No puedo recibir en Outlook y no abre totalmente páginas https
-
Hola a Todos
Bueno tengo instalado pfsense + squid (trasparente con HTTPS) +SquidGuard y dos conexiones a internet.
Todo funciona más o menos bien pero tengo dos inconvenientes:
El primero es con Outlook, salen los correos pero no entran.
El segundo es que algunas páginas HTTPS no abren totalmente a pesar de tenerlas en SquidGuard Target Rules List con total acceso , además en squid excluidas en Bypass proxy for these source IPs y Bypass proxy for these destination IPsHe probado saltándo el proxy en el equipo de pruebas y no funciona, pero si conecto el equipo directamente a internet funciona todo sin problemas.
Que puede estar pasando para que mi Pfsense no funcione bien
Espero que me puedan ayudar
-
Primero prueba tu instalación sin pasar por squid+squidGuard
Outlook –> ¿El programa o vía web? ¿Qué tipo de cuenta de correo? ¿SMTP/POP3? ¿O IMAP?
¿Dos conexiones? ¿Estás haciendo agrupamiento de puertas?
Revisa el MTU que tienes. Ver sección Hardware de este foro.
-
Hola y gracias por responder tan rápidamente
Bueno desactive el squid+squidGuard y continua el problema , ojo pero si salgo directamente desde mi conexión de internet funciona perfecto
Uso El programa Outlook por POP3
Las dos conexiones están en agrupamiento
El MUT es de 1500 -
POP3, TCP 110
POP3 SSL, TCP 995Asegúrate de que tus reglas en LAN permiten ir a esos destinos. Nada a ver con squid. No es navegación.
Si no navegas desde un equipo en LAN puede ser que:
-
No tengas bien las reglas LAN.
-
No tengas correctas las puertas en System - Routing - Gateways y/o los agrupamientos.
-
Que estés solapando rangos de red en las interfases de pfSense.
-
Que no tengas bien configurada la resolución DNS en Services - DNS Resolver y/o System - General Setup
-
-
El segundo es que algunas páginas HTTPS no abren totalmente
Olvidaba esto… A https no le gustan los agrupamientos de puertas. Envíalo por una única puerta.
Y squid NO funciona con agrupamiento de puertas, que yo sepa. Sale siempre por la puerta por defecto. Emplea un pfSense para proxy y otro como balanceador, si precisas esto. pfSense físicos o virtuales, como mejor te vaya.
Son dos temas arduamente tratados en este foro.
-
Hola de nuevo,
El equipo navega bien desde mi LAN a excepción de algunas HTTPS y de Outlook lo que fue motivo de mi post
Las reglas que tengo son:Proto Source Port Destination Port Gateway Queue
IPv4TCP/UDP LAN_CDAT net 110 (POP3) * 110 (POP3) GW_media none
IPv4TCP/UDP LAN_CDAT net * * * GW_media noneGW_media es la por default
Ya quite los agrupamientos de Gateway y nada Outlook no se conecta -
Teniendo una regla que autorizas todo por defecto (la segunda), carece de sentido poner una regla para POP3.
Además, el puerto de origen es aleatorio. Tendría que ser asterisco.
Eso tendría que ir. Y cuando se indica la default suele dejarse sin nada, con asterisco.
Si no va y en cambio con un equipo directo al enrutador de internet sí funciona algún tema hay por medio.
Haz test de MTU según lo que se explica en nuestra sección de Hardware. Si las páginas https bajan a medias y los pop3 no van, parece que algo pasa con las interfases de red.
¿Qué rangos de subredes estás manejando?
-
Bueno
Les cuento que hice por si a alguien le llegare a pasar:
Teniendo en cuenta los comentarios del MAESTRO Bellera. (Gracias a sus escritos, fue lo que me motivo a usar este grandioso Firewall).Primero lo de la algunas páginas HTTPS. Efectivamente a este protocolo no le va bien con el agrupamiento de GW, por lo cual lo que hice fue crear un alias con las páginas en que me generaban problemas (ya que no eran todas) y las enrute por la puerta de enlace por default. Y todo ;)
Ahora con respecto a que no se conectaba a mi servidor de correo, después tratar de cambiar el MTU (lo cual no encontré o entendí como hacerlo desde Ubutun o directamente desde PFsense) opte por cambiar la tarjeta de red y funciona.
Me quedo una duda, Squid no funciona con agrupamiento de puertas, (no es para generar discusiones) pero revisando el tráfico de mis WAN encuentro que existe tráfico de entrada y de salida por ambas por ambas, me queda una prueba por hacer que es desconectar la GW default haber que pasaGracias a todos
8) -
Con respecto a que no se conectaba a mi servidor de correo, después tratar de cambiar el MTU (lo cual no encontré o entendí como hacerlo desde Ubuntu o directamente desde PFsense) opte por cambiar la tarjeta de red y funciona.
Hiciste lo correcto. Una placa que no negocia bien el MTU no es un buena placa…
Actualicé https://forum.pfsense.org/index.php/topic,21812.msg113545.html#msg113545 para cubrir el test para Unix/Linux.
Simplemente se trata de probar con paquetes sin fragmentación de 1500 hacia abajo hasta ver cuando responde.
Ejemplo para Unix/Linux en el que respondió para MTU 1472 contra 8.8.8.8
ping -M do -s 1472 8.8.8.8
-
Squid no funciona con agrupamiento de puertas, pero revisando el tráfico de mis WAN encuentro que existe tráfico de entrada y de salida por ambas
Normal. Por squid sólo pasa la navegación web. Y según como lo tengas implementado puede que tampoco pase toda (si es transparente o no, si gestiona https o no…)
El tráfico que NO pasa por squid saldrá según las puertas que tengas puestas en las reglas que tengas en LAN.
Diagnostics - States filtrando por ESTABLISHED:ESTABLISHED te permitirá ver por donde van las conexiones (activas).