Proxy не пускает HTTPS



  • Помогите пожалуйста, второй день бьюсь с проблемой.
    Проблема в том что любая версия squid не пускает через прозрачный режим HTTPS запросы, надо только в ручную прописывать прокси на компе, тогда только заработает, но хотелось бы без этого.
    Т. к. сейчас стоит на основном компе тот же pfsense, и там всё нормально работает, а хотел поставить на филиал ещё один комп и такая загвоздка. Настроена всё по инструкции с  сайта



  • Хттпс через прозрачный прокси не работает. Априори.



  • @alexandrnew:

    Хттпс через прозрачный прокси не работает. Априори.

    Могу подключить к сети где каким-то чудом это работает.



  • Угу. С липовым сертификатом для конечного пользователя.
    В домене микрософт и связке с форефронт (начиная с иса сервера)- хттпс прозрачно фильтрует без проблем



  • я у себя решил проблему мак = создал алиас на каждую сеть, например 192.168.0.0/24, правила - Source = название алиаса - Destination port range = https
    и все гуууд.



  • @randreevich:

    я у себя решил проблему мак = создал алиас на каждую сеть, например 192.168.0.0/24, правила - Source = название алиаса - Destination port range = https
    и все гуууд.

    Что то таже так не работает.

    Может кто ещё знает как в обход squid пусть https, мне не нужно что он его фильтровал. Нужно чтоб хоть на https можно было зайти.



  • Правило на LAN создайте и поставьте его выше блокирующих:

    TCP  LAN subnet *  *  HTTPS

    Куда уж проще.



  • @werter:

    Правило на LAN создайте и поставьте его выше блокирующих:

    TCP  LAN subnet *  *  HTTPS

    Куда уж проще.

    В этом та вся и проблема, не работает.



  • Скрины правил покажите.



  • @werter:

    Скрины правил покажите.

    Пускает, только если прокси прописать




  • Что у людей на машинах шлюзом указано?
    Правильные ли настройки DNS на машинах? nslookup что говорит у клиентов?
    Настройки NAT - автоматом или вручную?

    P.s. Если все плохо - выгружайте конфигурацию в файл, сбрасывайте настройки в дефолт и проверяйте, создав только одно проблемное правило.



  • @werter:

    Что у людей на машинах шлюзом указано?
    Правильные ли настройки DNS на машинах? nslookup что говорит у клиентов?
    Настройки NAT - автоматом или вручную?

    P.s. Если все плохо - выгружайте конфигурацию в файл, сбрасывайте настройки в дефолт и проверяйте, создав только одно проблемное правило.

    Все раздается по DHCP
    Шлюз Pfsense
    DNS Шлюз Pfsense
    nslookup показывает ip
    NAT автоматически
    Перестанавливал уже раз 5 всё с нуля, без толку с разными версиями squid
    Пускает на https только когда прописать в настройка прокси.
    При всё при этом есть сервер, который я давно настраивал и сейчас он успешно работает, и я ума не приложу в чём сейчас может быть проблема.



  • В последнем сквиде могли начудить. Вроде что-то с HTTPS делали. Дамп правил можете показать?



  • @dvserg:

    В последнем сквиде могли начудить. Вроде что-то с HTTPS делали. Дамп правил можете показать?

    А это как достать?



  • @yragan:

    @dvserg:

    В последнем сквиде могли начудить. Вроде что-то с HTTPS делали. Дамп правил можете показать?

    А это как достать?

    Файл /tmp/rules.debug. Вытащить, зазвездить концы реальных ИП, переименовать в rules.debug.txt и прикрепить здесь.



  • @dvserg:

    @yragan:

    @dvserg:

    В последнем сквиде могли начудить. Вроде что-то с HTTPS делали. Дамп правил можете показать?

    А это как достать?

    Файл /tmp/rules.debug. Вытащить, зазвездить концы реальных ИП, переименовать в rules.debug.txt и прикрепить здесь.

    rules.debug.txt



  • На первый взгляд Ок - прозрачно на Squid редиректится только HTTP
    Вам IPV6 нужен?
    И попробуйте еще для теста WebGUI с HTTPS на HTTP переключить.



  • @dvserg:

    На первый взгляд Ок - прозрачно на Squid редиректится только HTTP
    Вам IPV6 нужен?
    И попробуйте еще для теста WebGUI с HTTPS на HTTP переключить.

    IPV6 я вроде везде отключил, кроме как в правил и оттуда тоже сейчас удалил.
    WebGUI с HTTPS на HTTP перевел. Для эксперимента пробовал его включить.



  • Включите логирование правил, чтобы собрать статистику.
    Я вечером посмотрю Ваш дамп более подробно.



  • @dvserg:

    Включите логирование правил, чтобы собрать статистику.
    Я вечером посмотрю Ваш дамп более подробно.

    А подскажите пожалуйста это включить?



  • 2 yragan

    А у вас случаем HAVP не установлен или не был уставновлен? Если установлен - удалите его (толку немного , а вот проблемы создает). После удаления выполните :

    http://forum.pfsense.org/index.php/topic,65810.msg359860.html#msg359860

    Разобрался. Ещё заметил такую недоработку. Если был установлен и включен HAVP, а затем его выключили, то прокси перестанет работать. Нужно заходить в свойства squid и удалить 2 строчки перенаправления, которые создал HAVP при включении, в поле Custom options.



  • @werter:

    2 yragan

    А у вас случаем HAVP не установлен или не был уставновлен? Если установлен - удалите его (толку немного , а вот проблемы создает). После удаления выполните :

    http://forum.pfsense.org/index.php/topic,65810.msg359860.html#msg359860

    Разобрался. Ещё заметил такую недоработку. Если был установлен и включен HAVP, а затем его выключили, то прокси перестанет работать. Нужно заходить в свойства squid и удалить 2 строчки перенаправления, которые создал HAVP при включении, в поле Custom options.

    И с ним и без него проблемы остаются, я в начале пробовал на чистой системе, только установлен squid, потом только поставил HAVP и squidGuard. Думал может хоть с ними как-то заработает, а нет, не работает.



  • И с ним и без него проблемы остаются, я в начале пробовал на чистой системе, только установлен squid, потом только поставил HAVP и squidGuard. Думал может хоть с ними как-то заработает, а нет, не работает.

    1. Поставьте pfsense вообще без каких либо пакетов и создайте одно разрешающее всё правило на LAN. Проверьте.
    2. Создайте только правила, разрешающие DNS, icmp, http, https . Проверьте.
    3. Установите squid 3.1 (или какой там сейчас stable из 3-ей ветки). Проверьте с ним.

    Это наз-ся метод исключения.



  • 1. Поставьте pfsense вообще без каких либо пакетов и создайте одно разрешающее всё правило на LAN. Проверьте.
    2. Создайте только правила, разрешающие DNS, icmp, http, https . Проверьте.
    3. Установите squid 3.1 (или какой там сейчас stable из 3-ей ветки). Проверьте с ним.

    Это наз-ся метод исключения.

    первые два пункта не работает, третий даже не стал пробовать
    При этом скачивать пакеты я могу, значит и интернет есть.



  • @yragan:

    1. Поставьте pfsense вообще без каких либо пакетов и создайте одно разрешающее всё правило на LAN. Проверьте.
    2. Создайте только правила, разрешающие DNS, icmp, http, https . Проверьте.
    3. Установите squid 3.1 (или какой там сейчас stable из 3-ей ветки). Проверьте с ним.

    Это наз-ся методом исключения.

    первые два пункта не работает, третий даже не стал пробовать
    При этом скачивать пакеты я могу, значит и интернет есть.

    Хьюстон, у нас проблемы! ©
    А напрямую без pfsense - работает?  Есть ли какая "железка" перед pf ? И на какой сайт по https вы пытаетесь попасть ?



  • @werter:

    @yragan:

    1. Поставьте pfsense вообще без каких либо пакетов и создайте одно разрешающее всё правило на LAN. Проверьте.
    2. Создайте только правила, разрешающие DNS, icmp, http, https . Проверьте.
    3. Установите squid 3.1 (или какой там сейчас stable из 3-ей ветки). Проверьте с ним.

    Это наз-ся методом исключения.

    первые два пункта не работает, третий даже не стал пробовать
    При этом скачивать пакеты я могу, значит и интернет есть.

    Хьюстон, у нас проблемы!
    А напрямую без pfsense - работает?

    В этом и проблема, что да. Без squida интернет вообще теперь не работает. Получается проблема не в squid.
    В начале я настраивал всё через действующий pfsense, потом думаю вдруг он что блочит, подключил на прямую, и всё тоже само.
    При этом сам pfsense выходить может в инет, раз он может качать пакеты для себя оттуда.
    Может я какую не такую версию pfsense скачал! Я уже даже не знаю, что такое случилось.



  • А скриншот правил НАТ можно?



  • @dvserg:

    А скриншот правил НАТ можно?

    Там пусто



  • @yragan:

    @dvserg:

    А скриншот правил НАТ можно?

    Там пусто

    А режим NAT какой (там-же)? Автомат?



  • @dvserg:

    @yragan:

    @dvserg:

    А скриншот правил НАТ можно?

    Там пусто

    А режим NAT какой (там-же)? Автомат?

    Автомат