HTTPS через SQUID
-
Добрый день.
Пытаюсь настроить прохождение HTTPS трафика через SQUID. После настроек трафик идет, но при попытке входа на сайт по протоколу https браузеры ругаются на сертификат.
Настройки и возникающие ошибки на скринах.
Какие необходимо сделать настройки, чтобы браузеры не ругались на сертификат?(PFSense 2.2 Squid3)
-
Вар.1 - установить этот сертификат руками каждому пол-лю.
Вар.2 - если есть домен, то установить сертификат пол-лям с пом. групповых политик. -
Сертификат, созданный в System - Cert Manager, закладка CAs я установил.
Или нужно устанавливать сертификат на который ругается браузер? Но он (браузер) ругается на каждый сайт к которому я пытаюсь получить доступ по https. Не могу же я сертификаты каждого сайта устанавливать :( -
Сертификат, который сгенерировал в pfsense, нужно экспортировать и устанавливать каждому пользователю. При установке необходимо выбирать Доверенные корневые центры сертификации.
-
В опции remote cert check выбери оба пункта, в опции cert adapt NOT afetr или not before не помню…
-
flagman спасибо!
заработало вот с такими настройками
-
но следом вылезла еще проблема. Есть у нас удаленный сервер к которому подключаемся по rdp. Теперь при попытке подключения выскакивает сообщение (см вложение.) Куда копать?
-
но следом вылезла еще проблема. Есть у нас удаленный сервер к которому подключаемся по rdp. Теперь при попытке подключения выскакивает сообщение (см вложение.) Куда копать?
А разве pfsense в этом виноват? Или у вас RDP Web-доступ ?
-
но следом вылезла еще проблема. Есть у нас удаленный сервер к которому подключаемся по rdp. Теперь при попытке подключения выскакивает сообщение (см вложение.) Куда копать?
А разве pfsense в этом виноват? Или у вас RDP Web-доступ ?
виноват ) Если https трафик пускать не через squid - все работает нормально. После заворачивания https трафика на squid возникает эта ошибка.
По поводу RDP over HTTPS:
This is because port 3389, the port used for RDP connections, is typically blocked for network security purposes at the firewalls. TS-Gateway transmits RDP traffic to port 443 instead, by using an HTTP Secure Sockets Layer/Transport Layer Security (SSL/TLS) tunnel. Because most corporations open port 443 to enable Internet connectivity, TS-Gateway takes advantage of this network design to provide remote access connectivity across multiple firewalls.
Полный текст:
http://technet2.microsoft.com/Window…aaf081031.mspx
Или здесь (буков меньше), читаем только внутри красного квадрата
http://windowsitpro.com/article/arti...rver-2008.html -
Да есть такие ошибки, из этой же серии скайп отказывается работать при https прозрачном проксировании, и dropbox и прочее ПО которое требует проверку сертификата. а при шттпс проксировании происходит подмена сертификата, это им и не нравиться. Я думаю нужно копать в сторону функции байпасс для шттпс прокси, в конфиге сквида нужна в секции ssl найти опции которые отвечают за байпасс при соединении с нужным направлением. те будет пропускаться это направление без подмены сертификата, и не будет учитываться и фильтроваться по 443 порту. Можно поступить проще- вообще для этой машины с рдп прописать исключения для всего прокси как шттп так и шттпс, на главной закладка по моему где-то… сейчас пфсенса под рукой нету, но найешь уж.
-
Просто нужно понимать что прозрачное шттпс прокси это взлом содержимого пакетов, атака "человек по середине". шттпс протокол и был создан для того чтоб никто ничего не смог просмотреть. по этому для таких приложений и программ нужно делать байпасс. также ещё нужно для адресов банков онлайн делать байпасс, чтоб ваши юзеры могли безопасно выполнять свои транзакции… хотя у меня банк клиент и подменой сертификата работает, но это не правильно. нужно разграничивать права человека и правила компании. Думаю нужно создать топик "ByPASS HTTPS Proxy"
-
Можно поступить проще- вообще для этой машины с рдп прописать исключения для всего прокси как шттп так и шттпс, на главной закладка по моему где-то… сейчас пфсенса под рукой нету, но найешь уж.
Верно.
Только нужно указывать адрес удаленного сервера в Destination, а не адрес локальной машины в Source. Вроде есть такая возможность в настройках сквида. -
Согласен, даже можно и в соурс и в дестинейшенс прописать для пущей верности! так как двух стронний процесс
-
Предлагаю высказать предложения по поводу возможных конфигураций ByPASS HTTPS Proxy
где находить и как правильно прописывать ::) -
Вот думаю начинать нужно здесь http://wiki.squid-cache.org/Features/SslBump
И вот такая же тема https://forum.pfsense.org/index.php?topic=68388.15
В итоге имеем
acl ssl_bypass dst 104.66.167.176
ssl_bump none ssl_bypass -
Прописал адрес удаленного сервера в поле Proxy server: General settings - Bypass proxy for these destination IPs - заработало.
Вы выше упоминали skype. Таки да, есть с ним беда. После заворачивания https трафика на squid он не коннектится.
Вот как с ним быть? Ведь у него точек назначения может быть много. -
Нда, исходя из обсуждения в теме указанной flagman-ом, я прихожу к выводу, что https через squid - это плохая идея. Проще пустить его через nat и не морочить голову себе и людям…
-
По поводу скайпа, попробуй в самом скайпе принудительно прописать адрес прокси и порт, чтоб скайп был готов к прокси шттпс. Я не успел попробывать это, но прочитал данный рецепт где то, и там был положительный результат. Этот подход должен работать и с другими приложениями. попробуй! только отпишись о результате, не пропадай!
-
Кстати сама идея как реализован прокси шттпс в пфсенсе, даже очень хорошая и удобная, только веб интерфейсе не хватает настройки опции байпасса для ссл подключений
-
По поводу скайпа, попробуй в самом скайпе принудительно прописать адрес прокси и порт, чтоб скайп был готов к прокси шттпс. Я не успел попробывать это, но прочитал данный рецепт где то, и там был положительный результат. Этот подход должен работать и с другими приложениями. попробуй! только отпишись о результате, не пропадай!
Попробую по свободе, но бегать по всем машинам домена и настраивать все ПО которое нужно пустить через прокси - согласитесь перспектива не очень радует.
