pfSense Support Subscription

Author Topic: Problema con HTTPs a través de squid (autenticando por LDAP)  (Read 270 times)

0 Members and 1 Guest are viewing this topic.

Offline jainalo

  • Newbie
  • *
  • Posts: 1
  • Karma: +0/-0
    • View Profile
Problema con HTTPs a través de squid (autenticando por LDAP)
« on: October 05, 2017, 06:29:43 am »
Buenas, saludos a todos. Soy nuevo en el foro  :)

Tengo el pfsense configurado como proxy no transparente, también tenía squidguard para filtrar pero de momento lo he desactivado para ir descartando donde está el problema.
Digamos que tengo configurado Squid y a un determinado rango de IPs le permite navegar sin autenticar. En este caso no se reproduce el problema.

Sin embargo, si navego por otro rango de IPs, donde Pfsense me obliga a autenticar (en mi caso por LDAP), se da el caso que las webs que utilizan SSL / TLS como por ejemplo los bancos, Pfsense me marca en los logs como TCP_DENIED las URLs donde se llevan a cabo la validación de los certificados SSL.

Esto sería un ejemplo:
Code: [Select]
TCP_DENIED/407 http://ocsp.godaddy.com//MEgwRjBEMEIwQDAJBgUrDgMCGgUABBS2CA1fbGt26xPkOKX4ZguoUjM0TgQUQMK9J47MNIMwojPX%2B2yz8LQsgM4CBwQLTfEGABM%3D - -
TCP_DENIED/407 http://crl.godaddy.com/gdroot-g2.crl - -
TCP_DENIED/407 http://ocsp.godaddy.com//MEIwQDA%2BMDwwOjAJBgUrDgMCGgUABBQdI2%2BOBkuXH93foRUj4a7lAr4rGwQUOpqFBxBnKLbv9r0FQW4gwZTaD94CAQc%3D - -
TCP_DENIED/407 http://crl.godaddy.com/gdroot.crl - -
TCP_DENIED/407 http://ocsp.godaddy.com//MEQwQjBAMD4wPDAJBgUrDgMCGgUABBTkIInKBAzXkF0Qh0pel3lfHJ9GPAQU0sSw0pHUTBFxs2HLPaH%2B3ahq1OMCAxvnFQ%3D%3D
TCP_DENIED/407 http://crl4.digicert.com/DigiCertBaltimoreCA-2G2.crl - -
TCP_DENIED/407 http://crl3.digicert.com/DigiCertBaltimoreCA-2G2.crl - -
TCP_DENIED/407 http://ocsp.digicert.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBTuqL92L3tjkN67RNFF%2FEdvT6NEzAQUwBKyKHRoRmfpcCV0GgBFWwZ9XEQCEAtZKGtXipg0DWe9lnl2T%2Bc%3D - -
TCP_DENIED/407 http://crl3.digicert.com/Omniroot2025.crl - -
TCP_DENIED/407 http://ocsp.digicert.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBTBL0V27RVZ7LBduom%2FnYB45SPUEwQU5Z1ZMIJHWMys%2BghUNoZ7OrUETfACEAGC%2BAmOouYmuRo7J4Qfua8%3D - -

Debido a este problema, en el navegador suele mostrar un mensaje de advertencia que da por saco (no sale siempre, pero casi siempre):

En el caso de internet explorer el mensaje es este:
Code: [Select]
La información de revocación del certificado de seguridad de este sitio no está disponible ¿ Desea continuar ?

Como se puede apreciar arriba, en dichas páginas no me pone el usuario con el que me he validado por LDAP, simplemente me deniega a todo ese tipo de páginas donde se validan los certificados SSL de las páginas web con HTTPS

No tengo nada en el Blacklist. En el firewall tengo bloqueado el tráfico HTTP/HTTPS, es decir sólo se puede navegar a través del proxy squid.

Sé que en el navegador se puede deshabilitar que haga dicha comprobación de revocación de certificados pero me gustaría no hacer eso, ya que el problema viene cuando accedo a internet con Squid validando con LDAP.

¿ Alguien sabe como solucionar este problema ?
Si voy añadiendo esas webs en Whitelist el squid no las deniega validando por LDAP, pero me parece una solución chapucera.

Gracias,
Un saludo.

Offline RenatoSoft

  • Newbie
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Re: Problema con HTTPs a través de squid (autenticando por LDAP)
« Reply #1 on: November 10, 2017, 12:07:19 pm »
Llegaste a solucionarlo ?, tengo el mismo inconveniente. Revisando foros me dice que actualice la versión del Squid, pero ya tengo actualizado todo el PFSense al 2.4.1.

Offline periko

  • Hero Member
  • *****
  • Posts: 1166
  • Karma: +17/-1
  • pheriko
    • View Profile
    • Soporte de Pfsense y Linux
Re: Problema con HTTPs a través de squid (autenticando por LDAP)
« Reply #2 on: November 15, 2017, 01:05:26 am »
Hola, muestra la config de squid.

A que te refieres a otro rango de IP's?

Saludos.
Necesitan Soporte de Pfsense en Mexico?/Need Pfsense Support in Mexico?
https://www.facebook.com/BajaOpenSolutions
Estamos en Tijuana, pero no es obstaculo para brindarte nuestro servicio.
We are in Tijuana, but is not an obstacle to give you support.

Offline jose leonardo marcano

  • Newbie
  • *
  • Posts: 8
  • Karma: +0/-0
    • View Profile
Re: Problema con HTTPs a través de squid (autenticando por LDAP)
« Reply #3 on: November 27, 2017, 09:46:11 am »
Hola,

saludos, pudieron solucionarlo?

Tengo el mismo incoveniente en mi caso los clientes se configuran atraves de WPAD, pero se presenta el msimo incoveniente a los que les solicita la autenticacion presentan problemas con las paginas https.

Offline periko

  • Hero Member
  • *****
  • Posts: 1166
  • Karma: +17/-1
  • pheriko
    • View Profile
    • Soporte de Pfsense y Linux
Re: Problema con HTTPs a través de squid (autenticando por LDAP)
« Reply #4 on: November 27, 2017, 01:56:20 pm »
 El post original habla de LDAP como autenticador, pero las paginas en el log no presentan las credenciales username/password.
 Muchas veces los navegadores no envian las credenciales de auth y los proxy por ello la bloquea.
 
 Esos sitios pongalos en lista blanca.

 Y sin config difiil aportar algo ma, saludos.
Necesitan Soporte de Pfsense en Mexico?/Need Pfsense Support in Mexico?
https://www.facebook.com/BajaOpenSolutions
Estamos en Tijuana, pero no es obstaculo para brindarte nuestro servicio.
We are in Tijuana, but is not an obstacle to give you support.