Re: Debain come gateway + squid
Il giorno gio, 24/11/2016 alle 12.48 +0100, Paolo ha scritto: > una wheezy configurata come gateway/proxy (squid) nessun > client riesce a raggiungere: > https://login.microsoftonline.com/ (legato a office365, ma si tratta della stessa razza) Io ho dovuto aggiungere in squid.conf forward_max_tries 25 Nel mio caso il problema sorgeva solo durante l'uso ed era semi-casuale -- Vincenzo Villa http://www.vincenzov.net
Re: Debain come gateway + squid
On 25/11/2016 19:31, Luciano Franchi wrote: > Il 25/11/2016 07:33, Nicola Ferrari (#554252) ha scritto: >> Se squid è autenticato e funziona in maniera non "transparent", non vedo >> nessun problema ad usarlo anche per i siti HTTPS... > non saprei, non mi sembra così banale: qui evidenziano diversi problemi: > http://wiki.squid-cache.org/Features/HTTPS > ma personalmente non li ho mai verificati perchè tengo l'HTTPS fuori > dallo Squid: > ho la sensazione che se l'https mi da un canale sicuro fra server web e > client https, > interrompere questo canale frapponendoci lo Squid sia un pò una > contraddizione in termini. Un attimo... non mi sono spiegato bene. Non intendevo di "intercettare" il traffico HTTPS, cosa possibile peraltro solo se squid è stato compilato con l'opzione SSL_Bump attiva, e quello di debian non è così per default.. Ma bensì di far "transitare" la connessione HTTPS da squid attraverso l'apposito metodo CONNECT, come recita la documentazione: When a browser establishes a CONNECT tunnel through Squid, Access Controls are able to control CONNECT requests, but only limited information is available. With HTTPS, *the above parts are present in encapsulated HTTP requests that flow through the tunnel, but Squid does not have access to those encrypted messages. * La connessione HTTPS non viene spezzata, e per questo motivo, ad esempio, nella richiesta https squid non infila il nome utente... Poi di sicuro non è male anche l'idea di lasciare l'https fuori da squid.. Io lo lascio "dentro" solo perchè mi fa comodo controllare anche quelle connessioni attraverso le ACL di Squid (acl abbinate a gruppi, e quant'altro). Buon weekend! N -- +-+ | Linux User #554252 | +-+
Re: Debain come gateway + squid
On 25/11/2016 16:20, Paolo wrote: > ehm... squid configurato in modo NON transparent > è proprio venerdì... black o non black che sia... > :-) > Sì, avevo capito. Scusa la domanda stupida.. Hai provato a far partire uno di quei client con una live, assegnargli l'IP del caso, e fare un wget direttamente dalla live? Così da togliere di mezzo tutta la configurazione del client e relativo OS... N -- +-+ | Linux User #554252 | +-+
Re: Debain come gateway + squid
Il 25/11/2016 07:33, Nicola Ferrari (#554252) ha scritto: Il 24/11/2016 18:00, Luciano Franchi ha scritto: Controlla bene la configurazione di squid: è altamente probabile che il protocollo https non sia configurato, e di solito è bene che sia così. Dai client punti il server proxy, che può corrispondere o no con il gateway, configurando i parametri di rete all'interno del browser. Se, per esempio, usi Mozilla, controlla se nei parametri di connessione del browser hai un segno di spunta su "Proxy SSL" ed eventualmente toglilo. Se squid è autenticato e funziona in maniera non "transparent", non vedo nessun problema ad usarlo anche per i siti HTTPS... non saprei, non mi sembra così banale: qui evidenziano diversi problemi: http://wiki.squid-cache.org/Features/HTTPS ma personalmente non li ho mai verificati perchè tengo l'HTTPS fuori dallo Squid: ho la sensazione che se l'https mi da un canale sicuro fra server web e client https, interrompere questo canale frapponendoci lo Squid sia un pò una contraddizione in termini. Al di là di tutto, se il sito non si raggiunge nemmeno senza passare per squid, usando la macchina direttamente come gateway senza impostare i client per usare squid, allora credo che possiamo essere tranquilli nell'affermare che squid c'entra poco. A meno che non sia in modalità "transparent", allora tutto cambia, ma da quanto leggo sulla configurazione di Paolo, non mi sembra questo il caso. Sulla macchina wheezy, nella situazione in cui fa solo da gateway, esistono dei log del firewall da poter visionare in tempo reale per capire meglio? Se, dalla macchina wheezy fai wget -qO- login.microsoftonline.com per diversi tentativi consecutivi, vanno sempre tutti a buon fine? Nel senso, non è che per caso a monte c'è una configurazione multi-provider bilanciata o qualcosa del genere per cui gli ip di quel sito per qualche ragione non sono raggiungibili da una montante piuttosto che da un'altra? Buona giornata, Nicola -- Luciano Franchi Modula Informatica Srl Via dell'Alloro 33 F/G 59100 Prato PO Tel.: 0574643599 4 linee r.a. Fax: 0574540479 web: www.modula.net
Re: Debain come gateway + squid
Il 25/11/2016 16:18, Paolo ha scritto: Il 25/11/2016 07:33, Nicola Ferrari (#554252) ha scritto: Se squid è autenticato e funziona in maniera non "transparent", non vedo nessun problema ad usarlo anche per i siti HTTPS... si, squid è configurato in modo transparent, e non ci sono mai stati problemi con siti https ehm... squid configurato in modo NON transparent è proprio venerdì... black o non black che sia... :-) -- P. Solo il dolore insegna cos'è la vita senza il dolore. Achille - Achille piè veloce
Re: Debain come gateway + squid
Il 25/11/2016 07:33, Nicola Ferrari (#554252) ha scritto: Se squid è autenticato e funziona in maniera non "transparent", non vedo nessun problema ad usarlo anche per i siti HTTPS... si, squid è configurato in modo transparent, e non ci sono mai stati problemi con siti https Al di là di tutto, se il sito non si raggiunge nemmeno senza passare per squid, usando la macchina direttamente come gateway senza impostare i client per usare squid, allora credo che possiamo essere tranquilli nell'affermare che squid c'entra poco. A meno che non sia in modalità "transparent", allora tutto cambia, ma da quanto leggo sulla configurazione di Paolo, non mi sembra questo il caso. è quel che pensavo anche io Sulla macchina wheezy, nella situazione in cui fa solo da gateway, esistono dei log del firewall da poter visionare in tempo reale per capire meglio? Se, dalla macchina wheezy fai wget -qO- login.microsoftonline.com si, sempre a buon fine, anche mentre un client sta cercando di caricare la pagina dal browser. I log del firewall (shorewall nel mio caso) mi stanno facendo un po' tribulare, in quanto i log delle policy che sono drop le vedo senza problemi... ma per le eccezioni messe nel file rules... Adesso sto cercando di farle saltare fuori... Buona giornata, Nicola A te ciao e grazie -- P. A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio. Oscar Wilde
Re: Debain come gateway + squid
Il 24/11/2016 18:00, Luciano Franchi ha scritto: > Controlla bene la configurazione di squid: è altamente probabile che il > protocollo https non sia configurato, e di solito è bene che sia così. > Dai client punti il server proxy, che può corrispondere o no con il > gateway, configurando i parametri di rete all'interno del browser. Se, > per esempio, usi Mozilla, controlla se nei parametri di connessione del > browser hai un segno di spunta su "Proxy SSL" ed eventualmente toglilo. > Se squid è autenticato e funziona in maniera non "transparent", non vedo nessun problema ad usarlo anche per i siti HTTPS... Al di là di tutto, se il sito non si raggiunge nemmeno senza passare per squid, usando la macchina direttamente come gateway senza impostare i client per usare squid, allora credo che possiamo essere tranquilli nell'affermare che squid c'entra poco. A meno che non sia in modalità "transparent", allora tutto cambia, ma da quanto leggo sulla configurazione di Paolo, non mi sembra questo il caso. Sulla macchina wheezy, nella situazione in cui fa solo da gateway, esistono dei log del firewall da poter visionare in tempo reale per capire meglio? Se, dalla macchina wheezy fai wget -qO- login.microsoftonline.com per diversi tentativi consecutivi, vanno sempre tutti a buon fine? Nel senso, non è che per caso a monte c'è una configurazione multi-provider bilanciata o qualcosa del genere per cui gli ip di quel sito per qualche ragione non sono raggiungibili da una montante piuttosto che da un'altra? Buona giornata, Nicola -- +-+ | Linux User #554252 | +-+
Re: Debain come gateway + squid
Il 24/11/2016 17:53, Paolo ha scritto: Il 24/11/2016 17:21, Luciano Franchi ha scritto: Sei sicuro che https funzioni bene con squid? si, è lo stesso server da anni e non ha mai dato problemi su nessun sito, a meno che non sia suidguard a bloccarlo. Ma la cosa strana è che questo server lo uso anche da gateway per alcuni client, che quindi non sono sotto squid, ma il problema si presenta identico... Controlla bene la configurazione di squid: è altamente probabile che il protocollo https non sia configurato, e di solito è bene che sia così. Dai client punti il server proxy, che può corrispondere o no con il gateway, configurando i parametri di rete all'interno del browser. Se, per esempio, usi Mozilla, controlla se nei parametri di connessione del browser hai un segno di spunta su "Proxy SSL" ed eventualmente toglilo. -- Luciano
Re: Debain come gateway + squid
Il 24/11/2016 13:48, Paolo ha scritto: > > non sembrano esserci particolari problemi... > > stranissimo... > > grazie > > Ciao, > > un po di tempo fa avevo avuto un problema simile e avevo risolto con questa istruzione: dns_v4_first on prova anche te che magari e' proprio quello Poi un altra cosa, se il tuo proxy fa autenticazione devi inserire delle acl che permettano microsoft prima del passo di autenticazione. su squid oltre le faq c'e' la spiegazione fatta come si deve. -- Mario Vittorio Guenzi E-mail jcl...@tiscali.it Si vis pacem, para bellum ++ | Linux User #286828 | ++ signature.asc Description: OpenPGP digital signature
Re: Debain come gateway + squid
Il 24/11/2016 13:09, Daniele Piccoli ha scritto: E la macchina wheezy lo raggiunge? nslookup login.microsoftonline.com Non-authoritative answer: login.microsoftonline.com canonical name = login.microsoftonline.com.nsatc.net. login.microsoftonline.com.nsatc.net canonical name = aadg.windows.net.nsatc.net. Name: aadg.windows.net.nsatc.net Address: 40.112.64.26 Name: aadg.windows.net.nsatc.net Address: 40.112.64.18 Name: aadg.windows.net.nsatc.net Address: 40.112.64.17 Name: aadg.windows.net.nsatc.net Address: 104.41.216.17 ping login.microsoftonline.com il ping non da risposta, ma non solo dalla macchina wheezy, quindi penso sia normale wget login.microsoftonline.com --2016-11-24 13:47:07-- http://login.microsoftonline.com/ Risoluzione di login.microsoftonline.com (login.microsoftonline.com)... 104.41.216.18, 40.112.64.17, 40.112.64.26, ... Connessione a login.microsoftonline.com (login.microsoftonline.com)|104.41.216.18|:80... connesso. Richiesta HTTP inviata, in attesa di risposta... 302 Found Posizione: https://login.microsoftonline.com:443/ [segue] --2016-11-24 13:47:07-- https://login.microsoftonline.com/ Connessione a login.microsoftonline.com (login.microsoftonline.com)|104.41.216.18|:443... connesso. Richiesta HTTP inviata, in attesa di risposta... 200 OK Lunghezza: 39959 (39K) [text/html] Salvataggio in: "index.html" 100%[==>] 39.959 --.-K/s in 0,04s 2016-11-24 13:47:08 (879 KB/s) - "index.html" salvato [39959/39959] non sembrano esserci particolari problemi... stranissimo... grazie Ciao, -- P. Solo il dolore insegna cos'è la vita senza il dolore. Achille - Achille piè veloce
Re: Debain come gateway + squid
Il 24/11/2016 12:48, Paolo ha scritto: > Ciao a tutti, Ciao > mi capita una cosa abbastanza strana... una wheezy configurata come > gateway/proxy (squid) > > Sia usandola come gateway senza proxy che passando per squid nessun > client riesce a raggiungere: > > https://login.microsoftonline.com/ > > nessun log particolare... E la macchina wheezy lo raggiunge? nslookup login.microsoftonline.com ping login.microsoftonline.com wget login.microsoftonline.com poi vediamo.. > stesso client, unix o windows che sia, senza cavo di rete e collegato in > wireless raggiunge il sito senza nessun problema... Il wireless ha un > gateway un vecchio PIX501... su altra linea... > > qualche idea? > > grazie > > Ciao, > Daniele
Debain come gateway + squid
Ciao a tutti, mi capita una cosa abbastanza strana... una wheezy configurata come gateway/proxy (squid) Sia usandola come gateway senza proxy che passando per squid nessun client riesce a raggiungere: https://login.microsoftonline.com/ nessun log particolare... stesso client, unix o windows che sia, senza cavo di rete e collegato in wireless raggiunge il sito senza nessun problema... Il wireless ha un gateway un vecchio PIX501... su altra linea... qualche idea? grazie Ciao, -- P. Briseide gli accarezzò il braccio e sorrise. "Non c'è bisogno di piangere, Ulisse. Lui sarà immortale" Briseide - Il canto di Troia
