0
Redirección en Squid por https y autodetección

Open 2 Respuestas 363 Views
Buenos días.

Instalé el pfSense con Squid en la oficina.

Vengo perfecto con las configuraciones y los filtros. Sólo tengo dos dudas para finalizar e implementar.

1- ¿Cómo hago para que los equipos con Windows que tienen configurado "Autodetección de proxy" lo detecten?

2- Configuré los redireccionamientos para que cuando entren a un sitio bloqueado los redireccione a otra página (de error). El problema es que cuando acceden, por ejemplo, a youtube por https (https://www.youtube.com/) no los deja entrar pero tampoco redirecciona, figurando un error de "ERR_TUNNEL_CONNECTION_FAILED".

Gracias por la ayuda que puedan brindarme.

2 Respuestas

0

Hay tres formas de configurarlo, dependiendo de la extension de tu red y de la complejidad de la misma tal vez necesites hacer las dos cosas:

  1. Tenes que configurar en tu DHCP server (o yes, you betcha!) la opcion 252 de dhcp, y apuntarla a una url donde tengas un archivo pac. Obviamente para eso necesitas un archivo PAC, ah, la url tiene que ser http! (http://randomserver.myinternalweirdomain.meh/prxconf.pac), aca tenes varios ejemplos de PACs: https://technet.microsoft.com/en-us/library/cc985335.aspx
  2. Para los Que no usen DHCP, el otro step es DNS based, tenes que agregarle un alias cname al host con el nombre WPAD, para el caso anterior deberias agregar un cname con nombre wpad para el host randomserver.
    • Los pac files deben estar accesibles desde el raiz del webserver.
    • Creo que adicionalmente podes crear una entrada SRV en el dns de nombre wpad o proxy.
  3. La ultima forma, es con un Active Directory, agregar una GPO que setee el valor del la url de autodiscovery de proxy en la configuracion del sistema, y dejar todos los browser seteados a que usen el proxy del sistema, cosa que si mal no recuerdo viene seteado por default en  todos low browsers windowzeros.

That's all folks!

respondido por qlixed (10,630 puntos) Nov 22, 2016
0
Hola!

1. tenés que configurar el uso de WPAD en tu red, asumo que el mismo pfsense que instalaste es el DHCP server, por lo tanto:

https://en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol
https://doc.pfsense.org/index.php/WPAD_Autoconfigure_for_Squid

2. con squid al menos no vas a poder usar https proxy debido a cómo funciona SSL (genéricamente hablando), por lo tanto vas a tener que en principio crear una CA propia y distribuirla a todos los dispositivos que van a enviar tráfico por tu proxy, mas info:
http://wiki.squid-cache.org/Features/HTTPS
http://wiki.squid-cache.org/Features/DynamicSslCert
http://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit

Implica hacer un rebuild del paquete squid de pfsense si o si.

 

Saludos
respondido por Mstaaravin (1,440 puntos) Nov 22, 2016
1Comentarios
comentado por kmai (960 puntos) Ago 1, 2017
Aclaro, hacer SSL Intercept es CPU intensivo. Tenelo en cuenta porque implica abrir cada paquete, y volver a cifrarlo usando tu certificado emitido por un CA en la lista de trusted de tus clientes (o como dijeron arriba, meter tu propio CA en los clientes)
...