Problemas con squid3-dev



  • Moderador 19-jun-2014 10:07 GMT +1
    Se separa en otro hilo, para más comodidad
    Viene de https://forum.pfsense.org/index.php?topic=73007.msg402349#msg402349

    Buen día a todos.

    He configurado todos los pasos mencionados. Tengo el certificado CA y le instalé el certificado en equipo cliente el cual es un Windows 7  "Entidades de certificación raíz de confianza"

    La navegación HTTP funciona bien, la navegación HTTPS funciona pero siempre me aparece en el navegador la advertencia de error de certificado. :s

    El certificado CA se creó –> "Create an internal Certificate Authority"

    En proxy Server  ---> Sección  "remote Cert Checks "  ---> "Accept remote server certificate Error"

    En proxy Server ---> Sección  "Certificate adapt"  ---> "Set the "Not before" (setValidBefore)"

    El tema es como indico, la navegación funciona pero siempre me aparece error de certificado, le doy aceptar y luego ingresa al sitio web con SSL pero la idea es que no sea así, no sé si estoy equivocado.

    Gracias



  • Tengo el Mismo Problema, alguien ya lo soluciono..  Gracias



  • Están claramente documentados los pasos y los problemas que hay… más arriba en este mismo hilo.

    https://forum.pfsense.org/index.php?topic=73007.msg402349#msg402349



  • Seguí todo los pasos mencionados uno por uno, y me sigue mandando error de certificado con el proxy trasparente.

    tengo la version del pfsense 2.1.3 y el squid3-dev 3.3.10 pkg 2.2.5



  • Al final todo depende del squid.conf que tengas, si es correcto o no.

    Postea el contenido de tu archivo squid.conf, por favor.

    32 bit –-> /usr/pbi/squid-i386/etc/squid/squid.conf
    64 bit ---> /usr/pbi/squid-amd64/etc/squid/squid.conf



  • Bue día, mi instalación venia trabajando bien (ssh-proxy con squid3-dev+squidGuard-squid3) pero con la actualización del día de hoy (2.1.5) no logro hacer que el squid-guard inicie, esto es lo que que me muestra el LOG del GUI, de antemano gracias por su ayuda

    Sep 1 12:44:34 Squid_Alarm[73740]: Reconfiguring filter…
    Sep 1 12:44:32 check_reload_status: Reloading filter
    Sep 1 12:44:32 Squid_Alarm[70230]: Reconfiguring filter…
    Sep 1 12:44:31 Squid_Alarm[68855]: Attempting restart…
    Sep 1 12:44:31 Squid_Alarm[68672]: Squid has exited. Reconfiguring filter.



  • Tiene pinta de que la integración de squidGuard esté en sintaxis squid2 y no squid3…

    https://forum.pfsense.org/index.php?topic=73740.0

    Por favor, revisar todos los pasos de la configuración.



  • AL final se resolvió des-instalando los paquetes (squid3-dev+squidGuard-squid3) y borrando el contenido de /var/squid    /usr/local/pkg/squid*  y volviendo instalar todo desde el menú de paquetes. Gracias



  • @pipeunix:

    Bue día, mi instalación venia trabajando bien (ssh-proxy con squid3-dev+squidGuard-squid3) pero con la actualización del día de hoy (2.1.5) no logro hacer que el squid-guard inicie, esto es lo que que me muestra el LOG del GUI, de antemano gracias por su ayuda

    Sep 1 12:44:34 Squid_Alarm[73740]: Reconfiguring filter…
    Sep 1 12:44:32 check_reload_status: Reloading filter
    Sep 1 12:44:32 Squid_Alarm[70230]: Reconfiguring filter…
    Sep 1 12:44:31 Squid_Alarm[68855]: Attempting restart…
    Sep 1 12:44:31 Squid_Alarm[68672]: Squid has exited. Reconfiguring filter.

    hola bellera buenas noches.

    siento molestarte, y agradezco enormente el esfuerzo realizado por realizar este tutorial, lastimosamente no me funciona, he pasado toda una noche haciendo de todo sin exito, este es mi archivo de squid

    # This file is automatically generated by pfSense
    # Do not edit manually !
    
    http_port 192.168.22.1:3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=10MB cert=/usr/pbi/squid-i386/etc/squid/serverkey.pem capath=/usr/pbi/squid-i386/share/certs/
    
    http_port 127.0.0.1:3128 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=10MB cert=/usr/pbi/squid-i386/etc/squid/serverkey.pem capath=/usr/pbi/squid-i386/share/certs/
    
    https_port 127.0.0.1:3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=10MB cert=/usr/pbi/squid-i386/etc/squid/serverkey.pem capath=/usr/pbi/squid-i386/share/certs/
    
    icp_port 0
    dns_v4_first on
    pid_filename /var/run/squid.pid
    cache_effective_user proxy
    cache_effective_group proxy
    error_default_language es
    icon_directory /usr/pbi/squid-i386/etc/squid/icons
    visible_hostname FW
    cache_mgr cesargdmi@gmail.com
    access_log /var/squid/logs/access.log
    cache_log /var/squid/logs/cache.log
    cache_store_log none
    netdb_filename /var/squid/logs/netdb.state
    pinger_enable on
    pinger_program /usr/pbi/squid-i386/libexec/squid/pinger
    sslcrtd_program /usr/pbi/squid-i386/libexec/squid/ssl_crtd -s /var/squid/lib/ssl_db -M 4MB -b 2048
    sslcrtd_children 5
    sslproxy_capath /usr/pbi/squid-i386/share/certs/
    sslproxy_cert_error allow all
    sslproxy_cert_adapt setValidBefore all
    
    logfile_rotate 0
    debug_options rotate=0
    shutdown_lifetime 3 seconds
    # Allow local network(s) on interface(s)
    acl localnet src  192.168.22.0/24 192.168.21.0/24
    httpd_suppress_version_string on
    uri_whitespace strip
    
    acl dynamic urlpath_regex cgi-bin \?
    cache deny dynamic
    
    cache_mem 32 MB
    maximum_object_size_in_memory 32 KB
    memory_replacement_policy heap GDSF
    cache_replacement_policy heap LFUDA
    cache_dir ufs /var/squid/cache 500 16 256
    minimum_object_size 0 KB
    maximum_object_size 4 KB
    offline_mode off
    cache_swap_low 90
    cache_swap_high 95
    cache allow all
    
    # No redirector configured
    
    #Remote proxies
    
    # Setup some default acls
    # From 3.2 further configuration cleanups have been done to make things easier and safer. The manager, localhost, and to_localhost ACL definitions are now built-in.
    # acl localhost src 127.0.0.1/32
    acl allsrc src all
    acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901  3128 3127 1025-65535
    acl sslports port 443 563
    
    # From 3.2 further configuration cleanups have been done to make things easier and safer. The manager, localhost, and to_localhost ACL definitions are now built-in.
    #acl manager proto cache_object
    
    acl purge method PURGE
    acl connect method CONNECT
    
    # Define protocols used for redirects
    acl HTTP proto HTTP
    acl HTTPS proto HTTPS
    acl allowed_subnets src 192.168.22.0/24
    acl blacklist dstdom_regex -i "/var/squid/acl/blacklist.acl"
    http_access allow manager localhost
    
    http_access deny manager
    http_access allow purge localhost
    http_access deny purge
    http_access deny !safeports
    http_access deny CONNECT !sslports
    
    # Always allow localhost connections
    # From 3.2 further configuration cleanups have been done to make things easier and safer.
    # The manager, localhost, and to_localhost ACL definitions are now built-in.
    # http_access allow localhost
    
    request_body_max_size 0 KB
    delay_pools 1
    delay_class 1 2
    delay_parameters 1 -1/-1 -1/-1
    delay_initial_bucket_level 100
    delay_access 1 allow allsrc
    
    # Reverse Proxy settings
    
    # Custom options before auth
    
    # Block access to blacklist domains
    http_access deny blacklist
    acl sglog url_regex -i sgr=ACCESSDENIED
    http_access deny sglog
    # Setup allowed acls
    # Allow local network(s) on interface(s)
    http_access allow allowed_subnets
    http_access allow localnet
    # Default block all to be sure
    http_access deny allsrc
    
    icap_enable on
    icap_send_client_ip on
    icap_send_client_username on
    icap_client_username_encode off
    icap_client_username_header X-Authenticated-User
    icap_preview_enable on
    icap_preview_size 1024
    
    icap_service service_req reqmod_precache bypass=0 icap://127.0.0.1:1344/squidclamav
    icap_service service_resp respmod_precache bypass=0 icap://127.0.0.1:1344/squidclamav
    
    adaptation_access service_req allow all
    adaptation_access service_resp allow all
    

    no se que mas hacer, ya me siento desesperado, el certificado por mas que lo insstale siempre sale el error de certificado sorry :(



  • Tienes vacío:

    # Custom options before auth
    

    No seguiste TODO mi tutorial…

    En mis pruebas puse:

    # Custom options before auth
    always_direct allow all
    ssl_bump server-first all
    

    A parte que no usé el antivirus porque creo recordar que con 32 bit (mis primeras pruebas) no funcionaba. Pero no creo que eso afecte a los certificados.



  • Estimado bellera:

    Gracias a su tutorial la instalación del squid3-dev y squidguard3 resulto de lo mejor… pero....

    Surge otro detalle en caso el servidor se apague o reinicie, en ese momento las modificaciones hechas en el squid.conf en las lineas:

    #custom options before auth
                            always_direct allow all
                            ssl_bump server-first all

    no mantienen estos cambios, intente hacerlo utilizando el winscp pero igual agrego las 2 lineas adicionales pero al reiniciarse el servidor estas desaparecen.
    Se puede modificar el squid.conf en forma manual y que estos cambios se mantengan asi se reinicie el servidor.

    Gracias por la ayuda



  • Hay un cajetín en la configuración del proxy para las Custom Options

    Services: Proxy server: General settings: Custom Options

    Al final de la página…



  • Corrijo. Había mirado otro proxy…

    Ver imagen adjunta.

    ![Captura de 2014-11-20 22:17:05.png](/public/imported_attachments/1/Captura de 2014-11-20 22:17:05.png)
    ![Captura de 2014-11-20 22:17:05.png_thumb](/public/imported_attachments/1/Captura de 2014-11-20 22:17:05.png_thumb)



  • Muchas gracias por la ayuda



  • @bellera:

    Tienes vacío:

    # Custom options before auth
    

    No seguiste TODO mi tutorial…

    En mis pruebas puse:

    # Custom options before auth
    always_direct allow all
    ssl_bump server-first all
    

    A parte que no usé el antivirus porque creo recordar que con 32 bit (mis primeras pruebas) no funcionaba. Pero no creo que eso afecte a los certificados.

    Buenos Dias Sr Bellera

    Me podría dar el link de ese tutorial por favor?