[Resolvido] WPAD não funciona
-
Fiz as configurações de wpad exatamente como no tutorial http://www.pfsense-br.org/blog/2013/12/configuracao-wpad-no-pfsense-2-1/
A única diferença é que usei a última versão do PfSense, 2.2.1
Alguém já usou WPAD ou tem alguma solução similar, no caso preciso filtrar conteúdos HTTPS
-
Sim, utilizo em todas as instalação que faço, sem problemas.
Faz dois testes ai para descobrirmos onde esta o problema
teste http://ipdopfsense/proxy.pac se pedir para abrir seu arquivo esta correto.
Próximo passa colocar o script de configuração manualmente. Se funcionar o problema esta no DHCP e/ou DNS, senão o problema é o seu arquivo de script que está errado.
-
Alguém já usou WPAD ou tem alguma solução similar, no caso preciso filtrar conteúdos HTTPS
Veja, só um conceito, no caso não é filtrar conteúdo HTTPs, pois só com interceptação você consegue ver o tráfego, no caso é bloquear URLs de sites que usam HTTPs.
Sobre o WPAD, tente fazer um: "ping wpad" e veja se está respondendo, pois se não estiver tem problema de DNS ou sufixo de DNS pois as máquinas tem que ter o mesmo "dominio". Confere se o DHCP está entregando o sufixo de dns para as estações.
-
Alguém já usou WPAD ou tem alguma solução similar, no caso preciso filtrar conteúdos HTTPS
Veja, só um conceito, no caso não é filtrar conteúdo HTTPs, pois só com interceptação você consegue ver o tráfego, no caso é bloquear URLs de sites que usam HTTPs.
Sobre o WPAD, tente fazer um: "ping wpad" e veja se está respondendo, pois se não estiver tem problema de DNS ou sufixo de DNS pois as máquinas tem que ter o mesmo "dominio". Confere se o DHCP está entregando o sufixo de dns para as estações.
Primeiramente obrigado pela dica.
sim o ping esta respondendo normalmente.
-
Sim, utilizo em todas as instalação que faço, sem problemas.
Faz dois testes ai para descobrirmos onde esta o problema
teste http://ipdopfsense/proxy.pac se pedir para abrir seu arquivo esta correto.
Próximo passa colocar o script de configuração manualmente. Se funcionar o problema esta no DHCP e/ou DNS, senão o problema é o seu arquivo de script que está errado.
Fiz o teste http://wpad.dominio.com.br/proxy.pac e sim pediu pra abrir ou salvar o arquivo.
configurei o proxy manualmente no mozila firefox e não bloqueou paginas HTTPS.
-
Vc configurou o proxy ip e porta? E mesmo assim não bloqueou?
-
Vc configurou o proxy ip e porta? E mesmo assim não bloqueou?
Configurei endereço proxy: wpad.dominio.com.br porta: 3128 e não bloqueou
-
tentei agora com o endereço IP na configurações de proxy e também não bloqueou HTTPS, só HTTP
Exemplo:
HTTP PROXY: 192.168.1.1 Port: 3128
-
Verifica em proxy server guia real time se está passando mesmo pelo proxy.
-
Verifica em proxy server guia real time se está passando mesmo pelo proxy.
Esta sim, até porque sites HTTP ele bloqueia normalmente e faz o controle de banda tbm.
-
Aparecem os sites com a porta 443 ou só as portas 80??
-
Sites HTTP ele abre normalmente e quando tem algum endereço que consta na black list ele bloqueia normalmente. Agora sites HTTPS abrem normalmente tbm, porém quando deveria ser bloqueado não bloqueia.
por exemplo: quando o usuário tenta abrir um site pornográfico o site é bloqueado, ai o usuário coloca o protocolo HTTPS no lugar de HTTP e consegue acessar. porque o proxy não consegue bloquear o site HTTPS.
-
Mostre a tela do log onde esse site HTTPs está passando pelo proxy. Me parece que não está.
-
Mostre a tela do log onde esse site HTTPs está passando pelo proxy. Me parece que não está.
Realmente analisando a os logs na aba "Real Time" do "proxy server" nenhum site https está passando pelo proxy.
-
uma dúvida … eu preciso desativar o proxy transparente para o WPAD funcionar?
-
Não precisa, mas eu recomendo desligar, e fazer regras de firewall permitindo somente os serviços/portas necessárias, assim as portas 80/443 não ficam abertas para os usuários que por acaso desmarquem ou não recebam as configurações de proxy.
-
Entendi mas no momento ainda não vou poder fazer isto pq o wpad não esta entregando as configurações de proxy. Nem configurando o proxy manualmente o protocolo 443 não passa pelo proxy
-
Se está configurado manualmente tem que passar ou não navega.
Tem como postar a tela com a configuração de proxy no navegador? -
Aí os prints da configuração do proxy no navegador
 -
Parece estar certo. Não sei o que te dizer sem ver seu ambiente.
-
Minhas configurações de proxy
Sera que pode ser algum problema de versão?
Alguém usa esta versão 3 do squid ?
-
Mesmo com o proxy manualmente não filtra HTTPS??
-
Pior que não. Já to quase desistindo e migrando pra um linux mesmo.
-
Já fez uma instalação limpa em ambiente de teste para validar?
Não me parece problema do pfSense. -
Se mesmo colocando o proxy manualmente e não esta passando pelo squid tem algo errado na sua rede. Não tem outro Gateway instalado ai? Libera só a porta 3128 ou bloqueia a 80 e 443 da interface LAN, pois ai teremos certeza que tem que passar pelo proxy.
-
pedrootero Eu utilizo proxy transparente aqui versão PF 2.1.5 e squid3.
Fiz um teste apenas para simular o ambiente. No squidguard eu bloqueie a categoria movies. Utilizando um mesmo computador deixei o Chrome sem proxy e o Mozilla com proxy setado.
Utilizando o Chrome o tráfego passa normalmente para o youtube https, mas no Mozilla não, é bloqueado.
-
Use o tcpdump para ver o trafego passando. Acredito que seu wpad não está correto.
Se estiver configurado errado, não vai funcionar em nenhum sistema operacional, seja ele linux ou BSD.
Recomendo bloquear porta 80 e 443 na lan do firewall para o ip dessa sua máquina de teste.
Tenho wpad funcionando em várias redes sem maiores dificuldades.
Lembrando que o filtro de https sem interceptação só funciona com acesso ao proxy configurado (na mão ou automático) e apenas para o host digitado, não na url.
ex: https://www.youtube.com pode ser bloqueado
https://www.youtube.com/canal_da_empresa não pode ser bloqueado ou liberado sem interceptação do ssl -
Já fez uma instalação limpa em ambiente de teste para validar?
Não me parece problema do pfSense.É uma instalação limpa, instalei para colocar em produção e como não consegui resolver e não tinha muito tempo coloquei em produção sem conseguir bloquear o HTTPS mesmo.
Mas de qualquer forma vou testar com outra instalação e outra versão -
Se mesmo colocando o proxy manualmente e não esta passando pelo squid tem algo errado na sua rede. Não tem outro Gateway instalado ai? Libera só a porta 3128 ou bloqueia a 80 e 443 da interface LAN, pois ai teremos certeza que tem que passar pelo proxy.
Fiz o bloqueio da porta 443 para testar e realmente com o proxy transparente não abriu nada HTTPS. Ai setei as configurações de proxy no navegador passou a abrir os HTTPS e mesmo assim não bloqueou os sites que estavam sendo bloqueados no HTTP. Muito estranho…
-
Ai setei as configurações de proxy no navegador passou a abrir os HTTPS e mesmo assim não bloqueou os sites que estavam sendo bloqueados no HTTP. Muito estranho…
O que mostra os logs do squid?
-
Use o tcpdump para ver o trafego passando. Acredito que seu wpad não está correto.
Se estiver configurado errado, não vai funcionar em nenhum sistema operacional, seja ele linux ou BSD.
Recomendo bloquear porta 80 e 443 na lan do firewall para o ip dessa sua máquina de teste.
Tenho wpad funcionando em várias redes sem maiores dificuldades.
Lembrando que o filtro de https sem interceptação só funciona com acesso ao proxy configurado (na mão ou automático) e apenas para o host digitado, não na url.
ex: https://www.youtube.com pode ser bloqueado
https://www.youtube.com/canal_da_empresa não pode ser bloqueado ou liberado sem interceptação do sslmarcelloc sobre o bloqueio do HTTPS com o proxy setado no navegador vc matou o erro. Desculpem minha ignorância. Foi um erro bobo meu. Estava testando para a URL que realmente não funciona(não sabia disto), mas para o domínio funciona sim o domínio que esta na blacklist realmente não abre. Porém não aparece a mensagem do squid como aparece nos sites HTTP "Request denied by pfSense proxy: 403 Forbidden". Apenas não carrega a pagina, não sei se isso é normal, mas enfim funciona com domínios.
Agora já sobre o WPAD, realmente deve estar configurado errado pois não entrega a configuração automática nos navegadores. Apesar de ter feito exatamente igual a esse http://www.pfsense-br.org/blog/2013/12/configuracao-wpad-no-pfsense-2-1/
-
Confere se sufixo de DNS. Por exemplo, a máquina tem que ter o mesmo dominio do pfSense.
Faça um teste de uma máquina com: "ping wpad" se está respondendo para testar se o DNS funciona. -
Pingando normal
-
Faça o teste colocando a URL do script no navegador lá em conexões > configurações da LAN > Usar Script de configuração automática.
coloque a url do arquivo wpad que vc criou
ex: http://ipdopfsense/proxy.pac
se abrir popup, significa que seu script está ok. o que deve estar faltando são as opções adicionais no DHCP além dos arquivos dentro de /usr/local/www
-
Porém não aparece a mensagem do squid como aparece nos sites HTTP "Request denied by pfSense proxy: 403 Forbidden". Apenas não carrega a pagina, não sei se isso é normal
Absolutamente normal. Como ele não pode entrar na comunicação para mostrar uma tela de erro, ele rejeita a conexão.
-
Absolutamente normal. Como ele não pode entrar na comunicação para mostrar uma tela de erro, ele rejeita a conexão.
Entendi. Obrigado por me esclarecer marcelloc. Esta sendo de muita ajuda.
-
Faça o teste colocando a URL do script no navegador lá em conexões > configurações da LAN > Usar Script de configuração automática.
coloque a url do arquivo wpad que vc criou
ex: http://ipdopfsense/proxy.pac
se abrir popup, significa que seu script está ok. o que deve estar faltando são as opções adicionais no DHCP além dos arquivos dentro de /usr/local/www
Fiz o teste não funcionou, somente esta bloqueando quando seta as configurações de proxy no navegado com o endereço IP do proxy.
Mas se eu digitar o wpad.dominio.com.br/proxy.pac no browser ele faz o download do arquivo certinho.
Acredito que o conteúdo do script possa estar errado.
-
Alguém tem algum outro exemplo de script para WPAD? para que eu possa testar.
-
Alguém tem algum outro exemplo de script para WPAD? para que eu possa testar.
Cara, gravei uma aula falando só sobre isso. Se quiser se aprofundar na ferramenta, recomendo.
-
Obrigado marcelloc
