Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [SOLUCIONADO] Problemas con squid3-dev - 3.3.10 pkg 2.2 lo instalo y no inicia

    Scheduled Pinned Locked Moved Español
    24 Posts 6 Posters 16.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • belleraB
      bellera
      last edited by

      Modo transparente para http –-> Funciona correctamente.

      Modo transparente para https –-> No arranca, https://forum.pfsense.org/index.php?topic=72872.msg402537#msg402537

      Modo transparente para https (SSL Bump) –-> Sí arranca. Se precisa:

      01. Crear una autoridad certificadora (CA) propia en pfSense
      System: Cert Manager: CAs

      02. Configurar dicha CA en SSL man in the middle Filtering de las opciones generales del paquete squid3-devel

      03. SSL Proxy port distinto del no SSL (3128). Por ejemplo, 3129

      04. Volver a la emisión de CAs y hacer export CA cert (primer botón a la derecha del botón [e] de edición).

      05. Distribuir el archivo MiAutoridadCertificadora.crt a todos los usuarios.

      06a. En Firefox Linux, MiAutoridadCertificadora.crt se importa yendo a:
      Edita / Preferencias / Avanzado / Visualiza los certificados / Importa / Confía en esta CA para identificar sitios web

      06b. Con servidor web se puede simplificar la distribución con algo como www.midominio.tld/MiAutoridadCertificadora.crt. Abriendo el archivo con el navegador, éste pregunta si se quiere importar la CA.

      La distribución a los usuarios del certificado de autoridad y su instalación puede ser bastante engorrosa en muchos entornos.

      Se precisa una autoridad certificadora propia para ir emitiendo "al vuelo" un certificado para cada servidor distinto visitado por https. El mecanismo se basa en un ataque MITM, http://es.wikipedia.org/wiki/Ataque_Man-in-the-middle y es usado también por muchos dispositivos (appliances) comerciales cortafuegos que inspeccionan el tráfico.

      Ejemplo: http://www.pandasecurity.com/spain/enterprise/support/card?id=41811#Cambios_aplicados_2013-01-31

      Instalación de la CA en Android –-> http://forum.pfsense.org/index.php?topic=74007.msg405526#msg405526
      Instalación de la CA en iOS ---> http://forum.pfsense.org/index.php?topic=74007.msg405578#msg405578

      Bug en squid3-dev 3.3.10 pkg 2.2.2
      http://forum.pfsense.org/index.php?topic=62256.msg407762#msg407762

      1 Reply Last reply Reply Quote 0
      • J
        joselms02
        last edited by

        Buen día Sr. Bellera, estoy probando squid3-dev siguiendo estas recomendaciones y pasos y todo aparentemente esta funcionando bien, pero me queda una duda con lo del certificado. Tengo un certificado generado para utilizar openvpn, y es el que tengo seleccionado el la configuración de squid en opción CA de SSL man in the middle Filtering. Ahora la pregunta es, con este mismo certificado puedo hacer la Instalación de certificados Comodo que esta en el post https://forum.pfsense.org/index.php?topic=70225.msg402528#msg402528, o tengo que crear uno nuevo?.

        Espero haberme explicado bien.

        Gracias.-

        1 Reply Last reply Reply Quote 0
        • belleraB
          bellera
          last edited by

          01. Crear una autoridad certificadora (CA) propia en pfSense
          System: Cert Manager: CAs

          02. Configurar dicha CA en SSL man in the middle Filtering de las opciones generales del paquete squid3-devel

          Tienes que tener tu propia autoridad certificadora en pfSense.

          Internal --> YES
Issuer --> Self signed

          Si con OpenVPN ya creaste tu autoridad certificadora puede servirte la misma.

          La autoridad certificadora es quien emite certificados. squid3-devel los emite "al vuelo" para hacer creer al navegador que es el destino de la conexión SSL. Mira la explicación de lo que es man-in-the-middle,  http://es.wikipedia.org/wiki/Ataque_Man-in-the-middle

          No confundas pues la CA (Autoridad Certificadora) con certificados de servidor o de cliente.

          No te servirán de nada aquí pues los certificados de Comodo.

          05. Distribuir el archivo MiAutoridadCertificadora.crt a todos los usuarios.

          06a. En Firefox Linux, MiAutoridadCertificadora.crt se importa yendo a:
          Edita / Preferencias / Avanzado / Visualiza los certificados / Importa / Confía en esta CA para identificar sitios web

          06b. Con servidor web se puede simplificar la distribución con algo como www.midominio.tld/MiAutoridadCertificadora.crt. Abriendo el archivo con el navegador, éste pregunta si se quiere importar la CA.

          Para implantar esto no queda otro remedio.

          1 Reply Last reply Reply Quote 0
          • marcellocM
            marcelloc
            last edited by

            @bellera:

            But if I'm not having IPv6 on my network why I need it activated?

            It's something with squid compilation. If I compile squid without ipv6 support, it works fine on ipv4 networks.
            The problem is that pfsense 2.1 is ipv6 ready so I can't remove it from compile options.

            Moderador 19-jun-2014 10:14 GMT +1
            Un par de usuarios de este foro manifiestan problemas. Faltan datos contrastados de su instalación.
            Se separan en un nuevo hilo estas intervenciones y se cierra el presente hilo.
            El nuevo hilo es https://forum.pfsense.org/index.php?topic=78337

            Treinamentos de Elite: http://sys-squad.com

            Help a community developer! ;D

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.