Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    [Solucionado] problema con cargar un sitio

    Español
    7
    35
    19770
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • W
      will23b last edited by

      Saludos

      actualmente tengo el PFsense con proxy instalado y el squidguard, todo funciona bien, pero en estos dias me he dado cuenta que al momento de cargar el sitio planificacion.gob.ec no me carga el sitio en el navegador y me carga una pagina de error con esta ip que no la tengo en mi LAN 192.168.199.15:9090 carga con ese puerto pero lo raro que en el proxy en linea de comando si me carga el sitio.

      he buscado esa ip en las maquinas internas de mi LAN y no aparece ni como pc normal ni como server…..le hago un trace desde mi maquina y si carga la ip publica del sitio, probe colocando otro PF con otro rango de ip y ahi si carga el sitio

      1 Reply Last reply Reply Quote 0
      • M
        mpsa76 last edited by

        Pudiste solucionarlo..??? Tengo el mismo problema con la pagina de planificacion.gob.ec me redirecciona a 192.168.199.15:9090 no se que hacer..¡¡¡

        1 Reply Last reply Reply Quote 0
        • ZAC
          ZAC last edited by

          http://es.wikipedia.org/wiki/Direcci%C3%B3n_IP#Direcciones_privadas

          1 Reply Last reply Reply Quote 0
          • bellera
            bellera last edited by

            Parece que esa página no tolera el uso de un proxy.

            Puede ser un error de ellos o una seguridad impuesta por ellos.

            Tengo un squid+squidGuard fuera de pfSense y el resultado es:

            http://192.168.199.15:9090/mwg-internal/de5fs23hu73ds/plugin?target=Auth&reason=Auth&ClientID=1434568694&ttl=600&url=aHR0cDovL3d3dy5wbGFuaWZpY2FjaW9uLmdvYi5lYy8=&rnd=1386061578
            

            Sin proxy se llega bien a la página. Tendreis que hacer que vaya directo.

            1 Reply Last reply Reply Quote 0
            • periko
              periko last edited by

              Debe ser algo con la zona donde estas, aca si veo ese sitio sin problemas, "ecuador ama la vida", un dato nombre de pais debe ser Mayuscula la 1er letra no?

              Que guarda el access.log cuando accesas ese sitio?

              Saludos.

              Necesitan Soporte de Pfsense en México?/Need Pfsense Support in Mexico?
              www.bajaopensolutions.com
              https://www.facebook.com/BajaOpenSolutions
              Quieres aprender PfSense, visita mi canal de youtube:
              https://www.youtube.com/c/PedroMorenoBOS

              1 Reply Last reply Reply Quote 0
              • M
                mpsa76 last edited by

                Mis estimado amigo bellera, en efecto me da el mismo problema:

                http://192.168.199.15:9090/mwg-internal/de5fs23hu73ds/plugin?target=Auth&reason=Auth&ClientID=945078428&ttl=600&url=aHR0cDovL3d3dy5wbGFuaWZpY2FjaW9uLmdvYi5lYy8=&rnd=1386606001

                Pero como discriminar a determinados usuarios que son los que necesitan esta pagina, para que eviten el proxy y los demas no lo hagan… o el momento de solicitar este sitio se salte el proxy....??????

                1 Reply Last reply Reply Quote 0
                • F
                  falcom last edited by

                  x lo visto es un problema de los sitios web indicados, trate colocando en el squid para que naveguen directamente sin pasar x el squid, pero igual no funciona.! alguna idea ??

                  1 Reply Last reply Reply Quote 0
                  • bellera
                    bellera last edited by

                    Una posible solución:

                    • Navegador sin indicarle proxy
                    • Transparent HTTP proxy
                    • Bypass proxy for these destination IPs 190.152.147.6
                    $ nslookup planificacion.gob.ec
                    Server:		127.0.0.1
                    Address:	127.0.0.1#53
                    
                    Non-authoritative answer:
                    Name:	planificacion.gob.ec
                    Address: 190.152.147.6
                    

                    Otra:

                    • proxy.pac para el navegador, que indique que a planificacion.gob.ec se va directo, http://www.bellera.cat/josep/pfsense/regles_cs.html
                    • Proxy en modo no transparente.
                    • Regla para LAN permita navegar directamente, sólo para el destino 190.152.147.6
                    1 Reply Last reply Reply Quote 0
                    • F
                      falcom last edited by

                      Pues es squid es bastante sencillo indicar que determinadas ips/domains no pasen por el proxy

                      acl sni dstdomain .planificacion.gob.ec
                      always_direct allow sni
                      cache deny sni

                      pero igual no da resultado, ya lo probe en un squid 3.1.10
                      Igual tengo un proxy no transparente, tampoco funciona, se ha enviado mails a los administradores del site para que arreglen la codificacion, pero hasta ahora nada.

                      1 Reply Last reply Reply Quote 0
                      • bellera
                        bellera last edited by

                        No te da resultado porque igualmente pasas por el proxy.

                        El always_direct sirve cuando se usan varios proxys en forma de padre-hijo:

                        http://www.squid-cache.org/Doc/config/always_direct/

                        If your goal is to make the client forward the request directly to the origin server bypassing Squid then this needs to be done in the client configuration. Squid configuration can only tell Squid how Squid should fetch the object.

                        Tienes que decir que vas directo en el navegador y lo más cómodo es tener un proxy.pac.

                        Tengo esto montado hace años en una instalación que administro a diario. Y me ha salvado de situaciones semejantes. Cambios en aplicaciones web externas que de un día para el otro no soportan el uso de proxys… Informas al desarrolador pero tardan días en resolverlo (si lo hacen).

                        1 Reply Last reply Reply Quote 0
                        • F
                          falcom last edited by

                          da igual he utilizado los siguientes configuraciones en mi proxy.pac

                          function FindProxyForURL(url, host)
                          {
                              if (
                                  localHostOrDomainIs(host, "sni.gob.ec") return "DIRECT";
                          )
                              } else
                          {
                            return "PROXY 192.168.0.7:8080";
                          }
                          }

                          function FindProxyForURL(url, host)
                          {
                            if (host =="sni.gob.ec") return "DIRECT";
                                else return "PROXY 192.168.0.7:8080; DIRECT";}

                          function FindProxyForURL(url, host) {
                                  // our local URLs from the domains below example.com don't need a proxy:
                                  if (shExpMatch(url, "http://www.sni.gob.ec")) return "DIRECT";
                                  return "PROXY 192.168.0.7:8080;";
                          }

                          y ninguna funciona, obviamente los clientes tienen acceso al file proxy.pac q esta ubicado en http://192.168.0.7/proxy.pac, alguna otra idea, siempre el mismo error

                          Se encontró el siguiente error al intentar recuperar la dirección URL: http://192.168.199.15:9090/mwg-internal/de5fs23hu73ds/plugin?

                          Conexión a 192.168.199.15 fallida.

                          El sistema ha devuelto: (110) Connection timed out

                          1 Reply Last reply Reply Quote 0
                          • bellera
                            bellera last edited by

                            Prueba esto, a ver:

                            function FindProxyForURL(url, host) {
                               if (shExpMatch(url,"*.gob.ec")) {return "DIRECT";}
                               return "PROXY 192.168.0.7:8080; DIRECT";
                            }
                            
                            1 Reply Last reply Reply Quote 0
                            • F
                              falcom last edited by

                              Gracias pero tampoco funciona!! alguna otra idea?

                              1 Reply Last reply Reply Quote 0
                              • F
                                falcom last edited by

                                aca puse en detalle el problema ? alguna otra idea?
                                http://www.ecualug.org/?q=20131205/redes/problema_acceso_snigobec_desde_una_lan_detras_de_un_proxy_squid

                                1 Reply Last reply Reply Quote 0
                                • bellera
                                  bellera last edited by

                                  :( :( :(

                                  Pues convencido de que funcionaría. Eso seguro que hace el acceso sin ir a usar el proxy…

                                  ¿Con qué navegador has probado?

                                  Lo pregunto para asegurarnos de si pasa con distintos navegadores (IExplorer, Firefox, Chrome).

                                  1 Reply Last reply Reply Quote 0
                                  • F
                                    falcom last edited by

                                    Estoy usando firefox 25 en mi fedora 19 x64, kernel: 3.11.10-200
                                    tambien probe en mi g00gle chrome 31.0.1650.63, tampoco funciona siempre el mismo error
                                    He puesto un mail a los administradores de los sitios hace algunos dias, pero hasta ahora ninguna respuesta  :'(

                                    1 Reply Last reply Reply Quote 0
                                    • bellera
                                      bellera last edited by

                                      El problema parece relacionado con una configuración incorrecta de McAfee Web Gateway.

                                      De ahí el nwg-internal de por medio.

                                      Problemas parecidos consultando Google:

                                      https://community.mcafee.com/message/294370

                                      https://community.mcafee.com/thread/30942

                                      1 Reply Last reply Reply Quote 0
                                      • F
                                        falcom last edited by

                                        Si tambien revise esos links anteriormente, pero los administradores nada que responden..jeje  :'(

                                        1 Reply Last reply Reply Quote 0
                                        • L
                                          LEPM last edited by

                                          Los que no pueden ver el sitio usan squid 3.1?

                                          Your new system is probably coming with some hyper trash like Windows 8

                                          1 Reply Last reply Reply Quote 0
                                          • bellera
                                            bellera last edited by

                                            @bellera:

                                            Parece que esa página no tolera el uso de un proxy.

                                            Puede ser un error de ellos o una seguridad impuesta por ellos.

                                            Tengo un squid+squidGuard fuera de pfSense y el resultado es:

                                            http://192.168.199.15:9090/mwg-internal/de5fs23hu73ds/plugin?target=Auth&reason=Auth&ClientID=1434568694&ttl=600&url=aHR0cDovL3d3dy5wbGFuaWZpY2FjaW9uLmdvYi5lYy8=&rnd=1386061578
                                            

                                            Sin proxy se llega bien a la página. Tendreis que hacer que vaya directo.

                                            Prueba hecha con squid 2.x, no con 3.x

                                            1 Reply Last reply Reply Quote 0
                                            • L
                                              LEPM last edited by

                                              josep

                                              Yo me refiero a los que instalan squid 2,7.x o 3.1.x desde el repositorio de pfsense

                                              el gui tiene sus limitaciones….

                                              Your new system is probably coming with some hyper trash like Windows 8

                                              1 Reply Last reply Reply Quote 0
                                              • F
                                                falcom last edited by

                                                @LEPM:

                                                Los que no pueden ver el sitio usan squid 3.1?

                                                Yo uso squid 3.1.10 en mi centos 6.4 x64 y por el momento no uso pfsense para probar!

                                                1 Reply Last reply Reply Quote 0
                                                • bellera
                                                  bellera last edited by

                                                  function FindProxyForURL(url, host) {
                                                     if (shExpMatch(url,"*.gob.ec/*")) {return "DIRECT";}
                                                     return "PROXY 192.168.0.7:8080; DIRECT";
                                                  }
                                                  

                                                  ¡Mil perdones! Faltaba /* detrás de *.gob.ec

                                                  Es una URL, por tanto el código que te doy (¡ojo!) es para que se vaya directo a cualquier cosa que incluya .gob.ec/

                                                  Igual puedes optimizarlo tú mejor para tu uso. Por ejemplo:

                                                  ://planificacion.gob.ec/

                                                  ://www.planificacion.gob.ec/

                                                  Puedes meter tantas líneas como quieras en el JavaScript:

                                                   if (shExpMatch(url,"*://planificacion.gob.ec/*")) {return "DIRECT";}
                                                   if (shExpMatch(url,"*://www.planificacion.gob.ec/*")) {return "DIRECT";}
                                                  

                                                  Con el ejemplo cubres http, https y servidor sin/con www. delante.

                                                  1 Reply Last reply Reply Quote 0
                                                  • F
                                                    falcom last edited by

                                                    No amigo no funciona, en todo caso gracias por tu ayuda

                                                    Sigue saliendo el mismo error:

                                                    Se encontró el siguiente error al intentar recuperar la dirección URL: http://192.168.199.15:9090/mwg-internal/de5fs23hu73ds/plugin?

                                                    Conexión a 192.168.199.15 fallida.

                                                    El sistema ha devuelto: (110) Connection timed out

                                                    El host remoto o la red se ha caído. Por favor, inténtelo de nuevo la petición.

                                                    1 Reply Last reply Reply Quote 0
                                                    • bellera
                                                      bellera last edited by

                                                      Aségurate de que tu navegador ha leído correctamente la última versión de tu proxy.pac

                                                      A mi me funcionó.

                                                      Si usas Firefox, puedes instalar la extensión Live HTTP headers para ver las peticiones y que se va directo.

                                                      1 Reply Last reply Reply Quote 0
                                                      • F
                                                        falcom last edited by

                                                        si claro si coloco http://192.168.0.7/proxy.pac automaticamente me muestra los nuevos cambios
                                                        yo utilizo en mi firefox otra extension mucho mas interesante llamada httpfox, creo q hace lo mismo q tu dices…

                                                        00:22:30.067 0.067 314 4206 GET 302 Redirect to: http://192.168.199.15:9090/mwg-internal/de5fs23hu73ds/plugin?target=Auth&reason=Auth&ClientID=3801491143&ttl=600&url=aHR0cDovL3d3dy5zbmkuZ29iLmVjL3dlYi9ndWVzdA==&rnd=1386968616 http://www.sni.gob.ec/web/guest
                                                        00:22:30.180 * 435/435 * GET * * http://192.168.199.15:9090/mwg-internal/de5fs23hu73ds/plugin?target=Auth&reason=Auth&ClientID=3801491143&ttl=600&url=aHR0cDovL3d3dy5zbmkuZ29iLmVjL3dlYi9ndWVzdA==&rnd=1386968616

                                                        como ves el error persiste!

                                                        1 Reply Last reply Reply Quote 0
                                                        • bellera
                                                          bellera last edited by

                                                          Ahí tienes una respuesta "normal", donde AAA.BBB.CCC.DDD es mi IP pública, es decir, cuando voy directo.

                                                          http://planificacion.gob.ec/
                                                          
                                                          GET / HTTP/1.1
                                                          Host: planificacion.gob.ec
                                                          User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:26.0) Gecko/20100101 Firefox/26.0
                                                          Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
                                                          Accept-Language: ca,en-us;q=0.7,en;q=0.3
                                                          Accept-Encoding: gzip, deflate
                                                          Cookie: __utma=122735050.644630186.1386092121.1386092121.1386637217.2; __utmz=122735050.1386092121.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none)
                                                          Connection: keep-alive
                                                          
                                                          HTTP/1.1 301 Moved Permanently
                                                          Via: 1.1 192.168.199.15 (McAfee Web Gateway 7.3.2.3.0.16052), 1.1 AAA.BBB.CCC.DDD
                                                          Date: Fri, 13 Dec 2013 20:55:15 GMT
                                                          Vary: User-Agent
                                                          Server: Apache
                                                          Location: http://www.planificacion.gob.ec/
                                                          X-Pingback: http://www.planificacion.gob.ec/xmlrpc.php
                                                          Content-Type: text/html; charset=UTF-8
                                                          X-Powered-By: W3 Total Cache/0.9.2.4
                                                          Content-Length: 0
                                                          Connection: Keep-Alive
                                                          Keep-Alive: timeout=60, max=8
                                                          ----------------------------------------------------------
                                                          http://www.planificacion.gob.ec/
                                                          
                                                          GET / HTTP/1.1
                                                          Host: www.planificacion.gob.ec
                                                          User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:26.0) Gecko/20100101 Firefox/26.0
                                                          Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
                                                          Accept-Language: ca,en-us;q=0.7,en;q=0.3
                                                          Accept-Encoding: gzip, deflate
                                                          Cookie: __utma=122735050.644630186.1386092121.1386092121.1386637217.2; __utmz=122735050.1386092121.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); _pk_id.52.772d=a400d07c2ab4134d.1386092123.2.1386638082.1386092123.
                                                          Connection: keep-alive
                                                          
                                                          HTTP/1.1 200 OK
                                                          Via: 1.1 192.168.199.15 (McAfee Web Gateway 7.3.2.3.0.16052), 1.1 AAA.BBB.CCC.DDD
                                                          Date: Fri, 13 Dec 2013 20:55:17 GMT
                                                          Vary: User-Agent
                                                          Server: Apache
                                                          X-Pingback: http://www.planificacion.gob.ec/xmlrpc.php
                                                          Content-Type: text/html; charset=UTF-8
                                                          X-Powered-By: W3 Total Cache/0.9.2.4
                                                          Connection: Keep-Alive
                                                          Keep-Alive: timeout=60, max=8
                                                          Transfer-Encoding: chunked
                                                          

                                                          Si no voy directo se produce el redireccionamiento problemático. En ese caso, en lugar de mi IP Pública hay la privada de mi servidor proxy (o su nombre DNS interno). Como que no existe en internet (pienso que) NWG deniega la petición.

                                                          Insisto en que a mi me funciona el proxy.pac con squid 2.x. ¿Cerraste el navegador y lo volviste a abrir para estar seguro del nuevo proxy.pac?

                                                          Ahora (22:17 en Europa continental) no puedo, pero mañana probaré con squid 3.x.

                                                          1 Reply Last reply Reply Quote 0
                                                          • F
                                                            falcom last edited by

                                                            Si entiendo perfectamente el tema,  lo he probado con squid 3.1.10 q es la version que tengo en produccion, tambien la probe con la version squid 3.4.1.1 (q es la ultima) y tampoco funciona.
                                                            y claro cerre el browser y lo volvi a abrir y naaa
                                                            gracias por tu ayuda
                                                            PD: Usas ubuntu…..bueno... mientras sea un linux.. suficiente.. jeje ;)

                                                            1 Reply Last reply Reply Quote 0
                                                            • bellera
                                                              bellera last edited by

                                                              mañana probaré con squid 3.x.

                                                              Después de escribir esto pensé que era una suma tontería, pues pasar o no pasar por el proxy depende del navegador si proxy.pac más las reglas de paso que tengamos actúan correctamente.

                                                              Sin embargo hice una prueba hace unos minutos:

                                                              • pfSense 2.1 en 192.168.1.1 (LAN)
                                                              • Regla por defecto en LAN que autoriza todo hacia internet
                                                              • squid 3.1 en pfSense, 192.168.1.1:3128
                                                              • Cliente Ubuntu en 192.168.1.2
                                                              • Firefox 26 en cliente, con 192.168.1.1:3128 -> no pasa
                                                              • Firefox 26 en cliente, con ecuador.pac -> pasa

                                                              Con Live HTTP Headers y Services - Proxy Server - Real time se puede ver con todo detalle qué pasa.

                                                              La diferencia esencial en la respuesta de MWG es:

                                                              CON PROXY

                                                              Via: 1.1 192.168.199.15 (McAfee Web Gateway 7.3.2.3.0.16052), 1.1 AAA.BBB.CCC.DDD, 1.0 localhost (squid/3.1.22)
                                                              

                                                              DIRECTO (USANDO ECUADOR.PAC)

                                                              Via: 1.1 192.168.199.15 (McAfee Web Gateway 7.3.2.3.0.16052), 1.1 AAA.BBB.CCC.DDD
                                                              

                                                              AAA.BBB.CCC.DDD es mi IP pública.

                                                              Como se puede ver MWG, detecta el uso de un proxy y es cuando "deniega" el acceso.

                                                              ecuador.pac

                                                              function FindProxyForURL(url, host) {
                                                                 if (shExpMatch(url,"*.gob.ec/*")) {return "DIRECT";}
                                                                 return "PROXY 192.168.1.1:3128; DIRECT";
                                                              }
                                                              

                                                              Pienso que algo no va bien en las pruebas que hiciste, pues ya ves que me funciona. Además, me funciona en dos entornos distintos, el antes comentado y este otro (comentado hace unos días):

                                                              • Windows XP, con Firefox 25
                                                              • Squid 2.x externo a pfSense
                                                              • pfSense 2.0
                                                              1 Reply Last reply Reply Quote 0
                                                              • L
                                                                LEPM last edited by

                                                                falcom

                                                                agrega en squid.conf (sin comillas):

                                                                "via off"
                                                                "request_header_access X-Forwarded-For deny all"

                                                                #############
                                                                squid -k reconfigure

                                                                ###############

                                                                la primera linea para que no envíe que estas usando squid+version!
                                                                la segunda para que no envíe la ip de la maquina detrás del proxy;en pfsense,squid 3,1 no funciona al marcar la casilla: disable X-Forwarder
                                                                probado en squid 3.1 sobre centos 6.5
                                                                ##############
                                                                will23b
                                                                si usas squid 3.1 sobre pfsense la segunda linea, la ingresas en custom option, en la pestaña general,via off desde el gui!
                                                                por favor comenta el resultado!

                                                                Your new system is probably coming with some hyper trash like Windows 8

                                                                1 Reply Last reply Reply Quote 0
                                                                • bellera
                                                                  bellera last edited by

                                                                  Marqué la casilla Disable X-Forward en pfSense 2.1 + squid 3.1 y tuve acceso sin problemas.

                                                                  Veo que en /usr/pbi/squid-i386/etc/squid/squid.conf la diferencia es que se añade:

                                                                  forwarded_for off

                                                                  http://www.squid-cache.org/Doc/config/forwarded_for/

                                                                  http://www.cyberciti.biz/faq/squid-proxy-is-not-hiding-client-ip-address/

                                                                  También probé sin activar la casilla y metiendo en Custom Options:

                                                                  forwarded_for transparent

                                                                  Me dió la sensación de que funciona más rápido el acceso.

                                                                  Sobre forwarded_for, en SANS - Security considerations with Squid proxy server http://www.sans.org/reading-room/whitepapers/policyissues/security-considerations-squid-proxy-server-1048 se dice:

                                                                  forwarded_for value
                                                                  A web server does not see connection with the client but rather sees the connection with the proxy. To accommodate possible web server ACL’s based on client address, Squid has its own HTTP header called HTTP_FORWARD_FOR. Turning off this header might cause clients some problems accessing certain web sites. However, turning it off gives you the advantage of hiding the client’s IP address on the internet which is a very good security practice.

                                                                  1 Reply Last reply Reply Quote 0
                                                                  • F
                                                                    falcom last edited by

                                                                    LEPM, Perfecto con estas lineas accedo perfectamente a los sitios problematicos: sni.gob.ec - planificacion.gob.ec
                                                                    mil gracias por tu ayuda

                                                                    via off
                                                                    request_header_access X-Forwarded-For deny all

                                                                    luego
                                                                    squid -k reconfigure

                                                                    probado en
                                                                    squid version: 3.1.10
                                                                    OS: Centos 6.5 x64

                                                                    1 Reply Last reply Reply Quote 0
                                                                    • F
                                                                      falcom last edited by

                                                                      bellera! hombre muchas gracias por tu ayuda, pero lo solucione con las lineas indicadas x el amigo aca mismo,
                                                                      gracias por tu esfuerzo!
                                                                      saludos from Ecuador

                                                                      1 Reply Last reply Reply Quote 0
                                                                      • bellera
                                                                        bellera last edited by

                                                                        ¡Me alegro! ¡De nada!

                                                                        Si te funcionó esta, asunto solucionado.

                                                                        http://www.squid-cache.org/Doc/config/via/

                                                                        http://www.squid-cache.org/Doc/config/request_header_access/

                                                                        1 Reply Last reply Reply Quote 0
                                                                        • W
                                                                          will23b last edited by

                                                                          muchisismas gracias por la ayuda amigos…se les agradece

                                                                          1 Reply Last reply Reply Quote 0
                                                                          • First post
                                                                            Last post