Problemas con Squid3.4 para dar acceso a HTTPS

eriveroy · Mensaje por **eriveroy** » Mié, 06 Jul 2016, 09:27

Saludos,
Recién instalé y configuré el proxy de mi empresa. La distro es un Debian 8.4. El proxy lo configuré sobre squid 3.4 contra un proxy padre, el de Infomed, que me da servicio. Aparentemente todo funciona bien, la autenticación, la navegación HTTP, FTP, la red de Infomed, a la cual conseguí dar acceso con un tag always_direct y su correspondiente never_direct... pero cuando intento acceder a un sitio sobre HTTPS que no pertenezca a la red de Infomed, que sale por always_direct contra el parent, me dice que no se puede conectar y el access.log me arroja una línea como esta: 1
467647968.175 164 10.14.2.98 TCP_MISS/503 0 CONNECT gutl.jovenclub.cu:443 enriquery HIER_NONE/- -

En cambio, cuando accedo a los sitios sobre HTTPS de la red de infomed, me da acceso y la línea del access.log es así:
1467648037.569 18046 10.14.2.98 TCP_MISS/200 5921 CONNECT admincuentas.sld.cu:443 enriquery HIER_DIRECT/201.220.222.25 -

Por favor, alguien que me ayude...
Gracias.

Mensaje por **hugo** » Mié, 06 Jul 2016, 16:43

Las conexiones por HTTPS se gestionan con CONNECT, revisa bien tus acl.

eriveroy · Mensaje por **eriveroy** » Jue, 07 Jul 2016, 08:17

Gracias, hugo, por tu sugerencia, pero realmente tengo poca experiencia en Squid. Estuve revisndo mis ACL pero no veo nada en ellas que pueda impedir la conexión. Voy a ponerlas en este post y por favor, si puedes ayudarme te lo agradeceré:

Código: Seleccionar todo

acl redlocal src 193.165.20.0/24
acl redsalud dstdomain .sld.cu
acl password proxy_auth REQUIRED
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

Alguien me comentó que quizás tendría que recompilar el Squid con una opción que habilita SSL, pero es que las conexiones https que salen a través del always_direct no tienen ningún problema, solo las que no se incluyen en el dominio .sld.cu

Mensaje por **hugo** » Jue, 07 Jul 2016, 10:11

Bueno, en ese bloque de código que pusiste no veo nada que permita o deniegue el acceso, pero solo quería señalarte que CONNECT es diferente.

Realmente no tengo experiencia usando un proxy padre, de modo que no hay mucho más que pueda decirte, quizás otros puedan ayudarte más.

Lo que no se hasta que punto Squid será capaz de cachear objetos por HTTPS (estas conexiones son encriptadas), de modo que no me extraña mucho el TCP_MISS.

frizquierdo10 · Mensaje por **frizquierdo10** » Mar, 12 Jul 2016, 10:09

A mi me sucedía algo parecido, pero solo para los usuarios de la navegación básica de mi proxy igualmente en los sitios https fuera de la red infomed (sitios que están dentro de la navegación básica). Deberías revisar el tag always_direct, realmente pudiera haber problemas con el proxy padre de infomed en cunato a esto, la realidad que yo declaré always_direct solo para los destinos de mi red local
Ejemplo:

Código: Seleccionar todo

acl all src all
acl servidores_lan dst  192.168.0.0/24 
# o bien las direcciones ip puntuales de los servidores de la lan, y su tubieras servidores en tu lan a los que te conectas por nombres de  dominios, pues declararias un dst_domain
always_direct allow servidores_lan
always direct deny all

Sobre el soporte SSL del Squid, no creo que sea el problema a no ser que le debas pasar algún certificado ssl en el archivo de configuración.
De todos modos, mi squid es viejo: 3.1

Editando:
Sobre el uso de CONNECT, con la configuración que propone el archivo squid.conf inicial es sufciente:

Código: Seleccionar todo

acl SSL_port port 443
acl CONNECT method CONNECT
http_access deny CONNECT !SSL_port

Felipevv · Mensaje por **Felipevv** » Mar, 16 Ago 2016, 16:27

Hermano el error está en la forma en que estas configurando el no usar proxy para la red de infomed:

Prueba esta configuracion y me dices:

chache_peer proxy.sld.cu parent 3128 0 default
cache_peer domain domain proxy.sld.cu !.sld.cu
nonhierarchical_direct off

Felipevv · Mensaje por **Felipevv** » Mar, 23 Ago 2016, 09:27

He escrito 2 veces una respuesta para este tema y no la veo por ningun lado !!!

Mensaje por **hugo** » Mié, 21 Sep 2016, 09:11

Eso ocurre porque los nuevos usuarios están moderados por defecto durante los primeros mensajes.
Una vez que participan más, el propio foro se encarga de pasarlos automáticamente al estado sin moderación, y los mensajes que escriban se publicarán inmediatamente.

julitooo · Mensaje por **julitooo** » Mié, 01 Mar 2017, 13:37

He instalado squid 3 el cual funciona bien con las url http pero cuando trato de entrar a un sitio con https no me lo permite (se quda en blanco). he buscado en google y nada probe con esto
#acl https port 443
#http_access allow https

y todo igual no me deja navegar en estos sitios, tengo un squid 2.6 instalado en modo no trasparente y funciona todo ok trate de hacer esa misma configuracion el squid 3 y nada no me funciona las url HTTPS

Grupo de Usuarios de Tecnologías Libres

Problemas con Squid3.4 para dar acceso a HTTPS

Problemas con Squid3.4 para dar acceso a HTTPS

Re: Problemas con Squid3.4 para dar acceso a HTTPS

Re: Problemas con Squid3.4 para dar acceso a HTTPS

Re: Problemas con Squid3.4 para dar acceso a HTTPS

Re: Problemas con Squid3.4 para dar acceso a HTTPS

Re: Problemas con Squid3.4 para dar acceso a HTTPS

Re: Problemas con Squid3.4 para dar acceso a HTTPS

Re: Problemas con Squid3.4 para dar acceso a HTTPS

Re: Problemas con Squid3.4 para dar acceso a HTTPS