PfSense 2.3 Squid não funciona em sub rede



  • Olá pessoal esse é meu primeiro contato nesse forum.

    Essa é a primeira vez que instalo um PfSense, sempre usei firewall com Slackware Linux, Iptables + Squid;

    Estou tento dificuldade em colocar para funcionar o Squid com sub redes, no meu firewall Slackware funcionava muito bem.

    Na verdade quando coloco as máquinas para navegar sem proxy, usando somente o gateway 192.168.x.2 funciona tudo normal.

    Porem quando ativo proxy nos navegadores somente a rede 192.168.0.0/24 que funciona, as demais sub redes (192.168.2.0/24 e 192.168.130.0/24) essas não navegam através do proxy.

    Minha rede esta assim:

    192.168.0.0/24
    192.168.2.0/24
    192.168.130.0/24

    No PfSense:

    Interfaces:
    WAN: 177.x.x.x/30 (ip fixo)
    LAN: 192.168.0.2/24

    Firewall / Virtual IPs:
    192.168.2.2/24 (LAN)
    192.168.130.2/24 (LAN)

    Squid proxy server:

    • Proxy Interface(s): LAN
    • Allow Users on Interface: On ou Off (já tentei dos duas forma)
    • Allowed Subnets:
      –192.168.2.0/24
      --192.168.130.0/24

    Já tentei com e sem Allowed Subnets, mas não navega tb.



  • Olá Amigo,

    Bem vindo ao fórum, vamos ver se consigo te ajudar :)

    1- Nunca poste o seu ip.
    o ip da sua wan parece valido, sugiro editar esse post e remover ele :)

    2 -  Tente realizar essas configurações e veja se funciona:

    • Em  ACLS, allow subnet coloque dessa forma, em linhas separadas.
      192.168.0.0/24
      192.168.2.0/24
      192.168.130.0/24

    Em General,
    Marque Allow Users on Interface e proxy interface set lan

    Depois sete o proxy nas estações. Veja se o serviço do squid está ativo quando você coloca as subnets.

    3 - Qual o método de autenticação que você está utilizando no squid? Como Você criou os usuários no próprio squid?
    4 - Em Firewall > Rules, você criou uma regra direcionando o trafego para a porta 3128? e outra regra bloqueando o trafego da porta 80 e 443?
    5 - A Conexão com as subnets está funcionando corretamente? você criou uma regra em Firewall > Rules > liberando o trafego para a subnet?

    Abraços,

    Diego



  • Muito obrigado @didonsom

    Bem fiz o que vc falou, na verdade eu já tinha testado dessa forma, mas infelizmente não funcionou.

    1 - Vc esta correto em não postar o IP real, mas essa não é meu IP não OK. Valeu a dica;

    2 - Realizei add o IP 192.168.0.0/24 mas ainda não funcionou;

    3 - Qual o método de autenticação que você está utilizando no squid? Como Você criou os usuários no próprio squid?

    Não estou usando método de autenticação e nem usuários, estou pensando em usar proxy transparente, porem ainda não ativei para realizar teste.

    4 - Em Firewall > Rules, você criou uma regra direcionando o trafego para a porta 3128? e outra regra bloqueando o trafego da porta 80 e 443?

    Ainda não fiz isso pq estou colocando a porta 3128 diretamente nos navegadores dos usuários, mas quando o proxy estiver redondo vou fazer isso sim. Também não bloqueei 80 e 443 pelo mesmo motivo.

    5 - A Conexão com as subnets está funcionando corretamente? você criou uma regra em Firewall > Rules > liberando o trafego para a subnet?

    Olha só, se eu tiro o proxy dos navegadores nas estações, a internet funciona normalmente em todas as subnet. Porem em Firewall / NAT / Outbound foi criado regras automaticamente para todas subnets fazendo NAT da WAN para cada subnet.



  • E então pessoal, ninguém vai conseguir me ajudar :(…

    Terei que voltar para meu velho Slackware?

    Pior que uma coisa tão simples, que nunca precisei preocupar com isso antes. Sempre funcionava com as configurações padrão do Squid.

    Será que existe algum bug nessa versão 2.3 do PfSense?

    Alguém ai esta rodando com subnet usando proxy?

    Tem um Service chamado Squid Reverse Proxy... O que é isso? Não configurei nada nisso.

    Por favor...



  • Acho que dessa forma não vai funcionar, acho que com VLAN e criando uma interface para cada rede.



  • Opa Tomas, a princípio eu tinha começado a tentar fazer através de VLAN, mas o problema que percebi é que VLAN só funciona se tiver um switch gerenciável.

    Ou estou enganado?

    E quando eu usava squid + iptables + ip virtual no Slackware, não precisei de VLAN.

    Me ajude galera, please…



  • Como te falei, no pfSense não vai funcionar dessa forma que usava no Linux.
    Pelo menos até onde eu sei não tem jeito. Também do ponto de vista de rede fica uma bagunça, ideal é VLAN.



  • @carlosvalter:

    percebi é que VLAN só funciona se tiver um switch gerenciável.

    Exatamente.

    @carlosvalter:

    E quando eu usava squid + iptables + ip virtual no Slackware, não precisei de VLAN.

    Esse conceito é segurança por obscuridade. Trazendo para um português mais simples, bagunça mesmo.

    A interface web de configuração do squid pergunta em qual interface quer ouvir, imaginando que você acredita em segmentação de rede.

    Para incrementar o gato de varias subredes no mesmo segmento de rede, você tem duas opções.

    • Fazer um nat do ip virtual2 apontando para o ip em que o squid está ouvindo/localhost

    • Incluir nas custom options a linha do squid.conf que faz o listening da porta 3128



  • Desculpe mas não acho q essa forma de usar sub rede sem switch gerenciável seja "errado", pois existem máscaras para limitar os ranges de IPs e sim posso limitar setores de uma empresa com uso dessas máscaras.

    @marcelloc não deu certo com o Nat q vc sugeriu.

    Bem eu achei uma solução para meu caso específico:

    • Criei os IPs virtuais para cada sub rede, fazendo que o PfSense seja o gateway para cada sub rede (192.168.0.2, 192.168.2.2, 192.168.130.2);

    • No Squid deixei a opção: Allow Users on Interface desmarcada;

    • Nas ACLs do Squid coloquei em Allowed Subnets os IPs da sub redes: (cada um em uma linha)
      192.168.2.0/24
      192.168.130.0/24
      192.168.0.0/24

    • Nas estações, setei o gateway como sendo o PfSense de acordo com a sub rede;

    • Nos navegadores das estações coloquei o proxy sendo sempre o 192.168.0.2 (LAN do PfSense) independente de qual sub rede esteja o proxy sempre será esse.

    Creio q não foi a solução mais elegante, porem resolvi sem o switch gerenciável, pois minha estrutura de rede seria impraticável o uso desse tipo de switch, pq temos diversos switchs espalhados pelo prédio, etc…

    Obrigado a todos, e agora continuarei as configurações.



  • @carlosvalter:

    Creio q não foi a solução mais elegante, porem resolvi sem o switch gerenciável, pois minha estrutura de rede seria impraticável o uso desse tipo de switch, pq temos diversos switchs espalhados pelo prédio, etc…

    Você pode ter apenas uma Switch com suporte a VLAN e fazer a separação das redes nela.


Log in to reply