Tcp miss 503 pfsense Erro ao acessar google, gmail, google app business

davidjrsp

Olá pessoal Olha eu novamente.
Estou usando o pfsense 2.1.4 x64
squid 3 e squidguard 3
colocando proxy na maquina do usuario.
autenticação Usuários do squid mesmo
quando tento acessar https do google ele não carrega  só se ficar apertando F5 atualizar a pagina.
já criei a regra no firewall liberando porta 443 e dns 53
e mesmo assim não está rolando. da essa mensagem no log de tcp miss 503 e tcp mis 200
já fiz uma target liberando os sites, e colocando no grupo acl e mesmo assim preciso ficar dando F5 atualizando a magina.
Alguem já passou por isso ???
tem alguma sugestão ?

lucaspolli

limpa o cache do navegador e refaz o cache do squid…

davidjrsp

Oi lucas fiz o processo que vc falo e tambem não deu certo, ele fica fica tendo que dar f5 na pagina ate deixar logar.
usei esse procedimento para limpar o squid

/usr/local/etc/rc.d/squid.sh stop

rm -rf /var/squid/cache/

mkdir -p /var/squid/cache/

chown proxy:proxy /var/squid/cache/

chmod 750 /var/squid/cache/
squid -z

/usr/local/etc/rc.d/squid.sh start

lucaspolli

passei por algo parecido em ambientes de teste, quais regras de firewall vc tem? pode mandar um print delas? quais DNS vc tem configurado no server?

davidjrsp

Estou enviando Lucas
Os dns são da GVT

lucaspolli

como vc tem a regra default ativa, as demais estao inuteis, a default ja esta liberando tudo pra tudo…
vc usa ip fixo da WAN ou esta com dhcp? na configuracao do DNS coloque também o DNS do google 8.8.8.8

uma dica, mude seu pfsense para ingles, na versao portugues pode ocorrer alguns bugs...

davidjrsp

Bom dia Lucas
Estou usando ip fixo na wan.
Coloquei o dns google e mudei a linguagem para Ingles.
e não deu certo !!
sobre a regra default vc tem razão, ela liberado tudo vou excluir ela.
limpei o cache novamente do squid e nada tbm

davidjrsp

Lucas será que vou ter que fazer aqueles esquemas de Certificado no pfsense e instalar nas maquinas ?
não estou usando o squid3-dev e nem proxy transparente.
estou usando proxy autenticado com os usuarios do squid.
o squid que estou usando é o squid3
será que tem como criar uma regra no firewall para o google e gmail e google bussines pasar direto sem sair pelo proxy?

tomaswaldow

Acho que só usa o certificado se for fazer interceptação de HTTPS;

lucaspolli

@davidjrsp:

Lucas será que vou ter que fazer aqueles esquemas de Certificado no pfsense e instalar nas maquinas ?
não estou usando o squid3-dev e nem proxy transparente.
estou usando proxy autenticado com os usuarios do squid.
o squid que estou usando é o squid3
será que tem como criar uma regra no firewall para o google e gmail e google bussines pasar direto sem sair pelo proxy?

sim é possivel criar um bypass, uso essa mesma versao, autenticado e com bypass… porem uso também o squidguard..
va na aba ACL do squid, tem um box whitelist, coloque os sites que precisa ali...

davidjrsp

Oi Lucas também coloquei lá no proxy Whitelist e da a mesma coisa precisa ficar apertando f5 ate autenticar no google, o duro que agente usa o email do google business e o google drive tbm. google sites ou seja estamos todos googlados aqui rsrsrs e att o sso do google precisa ficar apertando f5 umas 6 vezes para poder autenticar

lucaspolli

isso ta parecendo DNS, o seu modem de internet ta em modo bridge? ao inves de ip fixo na WAN deixe como DHCP pata teste… e remova o DNS fixo da configuracao, deixe apenas o do google..

davidjrsp

Bom dia Lucas o modem da GVT está com ip fixo e desativado o DHCP, fiz um teste removendo o squid3 e o squidguard3 deixei só saindo pelo firewall e os serviços do google funcionou normalmente sem erro, ai instale novamente o squid3 e o squidguard3 e volto a dar problemas.

davidjrsp

Log do squid

1407842878.914    278 192.168.1.238 TCP_MISS/503 0 CONNECT accounts.google.com:4                                                                                                                    43 djunior DIRECT/- -
1407842878.918    281 192.168.1.238 TCP_MISS/503 0 CONNECT clients2.google.com:4                                                                                                                    43 djunior DIRECT/- -
1407842878.918    280 192.168.1.238 TCP_MISS/503 0 CONNECT clients2.google.com:4                                                                                                                    43 djunior DIRECT/- -
1407842878.921    281 192.168.1.238 TCP_MISS/503 0 CONNECT mail.google.com:443 d                                                                                                                    junior DIRECT/- -
1407842878.922    286 192.168.1.238 TCP_MISS/503 0 CONNECT apis.google.com:443 d                                                                                                                    junior DIRECT/- -
1407842878.926    290 192.168.1.238 TCP_MISS/503 0 CONNECT chatenabled.mail.goog                                                                                                                    le.com:443 djunior DIRECT/- -
1407842878.926    289 192.168.1.238 TCP_MISS/503 0 CONNECT chatenabled.mail.goog                                                                                                                    le.com:443 djunior DIRECT/- -
1407842878.928    289 192.168.1.238 TCP_MISS/503 0 CONNECT mail-attachment.googl                                                                                                                    eusercontent.com:443 djunior DIRECT/- -
1407842878.928    288 192.168.1.238 TCP_MISS/503 0 CONNECT mail-attachment.googl                                                                                                                    eusercontent.com:443 djunior DIRECT/- -
1407842878.929    288 192.168.1.238 TCP_MISS/503 0 CONNECT www.google.com:443 dj                                                                                                                    unior DIRECT/- -
1407842878.931    293 192.168.1.238 TCP_MISS/503 0 CONNECT lh4.googleusercontent                                                                                                                    .com:443 djunior DIRECT/- -
1407842878.931    292 192.168.1.238 TCP_MISS/503 0 CONNECT lh4.googleusercontent                                                                                                                    .com:443 djunior DIRECT/- -
1407842878.937    296 192.168.1.238 TCP_MISS/503 0 CONNECT ssl.gstatic.com:443 d                                                                                                                    junior DIRECT/- -
1407842889.031  10111 192.168.1.238 TCP_MISS/200 0 CONNECT clients2.google.com:4                                                                                                                    43 djunior DIRECT/64.233.186.100 -
1407842889.036  10118 192.168.1.238 TCP_MISS/200 0 CONNECT accounts.google.com:4                                                                                                                    43 djunior DIRECT/64.233.186.84 -
1407842889.049  10118 192.168.1.238 TCP_MISS/200 0 CONNECT chatenabled.mail.goog                                                                                                                    le.com:443 djunior DIRECT/64.233.186.189 -
1407842889.057  10123 192.168.1.238 TCP_MISS/200 0 CONNECT lh4.googleusercontent                                                                                                                    .com:443 djunior DIRECT/64.233.186.132 -
1407842889.076  10145 192.168.1.238 TCP_MISS/200 0 CONNECT mail-attachment.googl                                                                                                                    eusercontent.com:443 djunior DIRECT/64.233.186.132 -
1407842897.875  19568 192.168.1.238 TCP_MISS/200 3790 CONNECT gmail.com:443 djun                                                                                                                    ior DIRECT/64.233.186.17 -
1407842897.876  19263 192.168.1.238 TCP_MISS/200 3790 CONNECT gmail.com:443 djun                                                                                                                    ior DIRECT/64.233.186.17 -
1407843068.110      0 192.168.1.238 TCP_DENIED/407 3806 CONNECT safebrowsing.goo                                                                                                                    gle.com:443 - NONE/- text/html
1407843068.119      0 192.168.1.238 TCP_DENIED/407 3826 CONNECT alt1-safebrowsin

lucaspolli

503 é erro no servidor (Servico indisponivel), pode postar suas configuracoes do squid?

davidjrsp

Lucas acho que descobri.
marquei a opção Enable this option to force dns v4 lookup first. This option is very usefull if you have problems to access https sites
E aparentemente funcinou belezinha os serviços do google só preciso testar o google driver, mais o email e a intranet que fica no google.com/sites funcionou
estou te mandando os prints

Lucas o que seria o TCP_Miss 200 ?

kleyverson

@davidjrsp said in Tcp miss 503 pfsense Erro ao acessar google, gmail, google app business:

Davi, bom dia. Aonde marcou essa opção?

Att,