[Resolvido] WPAD não funciona



  • Fiz as configurações de wpad exatamente como no tutorial    http://www.pfsense-br.org/blog/2013/12/configuracao-wpad-no-pfsense-2-1/

    A única diferença é que usei a última versão do PfSense, 2.2.1

    Alguém já usou WPAD ou tem alguma solução similar, no caso preciso filtrar conteúdos HTTPS



  • Sim, utilizo em todas as instalação que faço, sem problemas.

    Faz dois testes ai para descobrirmos onde esta o problema

    teste http://ipdopfsense/proxy.pac se pedir para abrir seu arquivo esta correto.

    Próximo passa colocar o script de configuração manualmente. Se funcionar o problema esta no DHCP e/ou DNS, senão o problema é o seu arquivo de script que está errado.



  • @pedrootero:

    Alguém já usou WPAD ou tem alguma solução similar, no caso preciso filtrar conteúdos HTTPS

    Veja, só um conceito, no caso não é filtrar conteúdo HTTPs, pois só com interceptação você consegue ver o tráfego, no caso é bloquear URLs de sites que usam HTTPs.

    Sobre o WPAD, tente fazer um: "ping wpad" e veja se está respondendo, pois se não estiver tem problema de DNS ou sufixo de DNS pois as máquinas tem que ter o mesmo "dominio". Confere se o DHCP está entregando o sufixo de dns para as estações.



  • @Tomas:

    @pedrootero:

    Alguém já usou WPAD ou tem alguma solução similar, no caso preciso filtrar conteúdos HTTPS

    Veja, só um conceito, no caso não é filtrar conteúdo HTTPs, pois só com interceptação você consegue ver o tráfego, no caso é bloquear URLs de sites que usam HTTPs.

    Sobre o WPAD, tente fazer um: "ping wpad" e veja se está respondendo, pois se não estiver tem problema de DNS ou sufixo de DNS pois as máquinas tem que ter o mesmo "dominio". Confere se o DHCP está entregando o sufixo de dns para as estações.

    Primeiramente obrigado pela dica.

    sim o ping esta respondendo normalmente.



  • @reinaldo.feitosa:

    Sim, utilizo em todas as instalação que faço, sem problemas.

    Faz dois testes ai para descobrirmos onde esta o problema

    teste http://ipdopfsense/proxy.pac se pedir para abrir seu arquivo esta correto.

    Próximo passa colocar o script de configuração manualmente. Se funcionar o problema esta no DHCP e/ou DNS, senão o problema é o seu arquivo de script que está errado.

    Fiz o teste  http://wpad.dominio.com.br/proxy.pac e sim pediu pra abrir ou salvar o arquivo.

    configurei o proxy manualmente no mozila firefox e não bloqueou paginas HTTPS.



  • Vc configurou o proxy ip e porta? E mesmo assim não bloqueou?



  • @reinaldo.feitosa:

    Vc configurou o proxy ip e porta? E mesmo assim não bloqueou?

    Configurei endereço proxy: wpad.dominio.com.br porta: 3128 e não bloqueou



  • tentei agora com o endereço IP na configurações de proxy e também não bloqueou HTTPS, só HTTP

    Exemplo:

    HTTP PROXY: 192.168.1.1 Port: 3128



  • Verifica em proxy server guia real time se está passando mesmo pelo proxy.



  • @reinaldo.feitosa:

    Verifica em proxy server guia real time se está passando mesmo pelo proxy.

    Esta sim, até porque sites HTTP ele bloqueia normalmente e faz o controle de banda tbm.



  • Aparecem os sites com a porta 443 ou só as portas 80??



  • Sites HTTP ele abre normalmente e quando tem algum endereço que consta na black list ele bloqueia normalmente. Agora sites HTTPS abrem normalmente tbm, porém quando deveria ser bloqueado não bloqueia.

    por exemplo: quando o usuário tenta abrir um site pornográfico o site é bloqueado, ai o usuário coloca o protocolo HTTPS no lugar de HTTP e consegue acessar. porque o proxy não consegue bloquear o site HTTPS.



  • Mostre a tela do log onde esse site HTTPs está passando pelo proxy. Me parece que não está.



  • @Tomas:

    Mostre a tela do log onde esse site HTTPs está passando pelo proxy. Me parece que não está.

    Realmente analisando a os logs na aba "Real Time" do "proxy server" nenhum site https está passando pelo proxy.



  • uma dúvida … eu preciso desativar o proxy transparente para o WPAD funcionar?



  • Não precisa, mas eu recomendo desligar, e fazer regras de firewall permitindo somente os serviços/portas necessárias, assim as portas 80/443 não ficam abertas para os usuários que por acaso desmarquem ou não recebam as configurações de proxy.



  • Entendi mas no momento ainda não vou poder fazer isto pq o wpad não esta entregando as configurações de proxy. Nem configurando o proxy manualmente o  protocolo 443 não passa pelo proxy



  • Se está configurado manualmente tem que passar ou não navega.
    Tem como postar a tela com a configuração de proxy no navegador?



  • Aí os prints da configuração do proxy no navegador

    ![proxy chrome.jpg](/public/imported_attachments/1/proxy chrome.jpg)
    ![proxy chrome.jpg_thumb](/public/imported_attachments/1/proxy chrome.jpg_thumb)
    ![proxy firefox.jpg](/public/imported_attachments/1/proxy firefox.jpg)
    ![proxy firefox.jpg_thumb](/public/imported_attachments/1/proxy firefox.jpg_thumb)



  • Parece estar certo. Não sei o que te dizer sem ver seu ambiente.



  • Minhas configurações de proxy

    Sera que pode ser algum problema de versão?

    Alguém usa esta versão 3 do squid ?










  • Mesmo com o proxy manualmente não filtra HTTPS??



  • Pior que não. Já to quase desistindo e migrando pra um linux mesmo.



  • Já fez uma instalação limpa em ambiente de teste para validar?
    Não me parece problema do pfSense.



  • Se mesmo colocando o proxy manualmente e não esta passando pelo squid tem algo errado na sua rede. Não tem outro Gateway instalado ai? Libera só a porta 3128 ou bloqueia a 80 e 443 da interface LAN, pois ai teremos certeza que tem que passar pelo proxy.



  • pedrootero Eu utilizo proxy transparente aqui versão PF 2.1.5 e squid3.

    Fiz um teste apenas para simular o ambiente. No squidguard eu bloqueie a categoria movies. Utilizando um mesmo computador deixei o Chrome sem proxy e o Mozilla com proxy setado.

    Utilizando o Chrome o tráfego passa normalmente para o youtube https, mas no Mozilla não, é bloqueado.






  • Use o tcpdump para ver o trafego passando. Acredito que seu wpad não está correto.

    Se estiver configurado errado, não vai funcionar em nenhum sistema operacional, seja ele linux ou BSD.

    Recomendo bloquear porta 80 e 443 na lan do firewall para o ip dessa sua máquina de teste.

    Tenho wpad funcionando em várias redes sem maiores dificuldades.

    Lembrando que o filtro de https sem interceptação só funciona com acesso ao proxy configurado (na mão ou automático) e apenas para o host digitado, não na url.

    ex: https://www.youtube.com pode ser bloqueado
          https://www.youtube.com/canal_da_empresa não pode ser bloqueado ou liberado sem interceptação do ssl



  • @Tomas:

    Já fez uma instalação limpa em ambiente de teste para validar?
    Não me parece problema do pfSense.

    É uma instalação limpa, instalei para colocar em produção e como não consegui resolver e não tinha muito tempo coloquei em produção sem conseguir bloquear o HTTPS mesmo.
    Mas de qualquer forma vou testar com outra instalação e outra versão



  • @reinaldo.feitosa:

    Se mesmo colocando o proxy manualmente e não esta passando pelo squid tem algo errado na sua rede. Não tem outro Gateway instalado ai? Libera só a porta 3128 ou bloqueia a 80 e 443 da interface LAN, pois ai teremos certeza que tem que passar pelo proxy.

    Fiz o bloqueio da porta 443 para testar e realmente com o proxy transparente não abriu nada HTTPS. Ai setei as configurações de proxy no navegador passou a abrir os HTTPS e mesmo assim não bloqueou os sites que estavam sendo bloqueados no HTTP. Muito estranho…



  • @pedrootero:

    Ai setei as configurações de proxy no navegador passou a abrir os HTTPS e mesmo assim não bloqueou os sites que estavam sendo bloqueados no HTTP. Muito estranho…

    O que mostra os logs do squid?



  • @marcelloc:

    Use o tcpdump para ver o trafego passando. Acredito que seu wpad não está correto.

    Se estiver configurado errado, não vai funcionar em nenhum sistema operacional, seja ele linux ou BSD.

    Recomendo bloquear porta 80 e 443 na lan do firewall para o ip dessa sua máquina de teste.

    Tenho wpad funcionando em várias redes sem maiores dificuldades.

    Lembrando que o filtro de https sem interceptação só funciona com acesso ao proxy configurado (na mão ou automático) e apenas para o host digitado, não na url.

    ex: https://www.youtube.com pode ser bloqueado
          https://www.youtube.com/canal_da_empresa não pode ser bloqueado ou liberado sem interceptação do ssl

    marcelloc sobre o bloqueio do HTTPS com o proxy setado no navegador vc matou o erro. Desculpem minha ignorância. Foi um erro bobo meu. Estava testando para a URL que realmente não funciona(não sabia disto), mas para o domínio funciona sim o domínio que esta na blacklist realmente não abre. Porém não aparece a mensagem do squid como aparece nos sites HTTP "Request denied by pfSense proxy: 403 Forbidden". Apenas não carrega a pagina, não sei se isso é normal, mas enfim funciona com domínios.

    Agora já sobre o WPAD, realmente deve estar configurado errado pois não entrega a configuração automática nos navegadores. Apesar de ter feito exatamente igual a esse http://www.pfsense-br.org/blog/2013/12/configuracao-wpad-no-pfsense-2-1/



  • Confere se sufixo de DNS. Por exemplo, a máquina tem que ter o mesmo dominio do pfSense.
    Faça um teste de uma máquina com: "ping wpad" se está respondendo para testar se o DNS funciona.



  • Pingando normal



  • Faça o teste colocando a URL do script no navegador  lá em conexões > configurações da LAN > Usar Script de configuração automática.

    coloque a url do arquivo wpad que vc criou

    ex:  http://ipdopfsense/proxy.pac

    se abrir popup, significa que seu script está ok.  o que deve estar faltando são as opções adicionais no DHCP além dos arquivos dentro de /usr/local/www



  • @pedrootero:

    Porém não aparece a mensagem do squid como aparece nos sites HTTP "Request denied by pfSense proxy: 403 Forbidden". Apenas não carrega a pagina, não sei se isso é normal

    Absolutamente normal. Como ele não pode entrar na comunicação para mostrar uma tela de erro, ele rejeita a conexão.



  • @marcelloc:

    Absolutamente normal. Como ele não pode entrar na comunicação para mostrar uma tela de erro, ele rejeita a conexão.

    Entendi. Obrigado por me esclarecer marcelloc. Esta sendo de muita ajuda.



  • @victorfmaraujo:

    Faça o teste colocando a URL do script no navegador  lá em conexões > configurações da LAN > Usar Script de configuração automática.

    coloque a url do arquivo wpad que vc criou

    ex:  http://ipdopfsense/proxy.pac

    se abrir popup, significa que seu script está ok.  o que deve estar faltando são as opções adicionais no DHCP além dos arquivos dentro de /usr/local/www

    Fiz o teste não funcionou, somente esta bloqueando quando seta as configurações de proxy no navegado com o endereço IP do proxy.

    Mas se eu digitar o wpad.dominio.com.br/proxy.pac no browser ele faz o download do arquivo certinho.

    Acredito que o conteúdo do script possa estar errado.



  • Alguém tem algum outro exemplo de script para WPAD? para que eu possa testar.



  • @pedrootero:

    Alguém tem algum outro exemplo de script para WPAD? para que eu possa testar.

    Cara, gravei uma aula falando só sobre isso. Se quiser se aprofundar na ferramenta, recomendo.

    http://www.sys-squad.com/sys/curso/48



  • Obrigado marcelloc


Log in to reply