[RESOLVIDO] Problema com Conectividade Social
-
Bom dia pessoal!
Vou deixar aqui um depoimento dos meus testes para talvez possa ajudar alguem que tenha o mesmo o problema e talvez a melhorar alguns conceitos que venho implementando.Tenho o seguinte cenario.
Pfsense + Squid + Squidguard + WPADProxy manual nos computadores e autenticacao local.
Estava com problema no conectivade social que apresentava os seguintes erros.
Quando abria o Conectividade Social aparece a seguinte mensagem de erro:
"Erro ao baixar o arquivo de controle de versoes. Por favor tente mais tarde."
Outro erro acontecia quando entrava na opcao: Operacoes com o Sefip> envio de RE
"Ocorreu um erro ao tentar validar a data de operacao.
E necessario estar conectado a internet
Certifique-se de que possui uma conexao pre-estabelecida e tente novamente."Enfim apos pesquisar um pouco e realizar alguns testes funcionou da seguinte forma.
Em Proxy Server>cache Mgnt>do not cache
Inseri esses dominios
caixa.gov.br
cmt.caixa.gov.br
obsupgdp.caixa.gov.brEm Proxy server>Acess Control>Whitelist
Inseri esses dominios
caixa.gov.br
cmt.caixa.gov.br
obsupgdp.caixa.gov.brSendo assim resolveu o problema.
Eu verifiquei que ele conectava no site http://obsupgdp.caixa.gov.br e pedia autenticacao assim dava o erro.
Sendo que nao na otem como configurar proxy e usuario e senha no programa da caixa, eu acho que a solucao seria fazer os sites nao passarem pelo squid.
Mas procurei e as solucoes que encontrei nao funcionaram. Porem essa do whitlist funcionou.
Agora em parte de conceito o whitelist pelo que sei ele nao bloqueia os dominos que estao inseridos no whitelist. Mas pelo jeito parece que nao passa pelo squid, porque o mesmo tambem nao pediu autenticacao local.Eu ainda estou aprendendo e pegandos os conceitos, apesar de estar na cara o whitlist demorou um pouco pra eu pensar em colocar lá.
Se possivel ao amigos do forum dizer se do jeito que fiz esta certo, se pode ter algum problema ou se existe uma melhor forma de fazer esse procedimento.Abraços ;D
-
Já passei por esse problema também, a forma que encontrei para a liberação quando se tem a porta 443 bloqueada, uma vez que a Conectividade Social ICP, rodando na web é via HTTPS, bastou bloquear a porta, desde que não seja para estes destinos:
200.201.173.0/24
200.201.174.0/24
200.201.172.0/24
200.201.166.0/24Já o SEFIP ( programa), utiliza da porta 80, com o mesmo tipo de regra bloqueando a porta, desde que o destino não seja estes IP's.
Obs.: Aplica-se também para algumas aplicações / serviços da RFB.
;)
-
Bem lembrado jhonthan!
Alem disso para funcionar tive que liberar a porta no firewall para o site http://cmt.caixa.gov.br caso ao contrario nao funcionava.
Agora esta funcionando lindamente! :DSegue a solução para amigos da comunidade.
Estou utilizando
Firewall: Pfsense 2.0.3
Packages: Squid 2.7.9 pkg v.4.3.3 / Sarg 2.3.6 pkg v.0.6.1 / Squidguard 1.4_4 pkg v.1.9.4Proxy Squid c/ autenticação local
Configurar em Proxy server:
Proxy Server>cache Mgnt>do not cache
Inseri esses dominios (Inseri esses dominios que tem relação com caixa- receita - governo, alem poderia incluir os bancos criando apenas uma regra no FW)
caixa.gov.br
cmt.caixa.gov.br
obsupgdp.caixa.gov.br
receita.fazenda.gov.br
ecac.receita.fazenda.gov.br
dataprev.gov.br
previdencia.gov.br
serpro.gov.br
negociacao.caixa.gov.br
cafe.dataprev.gov.br
granulito.mte.gov.br
portal.mte.gov.br
nfse.campinas.sp.gov.br
ccd.serpro.gov.br
ccd2.serpro.gov.br
repositorio.icpbrasil.gov.brEm Proxy server>Acess Control>Whitelist
caixa.gov.br
cmt.caixa.gov.br
obsupgdp.caixa.gov.br
receita.fazenda.gov.br
ecac.receita.fazenda.gov.br
dataprev.gov.br
previdencia.gov.br
serpro.gov.br
negociacao.caixa.gov.br
cafe.dataprev.gov.br
granulito.mte.gov.br
portal.mte.gov.br
nfse.campinas.sp.gov.br
ccd.serpro.gov.br
ccd2.serpro.gov.br
repositorio.icpbrasil.gov.brAgora crie um Aliases
Name: sites_gov (nome do aliases desua preferencia)
Type: Network(s)200.201.173.82/32
161.148.231.100/32
161.148.231.190/32
200.152.32.178/32
200.152.40.50/32
161.148.173.66/32
200.201.166.240/32
200.201.174.207/32
200.201.166.0/24
200.201.174.204/32
200.201.174.0/24
200.152.32.148/32
200.152.33.1/32
177.43.84.9/32
200.198.22.138/32
200.201.173.0/24Crie uma aliases para portas
Name: portas_gov
Tipo: Port(s)8017
2500
2631
3456
5017
5022
80
443Agora em Firewall>Rules
Crie a seguinte regra antes da regra de bloqueio da porta 80 e 433 para liberar as portas para os endereços do sites da caixa.
Proto: TCP/UDP
Source: Lan Net
Port: any
Destination: sites_gov
port: portas_govPronto com essa regra consegui tem acesso sem problemas aos sites da caixa - receita.
-
Segue a solução para amigos da comunidade.
Que tal gerar um post no blog da comunidade brasileira contendo esta receita de bolo?
É só se registrar e postar: http://www.pfsense-br.org/blog/
Estou certo de que esta sua contribuição vai ajudar muito mais gente! ;)
Abraços!
Jack -
obrigado
-
Segue a solução para amigos da comunidade.
Que tal gerar um post no blog da comunidade brasileira contendo esta receita de bolo?
É só se registrar e postar: http://www.pfsense-br.org/blog/
Estou certo de que esta sua contribuição vai ajudar muito mais gente! ;)
Abraços!
JackVou ver se consigo publicar no final de semana la JAck! Abraços!