Detección Portal Cautivo Falso - Cisco AnyConnect



  • Estimados tengo un problema y me gustaría vuestro consejo.

    Tengo pfsense en modo transparente mas squid instalado.

    todo bien hasta ahi, pero tengo un "cliente" que tiene una conexion VPN a la cual accedo hacia su red con Cisco VPN AnyConnect, pero al intentar conectar bajo pfsense me dice:

    The service provider in your current location is restricting access to the Internet.
    The AnyConnect protection settings must be lowered for you to log on with the service
    provider. Your current enterprise security policy does not allow this.

    Esto debido a que tiene problemas con un certificado ASA que aun no logran resolver, y por ende cisco piensa que esta bajo un portal cautivo, sin embargo fuera de pfsense si puedo conectarme.

    Como tengo que hacerlo para que el firewall permita un conexión de confianza con el otro servidor remoto?…

    Do not edit manually !
    http_port 192.168.99.1:3128
    http_port 127.0.0.1:3128 transparent
    icp_port 0

    pid_filename /var/run/squid.pid
    cache_effective_user proxy
    cache_effective_group proxy
    error_directory /usr/pbi/squid-amd64/etc/squid/errors/Spanish
    icon_directory /usr/pbi/squid-amd64/etc/squid/icons
    visible_hostname localhost
    cache_mgr admin@localhost
    access_log /var/squid/logs/access.log
    cache_log /var/squid/logs/cache.log
    cache_store_log none
    logfile_rotate 30
    shutdown_lifetime 3 seconds

    Allow local network(s) on interface(s)

    acl localnet src  192.168.99.0/255.255.255.0
    uri_whitespace strip

    cache_mem 8 MB
    maximum_object_size_in_memory 32 KB
    memory_replacement_policy heap GDSF
    cache_replacement_policy heap LFUDA
    cache_dir ufs /var/squid/cache 512 16 256
    minimum_object_size 0 KB
    maximum_object_size 4 KB
    offline_mode off
    cache_swap_low 90
    cache_swap_high 95

    No redirector configured

    Setup some default acls

    acl all src 0.0.0.0/0.0.0.0
    acl localhost src 127.0.0.1/255.255.255.255
    acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901  3128 1025-65535
    acl sslports port 443 563 
    acl manager proto cache_object
    acl purge method PURGE
    acl connect method CONNECT
    acl dynamic urlpath_regex cgi-bin ?
    acl allowed_subnets src 192.168.99.1/24 192.168.0.1/24
    acl blacklist dstdom_regex -i '/var/squid/acl/blacklist.acl'
    cache deny dynamic
    http_access allow manager localhost

    Allow external cache managers

    acl ext_manager_1 src 127.0.0.1
    http_access allow manager ext_manager_1
    acl ext_manager_2 src 192.168.99.1
    http_access allow manager ext_manager_2
     
    http_access deny manager
    http_access allow purge localhost
    http_access deny purge
    http_access deny !safeports
    http_access deny CONNECT !sslports

    Always allow localhost connections

    http_access allow localhost

    request_body_max_size 0 KB
    reply_body_max_size 0 deny all
    delay_pools 1
    delay_class 1 2
    delay_parameters 1 -1/-1 -1/-1
    delay_initial_bucket_level 100
    delay_access 1 allow all

    Custom options

    url_rewrite_program /usr/pbi/squidguard-amd64/bin/squidGuard -c /usr/pbi/squidguard-amd64/etc/squidGuard/squidGuard.conf
    url_rewrite_bypass off
    url_rewrite_children 16 startup=8 idle=4 concurrency=0

    Block access to blacklist domains

    http_access deny blacklist

    Setup allowed acls

    Allow local network(s) on interface(s)

    http_access allow allowed_subnets
    http_access allow localnet

    Default block all to be sure

    http_access deny all



  • Puedes colocar en tu proxy que esa ip destino no pase por el proxy. Ademas deberas de abrir los puertos que tu cliente de VPN utiliza para conectarse.

    Dependiendo de la autenticacion puede variar o no los puertos a utilizar.


Log in to reply