Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    [Resolvido] WPAD não funciona

    Portuguese
    6
    46
    4819
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      pedrootero last edited by

      Fiz as configurações de wpad exatamente como no tutorial    http://www.pfsense-br.org/blog/2013/12/configuracao-wpad-no-pfsense-2-1/

      A única diferença é que usei a última versão do PfSense, 2.2.1

      Alguém já usou WPAD ou tem alguma solução similar, no caso preciso filtrar conteúdos HTTPS

      1 Reply Last reply Reply Quote 0
      • R
        reinaldo.feitosa last edited by

        Sim, utilizo em todas as instalação que faço, sem problemas.

        Faz dois testes ai para descobrirmos onde esta o problema

        teste http://ipdopfsense/proxy.pac se pedir para abrir seu arquivo esta correto.

        Próximo passa colocar o script de configuração manualmente. Se funcionar o problema esta no DHCP e/ou DNS, senão o problema é o seu arquivo de script que está errado.

        1 Reply Last reply Reply Quote 0
        • T
          tomaswaldow last edited by

          @pedrootero:

          Alguém já usou WPAD ou tem alguma solução similar, no caso preciso filtrar conteúdos HTTPS

          Veja, só um conceito, no caso não é filtrar conteúdo HTTPs, pois só com interceptação você consegue ver o tráfego, no caso é bloquear URLs de sites que usam HTTPs.

          Sobre o WPAD, tente fazer um: "ping wpad" e veja se está respondendo, pois se não estiver tem problema de DNS ou sufixo de DNS pois as máquinas tem que ter o mesmo "dominio". Confere se o DHCP está entregando o sufixo de dns para as estações.

          Tomas @ 2W Consultoria

          1 Reply Last reply Reply Quote 0
          • P
            pedrootero last edited by

            @Tomas:

            @pedrootero:

            Alguém já usou WPAD ou tem alguma solução similar, no caso preciso filtrar conteúdos HTTPS

            Veja, só um conceito, no caso não é filtrar conteúdo HTTPs, pois só com interceptação você consegue ver o tráfego, no caso é bloquear URLs de sites que usam HTTPs.

            Sobre o WPAD, tente fazer um: "ping wpad" e veja se está respondendo, pois se não estiver tem problema de DNS ou sufixo de DNS pois as máquinas tem que ter o mesmo "dominio". Confere se o DHCP está entregando o sufixo de dns para as estações.

            Primeiramente obrigado pela dica.

            sim o ping esta respondendo normalmente.

            1 Reply Last reply Reply Quote 0
            • P
              pedrootero last edited by

              @reinaldo.feitosa:

              Sim, utilizo em todas as instalação que faço, sem problemas.

              Faz dois testes ai para descobrirmos onde esta o problema

              teste http://ipdopfsense/proxy.pac se pedir para abrir seu arquivo esta correto.

              Próximo passa colocar o script de configuração manualmente. Se funcionar o problema esta no DHCP e/ou DNS, senão o problema é o seu arquivo de script que está errado.

              Fiz o teste  http://wpad.dominio.com.br/proxy.pac e sim pediu pra abrir ou salvar o arquivo.

              configurei o proxy manualmente no mozila firefox e não bloqueou paginas HTTPS.

              1 Reply Last reply Reply Quote 0
              • R
                reinaldo.feitosa last edited by

                Vc configurou o proxy ip e porta? E mesmo assim não bloqueou?

                1 Reply Last reply Reply Quote 0
                • P
                  pedrootero last edited by

                  @reinaldo.feitosa:

                  Vc configurou o proxy ip e porta? E mesmo assim não bloqueou?

                  Configurei endereço proxy: wpad.dominio.com.br porta: 3128 e não bloqueou

                  1 Reply Last reply Reply Quote 0
                  • P
                    pedrootero last edited by

                    tentei agora com o endereço IP na configurações de proxy e também não bloqueou HTTPS, só HTTP

                    Exemplo:

                    HTTP PROXY: 192.168.1.1 Port: 3128

                    1 Reply Last reply Reply Quote 0
                    • R
                      reinaldo.feitosa last edited by

                      Verifica em proxy server guia real time se está passando mesmo pelo proxy.

                      1 Reply Last reply Reply Quote 0
                      • P
                        pedrootero last edited by

                        @reinaldo.feitosa:

                        Verifica em proxy server guia real time se está passando mesmo pelo proxy.

                        Esta sim, até porque sites HTTP ele bloqueia normalmente e faz o controle de banda tbm.

                        1 Reply Last reply Reply Quote 0
                        • R
                          reinaldo.feitosa last edited by

                          Aparecem os sites com a porta 443 ou só as portas 80??

                          1 Reply Last reply Reply Quote 0
                          • P
                            pedrootero last edited by

                            Sites HTTP ele abre normalmente e quando tem algum endereço que consta na black list ele bloqueia normalmente. Agora sites HTTPS abrem normalmente tbm, porém quando deveria ser bloqueado não bloqueia.

                            por exemplo: quando o usuário tenta abrir um site pornográfico o site é bloqueado, ai o usuário coloca o protocolo HTTPS no lugar de HTTP e consegue acessar. porque o proxy não consegue bloquear o site HTTPS.

                            1 Reply Last reply Reply Quote 0
                            • T
                              tomaswaldow last edited by

                              Mostre a tela do log onde esse site HTTPs está passando pelo proxy. Me parece que não está.

                              Tomas @ 2W Consultoria

                              1 Reply Last reply Reply Quote 0
                              • P
                                pedrootero last edited by

                                @Tomas:

                                Mostre a tela do log onde esse site HTTPs está passando pelo proxy. Me parece que não está.

                                Realmente analisando a os logs na aba "Real Time" do "proxy server" nenhum site https está passando pelo proxy.

                                1 Reply Last reply Reply Quote 0
                                • P
                                  pedrootero last edited by

                                  uma dúvida … eu preciso desativar o proxy transparente para o WPAD funcionar?

                                  1 Reply Last reply Reply Quote 0
                                  • T
                                    tomaswaldow last edited by

                                    Não precisa, mas eu recomendo desligar, e fazer regras de firewall permitindo somente os serviços/portas necessárias, assim as portas 80/443 não ficam abertas para os usuários que por acaso desmarquem ou não recebam as configurações de proxy.

                                    Tomas @ 2W Consultoria

                                    1 Reply Last reply Reply Quote 0
                                    • P
                                      pedrootero last edited by

                                      Entendi mas no momento ainda não vou poder fazer isto pq o wpad não esta entregando as configurações de proxy. Nem configurando o proxy manualmente o  protocolo 443 não passa pelo proxy

                                      1 Reply Last reply Reply Quote 0
                                      • T
                                        tomaswaldow last edited by

                                        Se está configurado manualmente tem que passar ou não navega.
                                        Tem como postar a tela com a configuração de proxy no navegador?

                                        Tomas @ 2W Consultoria

                                        1 Reply Last reply Reply Quote 0
                                        • P
                                          pedrootero last edited by

                                          Aí os prints da configuração do proxy no navegador

                                          ![proxy chrome.jpg](/public/imported_attachments/1/proxy chrome.jpg)
                                          ![proxy chrome.jpg_thumb](/public/imported_attachments/1/proxy chrome.jpg_thumb)
                                          ![proxy firefox.jpg](/public/imported_attachments/1/proxy firefox.jpg)
                                          ![proxy firefox.jpg_thumb](/public/imported_attachments/1/proxy firefox.jpg_thumb)

                                          1 Reply Last reply Reply Quote 0
                                          • T
                                            tomaswaldow last edited by

                                            Parece estar certo. Não sei o que te dizer sem ver seu ambiente.

                                            Tomas @ 2W Consultoria

                                            1 Reply Last reply Reply Quote 0
                                            • P
                                              pedrootero last edited by

                                              Minhas configurações de proxy

                                              Sera que pode ser algum problema de versão?

                                              Alguém usa esta versão 3 do squid ?








                                              1 Reply Last reply Reply Quote 0
                                              • R
                                                reinaldo.feitosa last edited by

                                                Mesmo com o proxy manualmente não filtra HTTPS??

                                                1 Reply Last reply Reply Quote 0
                                                • P
                                                  pedrootero last edited by

                                                  Pior que não. Já to quase desistindo e migrando pra um linux mesmo.

                                                  1 Reply Last reply Reply Quote 0
                                                  • T
                                                    tomaswaldow last edited by

                                                    Já fez uma instalação limpa em ambiente de teste para validar?
                                                    Não me parece problema do pfSense.

                                                    Tomas @ 2W Consultoria

                                                    1 Reply Last reply Reply Quote 0
                                                    • R
                                                      reinaldo.feitosa last edited by

                                                      Se mesmo colocando o proxy manualmente e não esta passando pelo squid tem algo errado na sua rede. Não tem outro Gateway instalado ai? Libera só a porta 3128 ou bloqueia a 80 e 443 da interface LAN, pois ai teremos certeza que tem que passar pelo proxy.

                                                      1 Reply Last reply Reply Quote 0
                                                      • A
                                                        avner_ads last edited by

                                                        pedrootero Eu utilizo proxy transparente aqui versão PF 2.1.5 e squid3.

                                                        Fiz um teste apenas para simular o ambiente. No squidguard eu bloqueie a categoria movies. Utilizando um mesmo computador deixei o Chrome sem proxy e o Mozilla com proxy setado.

                                                        Utilizando o Chrome o tráfego passa normalmente para o youtube https, mas no Mozilla não, é bloqueado.




                                                        1 Reply Last reply Reply Quote 0
                                                        • marcelloc
                                                          marcelloc last edited by

                                                          Use o tcpdump para ver o trafego passando. Acredito que seu wpad não está correto.

                                                          Se estiver configurado errado, não vai funcionar em nenhum sistema operacional, seja ele linux ou BSD.

                                                          Recomendo bloquear porta 80 e 443 na lan do firewall para o ip dessa sua máquina de teste.

                                                          Tenho wpad funcionando em várias redes sem maiores dificuldades.

                                                          Lembrando que o filtro de https sem interceptação só funciona com acesso ao proxy configurado (na mão ou automático) e apenas para o host digitado, não na url.

                                                          ex: https://www.youtube.com pode ser bloqueado
                                                                https://www.youtube.com/canal_da_empresa não pode ser bloqueado ou liberado sem interceptação do ssl

                                                          Treinamentos de Elite: http://sys-squad.com

                                                          Help a community developer! ;D

                                                          1 Reply Last reply Reply Quote 0
                                                          • P
                                                            pedrootero last edited by

                                                            @Tomas:

                                                            Já fez uma instalação limpa em ambiente de teste para validar?
                                                            Não me parece problema do pfSense.

                                                            É uma instalação limpa, instalei para colocar em produção e como não consegui resolver e não tinha muito tempo coloquei em produção sem conseguir bloquear o HTTPS mesmo.
                                                            Mas de qualquer forma vou testar com outra instalação e outra versão

                                                            1 Reply Last reply Reply Quote 0
                                                            • P
                                                              pedrootero last edited by

                                                              @reinaldo.feitosa:

                                                              Se mesmo colocando o proxy manualmente e não esta passando pelo squid tem algo errado na sua rede. Não tem outro Gateway instalado ai? Libera só a porta 3128 ou bloqueia a 80 e 443 da interface LAN, pois ai teremos certeza que tem que passar pelo proxy.

                                                              Fiz o bloqueio da porta 443 para testar e realmente com o proxy transparente não abriu nada HTTPS. Ai setei as configurações de proxy no navegador passou a abrir os HTTPS e mesmo assim não bloqueou os sites que estavam sendo bloqueados no HTTP. Muito estranho…

                                                              1 Reply Last reply Reply Quote 0
                                                              • marcelloc
                                                                marcelloc last edited by

                                                                @pedrootero:

                                                                Ai setei as configurações de proxy no navegador passou a abrir os HTTPS e mesmo assim não bloqueou os sites que estavam sendo bloqueados no HTTP. Muito estranho…

                                                                O que mostra os logs do squid?

                                                                Treinamentos de Elite: http://sys-squad.com

                                                                Help a community developer! ;D

                                                                1 Reply Last reply Reply Quote 0
                                                                • P
                                                                  pedrootero last edited by

                                                                  @marcelloc:

                                                                  Use o tcpdump para ver o trafego passando. Acredito que seu wpad não está correto.

                                                                  Se estiver configurado errado, não vai funcionar em nenhum sistema operacional, seja ele linux ou BSD.

                                                                  Recomendo bloquear porta 80 e 443 na lan do firewall para o ip dessa sua máquina de teste.

                                                                  Tenho wpad funcionando em várias redes sem maiores dificuldades.

                                                                  Lembrando que o filtro de https sem interceptação só funciona com acesso ao proxy configurado (na mão ou automático) e apenas para o host digitado, não na url.

                                                                  ex: https://www.youtube.com pode ser bloqueado
                                                                        https://www.youtube.com/canal_da_empresa não pode ser bloqueado ou liberado sem interceptação do ssl

                                                                  marcelloc sobre o bloqueio do HTTPS com o proxy setado no navegador vc matou o erro. Desculpem minha ignorância. Foi um erro bobo meu. Estava testando para a URL que realmente não funciona(não sabia disto), mas para o domínio funciona sim o domínio que esta na blacklist realmente não abre. Porém não aparece a mensagem do squid como aparece nos sites HTTP "Request denied by pfSense proxy: 403 Forbidden". Apenas não carrega a pagina, não sei se isso é normal, mas enfim funciona com domínios.

                                                                  Agora já sobre o WPAD, realmente deve estar configurado errado pois não entrega a configuração automática nos navegadores. Apesar de ter feito exatamente igual a esse http://www.pfsense-br.org/blog/2013/12/configuracao-wpad-no-pfsense-2-1/

                                                                  1 Reply Last reply Reply Quote 0
                                                                  • T
                                                                    tomaswaldow last edited by

                                                                    Confere se sufixo de DNS. Por exemplo, a máquina tem que ter o mesmo dominio do pfSense.
                                                                    Faça um teste de uma máquina com: "ping wpad" se está respondendo para testar se o DNS funciona.

                                                                    Tomas @ 2W Consultoria

                                                                    1 Reply Last reply Reply Quote 0
                                                                    • P
                                                                      pedrootero last edited by

                                                                      Pingando normal

                                                                      1 Reply Last reply Reply Quote 0
                                                                      • V
                                                                        victorfmaraujo last edited by

                                                                        Faça o teste colocando a URL do script no navegador  lá em conexões > configurações da LAN > Usar Script de configuração automática.

                                                                        coloque a url do arquivo wpad que vc criou

                                                                        ex:  http://ipdopfsense/proxy.pac

                                                                        se abrir popup, significa que seu script está ok.  o que deve estar faltando são as opções adicionais no DHCP além dos arquivos dentro de /usr/local/www

                                                                        1 Reply Last reply Reply Quote 0
                                                                        • marcelloc
                                                                          marcelloc last edited by

                                                                          @pedrootero:

                                                                          Porém não aparece a mensagem do squid como aparece nos sites HTTP "Request denied by pfSense proxy: 403 Forbidden". Apenas não carrega a pagina, não sei se isso é normal

                                                                          Absolutamente normal. Como ele não pode entrar na comunicação para mostrar uma tela de erro, ele rejeita a conexão.

                                                                          Treinamentos de Elite: http://sys-squad.com

                                                                          Help a community developer! ;D

                                                                          1 Reply Last reply Reply Quote 0
                                                                          • P
                                                                            pedrootero last edited by

                                                                            @marcelloc:

                                                                            Absolutamente normal. Como ele não pode entrar na comunicação para mostrar uma tela de erro, ele rejeita a conexão.

                                                                            Entendi. Obrigado por me esclarecer marcelloc. Esta sendo de muita ajuda.

                                                                            1 Reply Last reply Reply Quote 0
                                                                            • P
                                                                              pedrootero last edited by

                                                                              @victorfmaraujo:

                                                                              Faça o teste colocando a URL do script no navegador  lá em conexões > configurações da LAN > Usar Script de configuração automática.

                                                                              coloque a url do arquivo wpad que vc criou

                                                                              ex:  http://ipdopfsense/proxy.pac

                                                                              se abrir popup, significa que seu script está ok.  o que deve estar faltando são as opções adicionais no DHCP além dos arquivos dentro de /usr/local/www

                                                                              Fiz o teste não funcionou, somente esta bloqueando quando seta as configurações de proxy no navegado com o endereço IP do proxy.

                                                                              Mas se eu digitar o wpad.dominio.com.br/proxy.pac no browser ele faz o download do arquivo certinho.

                                                                              Acredito que o conteúdo do script possa estar errado.

                                                                              1 Reply Last reply Reply Quote 0
                                                                              • P
                                                                                pedrootero last edited by

                                                                                Alguém tem algum outro exemplo de script para WPAD? para que eu possa testar.

                                                                                1 Reply Last reply Reply Quote 0
                                                                                • marcelloc
                                                                                  marcelloc last edited by

                                                                                  @pedrootero:

                                                                                  Alguém tem algum outro exemplo de script para WPAD? para que eu possa testar.

                                                                                  Cara, gravei uma aula falando só sobre isso. Se quiser se aprofundar na ferramenta, recomendo.

                                                                                  http://www.sys-squad.com/sys/curso/48

                                                                                  Treinamentos de Elite: http://sys-squad.com

                                                                                  Help a community developer! ;D

                                                                                  1 Reply Last reply Reply Quote 0
                                                                                  • P
                                                                                    pedrootero last edited by

                                                                                    Obrigado marcelloc

                                                                                    1 Reply Last reply Reply Quote 0
                                                                                    • First post
                                                                                      Last post