver se consigo publicar no final de semana la JAck! Abraços!


Locked