Problema con pfsense2.1(i386)+squid3-dev+squidguard-squid3 y skype



  • saludos

    tengo configurado asi
    squid3-dev+transparente+sslintercepcion y una intidad certificadora interna configurada
    y squidguard-squid-squid3 filtrando toda la red lan
    tengo instalado squid en una maquina lo cual no me funciona ya que al momento de loguearme en skype me dice que "la red aveces le da sueño y descansa debe despertarlo y reintentar" ;D ;D ;D ;D ;D ;D ;D ;D suena chistoso pero asi sale y no puedo ingresar al skype
    por lo visto es problema con el proxy porque al configurar la ip de la maquina en el proxy para que evada el proxy ahi si funciona

    alguien que me de una ayuda, que podria ser????? ??? ??? ??? ???



  • Skype es como si fuera un navegador:

    https://forum.pfsense.org/index.php?topic=73542.msg401680#msg401680

    Debes crear un alias con los destinos de Skype y meterlo en el casillero:

    Bypass proxy for Private Address destination	
    Do not forward traffic to Private Address Space (RFC 1918) destination through the proxy server but directly through the firewall.
    

    Y así para todos los servicios que usen navegación, como es el caso del cliente Dropbox.

    Arriba, en Documentación, tienes explicado Filtrar por IPs de destino -
    Rangos de IPs por compañía
    para hacer el alias.



  • gracias amigo bellera

    esta excelente los link

    esta como en la escuela cuando le enseñan con manzanitas ;D ;D ;D ;D ;D ;D ;D ;D ;D ;D

    la navegacion por el proxy es lenta hay veces que hay paginas que se quedan en blanco y aveces el cargar una pagina demora de hasta 10 o 13 segundos hay alguna manera de solucionar eso

    porque sin pasar por el proxy navega bien



  • Prueba activando la casilla

    Resolv dns v4 first	
    Enable this option to force dns v4 lookup first. This option is very usefull if you have problems to access https sites.
    


  • saludos bellera

    te comento que el problema con el skype solo me funciona de la suigiente manera:
    skype funciona cuando a la maquina (xp) no le asigno una direccion proxy igual la maquina pasa por el proxy transparente para esto me sirvio tu respuesta hice todo y funciono pero skype no funciona cuando a la maquina le asigno una direccion proxy en opciones de internet, igual el skype tiene la opcion de detectar configuracion proxy automatica

    en resumen lo que quiero  es que funcione skype cuando asigno la direccion proxy en una maquina
    lo cual no lo hace





  • mmmmm te comento que ya habia heccho eso y nada

    tengo una duda en el proxy squid3-dev en la casilla acl en puertos tengo puertos http permitidos :1-65535 https permitidos 563, 443
    sera correcto eso



  • @anmr2380:

    en resumen lo que quiero  es que funcione skype cuando asigno la direccion proxy en una maquina
    lo cual no lo hace

    No entiendo muy bien qué pretendes…

    Si el proxy lo tienes en modo transparente no sirve indicarlo en el navegador, a menos que tuvieras otro proxy para salir en la misma LAN.



  • ah entonces estoy conigurando mal si esta en transparente no tengo porque poner ejemplo 192.168.1.1:8080 ni en la maquina ni en el skype ni en navegador eso es lo que me dices osea eso es erroneo??????

    entonces ahi esta el problema???



  • Un proxy se configura en modo transparente precisamente para NO tenerlo que configurar en los navegadores y realizar tareas de cacheo/filtrado/inspección de contenidos.



  • bueno dejando el tema del proxy te comento que la navegacion me sigue lenta asi como comente tengo interceptar https/ssl en squid3-dev  me demora hasa 10 segundos en cargar cualquier pagina pero la descarga esta bien uso el internet downloader manager para probar la conexion de descarga



  • @bellera:

    Prueba activando la casilla

    Resolv dns v4 first	
    Enable this option to force dns v4 lookup first. This option is very usefull if you have problems to access https sites.
    

    Verifica bien que la resolución DNS sea rápida.



  • ya lo tengo activado  pero sigue igual
    alguna otra solucion



  • @bellera:

    Verifica bien que la resolución DNS sea rápida.



  • saludos bellera

    bueno vamos por parte analizando bien el asunto me acabo de dar cuenta que el proxy trasparente no esta funcionando

    squid3-dev –---->proxy trasparente----->ssl intercepcion activado

    cual podria ser el relajo deacuardo a tu experiencia oalgun enlace de ayuda



  • Buenas noches, tengo instalado Squid3-dev-transparente y Enable SSL filtering, sin squidguard y realice una prueba llamando al numero demo de skype y me funciono, solo deje activa la regla que trae por defaul que permite todo. Se conecto rápido y realice la llamada que solicita que grabes un mensaje por 10 segundos y la reprodujo todo bien.

    A mi me da problema es con Line, aveces se conecta y se desconecta, si quiero entrar a la tienda, cuentas oficiales tengo que refrescar varias veces para que se conecte y descargue las imagenes, me podrian dar una mano con esto?

    Saludos.-



  • quiero adjuntar unas imagenes en el foro pro cuando ya quiero publicar me dice que la pagina ha sido reiniciada y escrito lo mismo ya tres veces sin poder subir las fotos de captura
    como se hace eso



  • Deberías poder. Has Post y luego modifica el mensaje. Puedes modificar el mensaje mientras no haya pasado un buen rato. No sé decirte cuanto porque como administrador puedo siempre.



  • reinstale desde cero el pfsense y los pakagues ,el problema es que cuando inicio el pfsense enla mañana no inicia el proxy transparente (pero todos los servicios estan activos) reinicio y todo vuelve a la normalidad y todos los dias lo mismo
    adjunto imagenes de mi configuracion de squid3-dev:




  • verifique si esta vien la configuracion del certificado




  • mi checbox integracion




  • @anmr2380:

    verifique si esta vien la configuracion del certificado

    Esas dos opciones las tengo desactivadas (tal como viene en default). En el foro en inglés un usuario tenía la segunda desactivada y problemas…

    Las tengo desactivadas en mi instalación de pruebas (32 bit) y en la que entrará pronto en producción (64 bit). Y no he tenido necesidad de tocarlas.



  • mmmmmm yayayyaya
    hay alguna forma de desactivarlos porque no veo ninguna, pero tuve una experiencia anterior antes de reinstalar el pfsense en el cuadro de certificado al tener seleccionado en el primer cuadro "do not verify remote certificate" asi pusiera el certificado en firefox xp como autoridad de confianza me seguia saliendo error de certificado entonces cambie a "accept remote server certificate error" y solucionado
    con el segundo cuadro asi ponga la que sea no vi que afectara en nada

    bueno pero con el problema del proxy transparente que no inicia al primer arranque abra una solucion (solo es la funcion de transparente porque todos los servicios estan activos, vistes si hay algun problema de integracion en el checbox??



  • Seleccionala nuevamente y se desmarcá.

    Saludos.-



  • saludos joselms

    la verdad que no funciona ni con uno ni dos click



  • Ctl+Click



  • @anmr2380:

    asi pusiera el certificado en firefox xp como autoridad de confianza me seguia saliendo error de certificado entonces cambie a "accept remote server certificate error" y solucionado

    ¿Estás seguro de haber puesto tu CA en entidades (autoridares certificadoras) de Firefox? Si lo metes en alguno de los otros tipos no funciona.



  • @anmr2380:

    bueno pero con el problema del proxy transparente que no inicia al primer arranque abra una solucion (solo es la funcion de transparente porque todos los servicios estan activos, vistes si hay algun problema de integracion en el checbox??

    Integrations es simplemente la configuración de squidGuard para squid. Está correcto.

    $ find / -name cache.log
    /var/squid/logs/cache.log
    

    En cache.log squid te dirá qué pasa:

    $ tail /var/squid/logs/cache.log
    2014/03/27 07:20:47 kid1|         0 Objects expired.
    2014/03/27 07:20:47 kid1|         0 Objects cancelled.
    2014/03/27 07:20:47 kid1|         0 Duplicate URLs purged.
    2014/03/27 07:20:47 kid1|         0 Swapfile clashes avoided.
    2014/03/27 07:20:47 kid1|   Took 0.15 seconds (32415.64 objects/sec).
    2014/03/27 07:20:47 kid1| Beginning Validation Procedure
    2014/03/27 07:20:47 kid1|   Completed Validation Procedure
    2014/03/27 07:20:47 kid1|   Validated 4831 Entries
    2014/03/27 07:20:47 kid1|   store_swap_size = 92152.00 KB
    2014/03/27 07:20:48 kid1| storeLateRelease: released 0 objects
    

    El cat en el configurador web no funciona. Seguramente porque el fichero es grande.

    Hay que ir a consola…

    $ cat /var/squid/logs/cache.log | more
    


  • saludos tengo estos errores haber si me ayudan

    2014/03/27 23:22:02 kid1| Starting Squid Cache version 3.3.10 for i386-portbld-freebsd8.3…
    2014/03/27 23:22:02 kid1| Process ID 13840
    2014/03/27 23:22:02 kid1| Process Roles: worker
    2014/03/27 23:22:02 kid1| With 11095 file descriptors available
    2014/03/27 23:22:02 kid1| Initializing IP Cache...
    2014/03/27 23:22:02 kid1| DNS Socket created at [::], FD 12
    2014/03/27 23:22:02 kid1| DNS Socket created at 0.0.0.0, FD 13
    2014/03/27 23:22:02 kid1| Adding domain localdomain from /etc/resolv.conf
    2014/03/27 23:22:02 kid1| Adding nameserver 127.0.0.1 from /etc/resolv.conf
    2014/03/27 23:22:02 kid1| Adding nameserver 192.168.100.1 from /etc/resolv.conf
    2014/03/27 23:22:02 kid1| Adding nameserver 192.168.1.1 from /etc/resolv.conf
    2014/03/27 23:22:02 kid1| helperOpenServers: Starting 5/8 'ssl_crtd' processes
    2014/03/27 23:22:02 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
    2014/03/27 23:22:02 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
    2014/03/27 23:22:02 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
    2014/03/27 23:22:02 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
    2014/03/27 23:22:02 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
    2014/03/27 23:22:02 kid1| helperOpenServers: Starting 8/16 'squidGuard' processes
    2014/03/27 23:22:02 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
    2014/03/27 23:22:02 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
    2014/03/27 23:22:02 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
    2014/03/27 23:22:02 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
    2014/03/27 23:22:02 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
    2014/03/27 23:22:02 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
    2014-03-27 23:22:03 [15941] (squidGuard): can't write to logfile /var/log/squidGuard.log
    2014/03/27 23:22:03 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
    2014-03-27 23:22:03 [17495] (squidGuard): can't write to logfile /var/log/squidGuard.log
    2014-03-27 23:22:03 [16180] (squidGuard): can't write to logfile /var/log/squidGuard.log
    2014-03-27 23:22:03 [16788] (squidGuard): can't write to logfile /var/log/squidGuard.log
    2014/03/27 23:22:03 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
    2014-03-27 23:22:03 [16166] (squidGuard): can't write to logfile /var/log/squidGuard.log
    2014-03-27 23:22:03 [17276] (squidGuard): can't write to logfile /var/log/squidGuard.log
    2014-03-27 23:22:03 [17633] (squidGuard): can't write to logfile /var/log/squidGuard.log

    y este

    2014/03/28 07:19:18 kid1| Starting Squid Cache version 3.3.10 for i386-portbld-freebsd8.3…
    2014/03/28 07:19:19 kid1| Process ID 16338
    2014/03/28 07:19:19 kid1| Process Roles: worker
    2014/03/28 07:19:19 kid1| With 11095 file descriptors available
    2014/03/28 07:19:19 kid1| Initializing IP Cache...
    2014/03/28 07:19:19 kid1| DNS Socket created at [::], FD 12
    2014/03/28 07:19:19 kid1| DNS Socket created at 0.0.0.0, FD 13
    2014/03/28 07:19:19 kid1| Adding domain localdomain from /etc/resolv.conf
    2014/03/28 07:19:19 kid1| Adding nameserver 127.0.0.1 from /etc/resolv.conf
    2014/03/28 07:19:19 kid1| Adding nameserver 192.168.100.1 from /etc/resolv.conf
    2014/03/28 07:19:19 kid1| Adding nameserver 192.168.1.1 from /etc/resolv.conf
    2014/03/28 07:19:19 kid1| helperOpenServers: Starting 5/8 'ssl_crtd' processes
    2014/03/28 07:19:19 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
    2014/03/28 07:19:19 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
    2014/03/28 07:19:19 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
    2014/03/28 07:19:19 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
    2014/03/28 07:19:19 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
    2014/03/28 07:19:19 kid1| helperOpenServers: Starting 8/16 'squidGuard' processes
    2014/03/28 07:19:19 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
    2014/03/28 07:19:19 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
    2014/03/28 07:19:19 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
    2014/03/28 07:19:19 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
    2014/03/28 07:19:19 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
    2014/03/28 07:19:19 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
    2014/03/28 07:19:19 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
    2014/03/28 07:19:19 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
    2014/03/28 07:19:19 kid1| WARNING! invalid error detail name: X509_V_ERR_DIFFERENT_CRL_SCOPE
    2014/03/28 07:19:19 kid1|  parse error while reading template file: /usr/pbi/squid-i386/etc/squid/errors/es/error-details.txt
    2014/03/28 07:19:19 kid1| Unable to load default error language files. Reset to backups.
    2014/03/28 07:19:19 kid1| WARNING! invalid error detail name: X509_V_ERR_DIFFERENT_CRL_SCOPE
    2014/03/28 07:19:19 kid1|  parse error while reading template file: /usr/pbi/squid-i386/etc/squid/errors/templates/error-details.txt
    2014/03/28 07:19:19 kid1| WARNING: failed to find or read error text file error-details.txt
    2014/03/28 07:19:19 kid1| WARNING! invalid error detail name: X509_V_ERR_DIFFERENT_CRL_SCOPE
    2014/03/28 07:19:19 kid1| WARNING! invalid error detail name: X509_V_ERR_DIFFERENT_CRL_SCOPE
    2014/03/28 07:19:19 kid1| Logfile: opening log /var/squid/logs/access.log
    2014/03/28 07:19:19 kid1| WARNING: log parameters now start with a module name. Use 'stdio:/var/squid/logs/access.log'
    2014/03/28 07:19:19 kid1| WARNING: no_suid: setuid(0): (1) Operation not permitted
    2014-03-28 07:19:19 [18422] (squidGuard): can't write to logfile /var/log/squidGuard.log
    2014-03-28 07:19:19 [18807] (squidGuard): can't write to logfile /var/log/squidGuard.log
    2014-03-28 07:19:19 [19006] (squidGuard): can't write to logfile /var/log/squidGuard.log
    2014-03-28 07:19:19 [19095] (squidGuard): can't write to logfile /var/log/squidGuard.log
    2014-03-28 07:19:19 [18183] (squidGuard): can't write to logfile /var/log/squidGuard.log
    2014-03-28 07:19:19 [18828] (squidGuard): can't write to logfile /var/log/squidGuard.log
    2014-03-28 07:19:19 [18183] New setting: logdir: /var/squidGuard/log
    2014-03-28 07:19:19 [18183] New setting: dbhome: /var/db/squidGuard
    2014-03-28 07:19:19 [19095] New setting: logdir: /var/squidGuard/log
    2014-03-28 07:19:19 [19095] New setting: dbhome: /var/db/squidGuard
    2014-03-28 07:19:19 [19095] init domainlist /var/db/squidGuard/blk_blacklists_adult/domains
    2014-03-28 07:19:19 [18807] New setting: logdir: /var/squidGuard/log

    como puedo solucionar estos errores
    ademas he experimentado caidas del sistema (servicios "Gateway Monitoring Daemon" y "NTP clock sync" cual es el comando para ver log completo de todo el pfsense o en que ruta puedo ver los archivos log



  • Compueba/sigue los pasos detallados en:

    squid3-devel (paquete para filtrado https en modo transparente)
    http://forum.pfsense.org/index.php?topic=73007.msg402349#msg402349

    squidGuard con squid3
    http://forum.pfsense.org/index.php?topic=73740.0
    http://forum.pfsense.org/index.php?topic=73989.0

    Ese error me suena. Creo que se producía al deshabilitar el soporte para IPv6 en pfSense. Aunque no se emplee IPv6 no puede deshabilitarse.



  • Yo elevaria el debug mas arriba y de ahi le daria una buena revisada a ver si por ahi ahi algo que falte hacer, permiso, algun archivo, etc,  un poco tedioso pero eso haria yo, saludos.
    Por otro lado ahi tenemos algo que es facil reparar:

    2014-03-27 23:22:03 [16166] (squidGuard): can't write to logfile /var/log/squidGuard.log

    Si no esta, crearlo, si no permisos y reiniciar servicio ese mensaje debe irse, a lo mejor los permisos adecuados y listo.



  • haber saludos voy a empezar de nuevo

    tengo este hardware:

    procesador intel atom 1.6 (32bit)
    placa base intel
    con lan incorporada
    1 gb de ram

    instale un:
    adaptador usb-lan marca intellinet que hace de wan (estoy pensando ponerla como lan)

    ahora diganme si es apropiado este hardware para tener el pfsense2.1+squid3-dev(con clamav activo+transparente y ssl intercepcion)+squidguard activo con blacklist de toluose.

    porque estoy experimentando muchas caidas del sistema
    reviso los servicios y todos estan activos
    navegacion aveces deja de funcionar
    y proxy lo mismo
    lo del certificado aveces me sale error de certificado
    reinicio y todo vuelve a la normalidad

    la instalacion del pfsense la estoy realizando por usb

    ademas segui todas las intrucciones en la intalacion porque tengo guardadas las paginas que el amigo bellera proporciono

    ahora cuando se realiza una reinstalacion del sistema me imagino que el instalador borra la intalacion anterior??????



  • Con todo el respeto, pero estas usando una version marcada como -dev, o sea en fases de prueba.
    Nadie te va a garantizar que funcione sin problemas, ahora si que estas en el filo de la navaja.
    Yo en lo personal no he logrado ni siquiera ponerla a funcionar, muchos errores de distintos tipos.
    Yo por el momento no pensaria ni por un poquito meterla a produccion aun.
    Es una version de laboratorio.

    Yo te recomendaria moverte a la version squid3 y seguir en esa linea, si yo se, uno quiere ya el modo transparente 80/443, pero asi como estan las cosas le falta aun para estabilizar la version y eliminar el -dev, como Centos, a lo seguro por el momento.

    Ya falta poco para estabilizarla segun leo en varios post, muchas pruebas es bueno, asi que asguie probando y afinando la tuercas.

    Saludos.



  • ahhh ok gracias por tu informacion en realidad soy nuevo en pfsense y estoy probando no te preocupes pero no lo tengo en produccion sino que comparto mis problemas no se si sean de ayuda a los creadores de pfsense o si estollegue a oidos de ellos y estoy tratando de ver soluciones

    pero bueno entonces a tu sano juicio que me recomendarias a la actualidad utilizar
    como para poder poner en produccion

    en realidad estoy probando varios firewall pero me gusta este por muchas funcionalidades que otros no tienen como ssl intercepcion



  • A bueno, si lo tienes probando excelente.
    Si lo necesitas ya, sigue con la rama squid3 a lo seguro.
    Y si quieres meterte mas adentro y subir los niveles de debug y a leer mucho ya que mucha info para pasartela todo el dia.
    Y si hay avances mencionarlos, saludos y animo.



  • bueno gracias por tus consejos y seguire experimentando y publicando mis problemas para ayuda de todos creo yo  ;D ;D ;D ;D ;D ;D ;D ;D
    tambien tengo alguien que esta intereado en el pfsense para ponerlo en produccion pero ya le habia dicho que estoy probando



  • ok correcto pero dime como hago eso de subir niveles de debug por ejemplo los problemas que tengo ahora?????

    otra pregunta los paquetes adicionales de funciones hay enlaces para descargarlos e instalarlos manualmente



  • Para el debug, en:

    custom options

    Agrega:

    debug_options ALL,N

    N es un numero, mientras mas alto mas info mostrar, puedes empezar con 9 y a leer como viejito el periodico, saludos.



  • jajajajaj correcto, pero disculpa mi total ingnorancia pero puse lo que me dijistes en command prompt pero no sale nada



  • @periko:

    Para el debug, en:

    custom options

    Agrega:

    debug_options ALL,N

    N es un numero, mientras mas alto mas info mostrar, puedes empezar con 9 y a leer como viejito el periodico, saludos.

    @ anmr2380,

    Esto es para que lo metas en el cajetín Custom Options del configurador web de squid. De esta forma en squid.conf habrá una línea

    debug_options ALL,N

    y en cache.log (supongo, pues nunca he tenido necesidad de activar esto como usuario de squid desde por allá el año 2000) verás bastante más información.


Log in to reply