HTTPS через SQUID



  • Добрый день.

    Пытаюсь настроить прохождение HTTPS трафика через SQUID. После настроек трафик идет, но при попытке входа на сайт по протоколу https браузеры ругаются на сертификат.
    Настройки и возникающие ошибки на скринах.
    Какие необходимо сделать настройки, чтобы браузеры не ругались на сертификат?

    (PFSense 2.2 Squid3)







  • Вар.1 - установить этот сертификат руками каждому пол-лю.
    Вар.2 - если есть домен, то установить сертификат пол-лям с пом. групповых политик.



  • Сертификат, созданный в System - Cert Manager, закладка CAs я установил.
    Или нужно устанавливать сертификат на который ругается браузер? Но он (браузер) ругается на каждый сайт к которому я пытаюсь получить доступ по https. Не могу же я сертификаты каждого сайта устанавливать :(



  • Сертификат, который сгенерировал в pfsense, нужно экспортировать и устанавливать каждому пользователю. При установке необходимо выбирать Доверенные корневые центры сертификации.



  • В опции remote cert check выбери оба пункта, в опции cert adapt NOT afetr или not before не помню…



  • flagman спасибо!

    заработало вот с такими настройками




  • но следом вылезла еще проблема. Есть у нас удаленный сервер к которому подключаемся по rdp. Теперь при попытке подключения выскакивает сообщение (см вложение.) Куда копать?




  • @MrIgor:

    но следом вылезла еще проблема. Есть у нас удаленный сервер к которому подключаемся по rdp. Теперь при попытке подключения выскакивает сообщение (см вложение.) Куда копать?

    А разве pfsense в этом виноват? Или у вас RDP Web-доступ ?



  • @werter:

    @MrIgor:

    но следом вылезла еще проблема. Есть у нас удаленный сервер к которому подключаемся по rdp. Теперь при попытке подключения выскакивает сообщение (см вложение.) Куда копать?

    А разве pfsense в этом виноват? Или у вас RDP Web-доступ ?

    виноват ) Если https трафик пускать не через squid - все работает нормально. После заворачивания https трафика на squid возникает эта ошибка.

    По поводу RDP over HTTPS:
    This is because port 3389, the port used for RDP connections, is typically blocked for network security purposes at the firewalls. TS-Gateway transmits RDP traffic to port 443 instead, by using an HTTP Secure Sockets Layer/Transport Layer Security (SSL/TLS) tunnel. Because most corporations open port 443 to enable Internet connectivity, TS-Gateway takes advantage of this network design to provide remote access connectivity across multiple firewalls.
    Полный текст:
    http://technet2.microsoft.com/Window…aaf081031.mspx
    Или здесь (буков меньше), читаем только внутри красного квадрата
    http://windowsitpro.com/article/arti...rver-2008.html



  • Да есть такие ошибки, из этой же серии скайп отказывается работать при https прозрачном проксировании, и dropbox и прочее ПО которое требует проверку сертификата. а при шттпс проксировании происходит подмена сертификата, это им и не нравиться. Я думаю нужно копать в сторону функции байпасс для шттпс прокси, в конфиге сквида нужна в секции ssl найти опции которые отвечают за байпасс при соединении с нужным направлением. те будет пропускаться это направление без подмены сертификата, и не будет учитываться и фильтроваться по 443 порту. Можно поступить проще- вообще для этой машины с рдп прописать исключения для всего прокси как шттп так и шттпс, на главной закладка по моему где-то… сейчас пфсенса под рукой нету, но найешь уж.



  • Просто нужно понимать что прозрачное шттпс прокси это взлом содержимого пакетов, атака "человек по середине". шттпс протокол и был создан для того чтоб никто ничего не смог просмотреть. по этому для таких приложений и программ нужно делать байпасс. также ещё нужно для адресов банков онлайн делать байпасс, чтоб ваши юзеры могли безопасно выполнять свои транзакции… хотя у меня банк клиент и подменой сертификата работает, но это не правильно. нужно разграничивать права человека и правила компании. Думаю нужно создать топик "ByPASS HTTPS Proxy"



  • @flagman:

    Можно поступить проще- вообще для этой машины с рдп прописать исключения для всего прокси как шттп так и шттпс, на главной закладка по моему где-то… сейчас пфсенса под рукой нету, но найешь уж.

    Верно.
    Только нужно указывать адрес удаленного сервера в Destination, а не адрес локальной машины в Source. Вроде есть такая возможность в настройках сквида.



  • Согласен, даже можно и в соурс и в дестинейшенс прописать для пущей верности! так как двух стронний процесс



  • Предлагаю высказать предложения по поводу возможных конфигураций ByPASS HTTPS Proxy
    где находить и как правильно прописывать  ::)



  • Вот думаю начинать нужно здесь http://wiki.squid-cache.org/Features/SslBump
    И вот такая же тема https://forum.pfsense.org/index.php?topic=68388.15
    В итоге имеем
    acl ssl_bypass dst 104.66.167.176
    ssl_bump none ssl_bypass



  • Прописал адрес удаленного сервера в поле Proxy server: General settings - Bypass proxy for these destination IPs - заработало.

    Вы выше упоминали skype. Таки да, есть с ним беда. После заворачивания https трафика на squid он не коннектится.
    Вот как с ним быть? Ведь у него точек назначения может быть много.



  • Нда, исходя из обсуждения в теме указанной flagman-ом, я прихожу к выводу, что https через squid - это плохая идея. Проще пустить его через nat и не морочить голову себе и людям…



  • По поводу скайпа, попробуй в самом скайпе принудительно прописать адрес прокси и порт, чтоб скайп был готов к прокси шттпс. Я не успел попробывать это, но прочитал данный рецепт где то, и там был положительный результат. Этот подход должен работать и с другими приложениями. попробуй! только отпишись о результате, не пропадай!



  • Кстати сама идея как реализован прокси шттпс в пфсенсе, даже очень хорошая и удобная, только веб интерфейсе не хватает настройки опции байпасса для ссл подключений



  • @flagman:

    По поводу скайпа, попробуй в самом скайпе принудительно прописать адрес прокси и порт, чтоб скайп был готов к прокси шттпс. Я не успел попробывать это, но прочитал данный рецепт где то, и там был положительный результат. Этот подход должен работать и с другими приложениями. попробуй! только отпишись о результате, не пропадай!

    Попробую по свободе, но бегать по всем машинам домена и настраивать все ПО которое нужно пустить через прокси - согласитесь перспектива не очень радует.



  • @MrIgor:

    @flagman:

    По поводу скайпа, попробуй в самом скайпе принудительно прописать адрес прокси и порт, чтоб скайп был готов к прокси шттпс. Я не успел попробывать это, но прочитал данный рецепт где то, и там был положительный результат. Этот подход должен работать и с другими приложениями. попробуй! только отпишись о результате, не пропадай!

    Попробую по свободе, но бегать по всем машинам домена и настраивать все ПО которое нужно пустить через прокси - согласитесь перспектива не очень радует.

    Group Policy ?


Log in to reply