from:"Leandro Alves"

Re: [FUG-BR] Squid OK, tilt depois de setar como transparente

2010-02-02 Por tôpico Leandro Alves

Ricardo,

Não sei se isso mudou, mas o squid não permite autenticação em modo
transparente.
Faça o seguinte teste:
Configura um browser para usar o proxy IP 192.168.9.10, porta 3128 e
verificar se o erro persiste.

Abs,

Leandro Alves



Em 28 de janeiro de 2010 17:18, Ricardo Souza ricardo.so...@ti.cmtsp.com.br
 escreveu:

 E ai galera, blz?
 Configurei um squid aqui integrado com AD .
 Estava em fase experimental, somente eu defini o IP e a porta no meu
 browser e validei a configuracao.
 Hoje fui colocar em producao.
 Mudei o squid.conf para ser transparent e fiz um RDR no meu GW jogando
 para o IP do squid.
 Apos isso só obtenho TCP_DENIED.
 Alguem pode me ajudar?

 Segue meu squid.conf

 http_port 3128 transparent
 #http_port 192.168.9.10:3128
 icp_port 3130
 hierarchy_stoplist cgi-bin ?
 #acl QUERY urlpath_regex cgi-bin ?
 #no_cache deny QUERY
 #cache_mem 1500 MB
 #cache_swap_low 90
 #cache_swap_high 95
 #maximum_object_size 9216 KB
 #ipcache_size 1024
 #ipcache_low 90
 #ipcache_high 95
 #fqdncache_size 1024
 #cache_replacement_policy lru
 #memory_replacement_policy lru
 #cache_dir ufs /usr/local/squid/cache 2500 16 100
 cache_access_log /usr/local/squid/logs/access.log
 cache_store_log none

 # As linhas abaixo se referem a autenticacao de users no AD
 auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -R
 -b dc=domain -D cn=squid,ou=Internet,dc=autopass -w senha -f
 sAMAccountName=%s -h 192.168.9.12 -p 389


 auth_param basic realm Este acesso será registrado Digite sua login e senha
 auth_param basic children 5
 auth_param basic credentialsttl 15 minutes

 emulate_httpd_log on
 mime_table /usr/local/etc/squid/mime.conf
 pid_filename /usr/local/squid/logs/squid.pid
 ftp_user f...@autopass.com.br
 ftp_passive on
 #unlinkd_program /usr/local/squid/libexec/unlinkd

 # ACL externa para autenticação nas bases LDAP do PDC

 external_acl_type ldap_group children=30 %LOGIN
 /usr/local/libexec/squid/squid_ldap_group -v 3  -R -b DC=domain -D
 cn=squid,ou=Internet,DC=autopass -w senha -f
 ((objectclass=person) (sAMAccountName=%v)
 (memberof=cn=%a,ou=Internet,dc=autopass))  -h 192.168.9.12 -p 389


 #acl all src 0.0.0.0/0.0.0.0
 acl rede_local dst 192.168.9.0/24
 acl lan src 192.168.9.0/24
 acl rede_mpls dst 10.100.0.0/16

 acl manager proto cache_object
 acl localhost src 127.0.0.1/255.255.255.255
 acl SSL_ports port 443 563 9141
 acl Safe_ports port 80 # http
 acl Safe_ports port 81
 acl Safe_ports port 82
 acl Safe_ports port 85
 acl Safe_ports port 9443
 acl Safe_ports port 21 # ftp
 acl Safe_ports port 443 563 # https, snews
 acl Safe_ports port 70 # gopher
 acl Safe_ports port 210 # wais
 acl Safe_ports port 1025-65535 # unregistered ports
 acl Safe_ports port 280 # http-mgmt
 acl Safe_ports port 488 # gss-http
 acl Safe_ports port 591 # filemaker
 acl Safe_ports port 777 # multiling http
 acl CONNECT method CONNECT

 # A acl abaixo faz bloqueio de acesso por IP
 #acl block_ip src /usr/local/squid/etc/ips_bloqueados

 # A ACL abaixo efetua bloqueio do MSN
 #acl dst_msn dstdomain -i /usr/local/squid/etc/msn_domain

 # A ACL abaixo barra download de arquivos com extensões exe mp3 wma
 wmv mpg avi asf
 acl block_arq urlpath_regex -i  .com$ .exe$ .scr$ .mp3$ .mpeg$  .wma$
 .wmv$ .mpg$ .avi$ .pif$

 #acl palavra_download url_regex -i
 /usr/local/squid/etc/palavra_download-url

 # As ACLs abaixo relaxam o controle de conteúdo das 12:00 as 13:30
 # Inserir os sites a serem liberados das 12 as 13 no arquivo
 /usr/local/squid/etc/libera_almoco
 #acl libera_sites url_regex -i /usr/local/squid/etc/libera_almoco
 #sites de libera_almoco
 #acl almoco time SMTWHFA 12:00-13:30
  #libera  acesso  das  12 as 13:30 #de segunda a domingo.

 # A ACL abaixo libera alguns sites para acesso sem autenticacao
 # Lista possui os dominios da empresa, bancos e alguns sites de parceiros
 acl acesso_restrito dstdomain -i
 /usr/local/squid/sites_acesso_restrito.txt # Libera alguns sites
 p/user s/acesso

 # ACL com sites permitidos para Acesso Padrao
 acl acesso_padrao dstdomain -i /usr/local/squid/sites_acesso_padrao.txt

 # ACLs de Controle de Conteúdo
 #acl dominio_bloqueado dstdomain -i /usr/local/squid/etc/block_dominio
 acl dominio_liberado dstdomain  -i /usr/local/squid/libera_dominio
 #acl sex url_regex -i /usr/local/squid/etc/porno
 #acl nosex url_regex -i /usr/local/squid/etc/naoporno



 #bloquer AD/banners
 acl ads dstdom_regex /usr/local/squid/ad_block.txt
 http_access deny ads


 # ACLs_ACTIVE_DIRECTORY
 #Grupo Acesso Restrito
 acl ldapAcessoRestrito external ldap_group AcessoRestrito
 #Grupo Acesso Padrao
 acl ldapAcessoPadrao external ldap_group AcessoPadrao
 #Grupo Acesso Total
 acl ldapAcessoTotal external ldap_group AcessoTotal
 #Grupo Acesso Download
 acl ldapAcessoDownload external ldap_group AcessoDownload

 # A ACL abaixo desbloqueia download para o grupo AcessoPadrao
 #acl download_url url_regex /usr/local/squid/etc/libera_download-url

 http_access deny !Safe_ports
 http_access deny CONNECT

[FUG-BR] OpenVPN Multiplas Configurações e IP SEC

2010-01-30 Por tôpico Leandro Alves

Pessoal,

Tenho dois clientes aqui da empresa que tem servidores diferentes de VPN.
O Cliente A usa IPSEC
O Cliente B usa OpenVPN
Tenho uma máquina linux com Openswan para o IPSEC e OpenVPN funcionado.
Mas quero substitur por FreeBSD e montar um servidor com OpenVPN também.
Qual cliente para IPSEC vocês me recomendam?
É possíver ter configuração para Cliente e Servidor usando OpenVPN na mesma
máquina?

Segue abaixo a estrutura atual:

Cliente A  
IPSEC  |
|
 Linux --- Rede Interna
|
Cliente B  |
OpenVPN

Abs,

Leandro Alves
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] OpenVPN

2010-01-30 Por tôpico Leandro Alves

Pessoal,

Configurei um OpenVPN como cliente para fazer lan to lan e estou com o
seguinte problema:
A máquina tem duas interfaces físicas de rede e está da seguinte forma:
xl0  = 10.10.xxx.1
fxp0 = 201.76.xxx.180
tun0 = 192.168.xxx.9

A máquina configurada como cliente pegou o ip 192.168.xxx.9, da própria
máquina eu consigo fazer um ping para 192.168.xxx.21.
Mas de outra máquina da rede (10.10.xxx.0/8) eu não consigo.
Utilizando o tcpdump eu vejo que os pacotes chegam a interface tun0:

vpnclient# tcpdump -n -i tun0

14:58:54.716345 IP 10.10.xxx.83  192.168.xxx.21: ICMP echo request, id
11021, seq 832, length 64
14:58:55.724336 IP 10.10.xxx.83  192.168.xxx.21: ICMP echo request, id
11021, seq 833, length 64
14:58:56.733312 IP 10.10.xxx.83  192.168.xxx.21: ICMP echo request, id
11021, seq 834, length 64

 e no rc.conf eu tenho a opção:
gateway_enable=YES

Utilizo o pf, mas não coloquei restrição nenhuma justamente detectar o
problema.
Será que está faltando alguma regra de nat?
Meu pf.conf está assim (só enquanto detecto o problema claro)

int_if=xl0
vpn_if=tun0
ext_if=fxp0

pass in all
pass out all
pass all

Alguém tem alguma idéia?

Abs,

Leandro Alves
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] OpenVPN

2010-01-30 Por tôpico Leandro Alves

Pessoal,

Configurei um OpenVPN como cliente para fazer lan to lan e estou com o
seguinte problema:
A máquina tem duas interfaces físicas de rede e está da seguinte forma:
xl0  = 10.10.xxx.1
fxp0 = 201.76.xxx.180
tun0 = 192.168.xxx.9

A máquina configurada como cliente pegou o ip 192.168.xxx.9, da própria
máquina eu consigo fazer um ping para 192.168.xxx.21.
Mas de outra máquina da rede (10.10.xxx.0/8) eu não consigo.
Utilizando o tcpdump eu vejo que os pacotes chegam a interface tun0:

vpnclient# tcpdump -n -i tun0

14:58:54.716345 IP 10.10.xxx.83  192.168.xxx.21: ICMP echo request, id
11021, seq 832, length 64
14:58:55.724336 IP 10.10.xxx.83  192.168.xxx.21: ICMP echo request, id
11021, seq 833, length 64
14:58:56.733312 IP 10.10.xxx.83  192.168.xxx.21: ICMP echo request, id
11021, seq 834, length 64

 e no rc.conf eu tenho a opção:
gateway_enable=YES

Utilizo o pf, mas não coloquei restrição nenhuma justamente detectar o
problema.
Será que está faltando alguma regra de nat?
Meu pf.conf está assim (só enquanto detecto o problema claro)

int_if=xl0
vpn_if=tun0
ext_if=fxp0

pass in all
pass out all
pass all

Alguém tem alguma idéia?

Abs,

Leandro Alves
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] OpenVPN

2010-01-30 Por tôpico Leandro Alves

Ok, mas qual?

Desculpe esqueci de mencionar, sou novo em BSD.


2010/1/30 Giancarlo Rubio gianru...@gmail.com

 Ta faltando uma regra de nat ai!

 Em 1 30, 2010 3:11 PM, Leandro Alves ldral...@gmail.comescreveu:

 Pessoal,

 Configurei um OpenVPN como cliente para fazer lan to lan e estou com o
 seguinte problema:
 A máquina tem duas interfaces físicas de rede e está da seguinte forma:
 xl0  = 10.10.xxx.1
 fxp0 = 201.76.xxx.180
 tun0 = 192.168.xxx.9

 A máquina configurada como cliente pegou o ip 192.168.xxx.9, da própria
 máquina eu consigo fazer um ping para 192.168.xxx.21.
 Mas de outra máquina da rede (10.10.xxx.0/8) eu não consigo.
 Utilizando o tcpdump eu vejo que os pacotes chegam a interface tun0:

 vpnclient# tcpdump -n -i tun0

 14:58:54.716345 IP 10.10.xxx.83  192.168.xxx.21: ICMP echo request, id
 11021, seq 832, length 64
 14:58:55.724336 IP 10.10.xxx.83  192.168.xxx.21: ICMP echo request, id
 11021, seq 833, length 64
 14:58:56.733312 IP 10.10.xxx.83  192.168.xxx.21: ICMP echo request, id
 11021, seq 834, length 64

  e no rc.conf eu tenho a opção:
 gateway_enable=YES

 Utilizo o pf, mas não coloquei restrição nenhuma justamente detectar o
 problema.
 Será que está faltando alguma regra de nat?
 Meu pf.conf está assim (só enquanto detecto o problema claro)

 int_if=xl0
 vpn_if=tun0
 ext_if=fxp0

 pass in all
 pass out all
 pass all

 Alguém tem alguma idéia?

 Abs,

 Leandro Alves
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] RES: OpenVPN (RESOLVIDO)

2010-01-30 Por tôpico Leandro Alves

Pessoal,

Não sei se tem maneira melhor, mas utilizei as sequintes regras:

nat on $vpn_if from $wrk_net to any - $vpn_if
nat on $int_if from $vpn_cev_net to any - $int_if


-- Forwarded message --
From: Leandro Alves ldral...@gmail.com
Date: 2010/1/30
Subject: Re: [FUG-BR] OpenVPN
To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) 
freebsd@fug.com.br


Ok, mas qual?

Desculpe esqueci de mencionar, sou novo em BSD.


2010/1/30 Giancarlo Rubio gianru...@gmail.com

Ta faltando uma regra de nat ai!

 Em 1 30, 2010 3:11 PM, Leandro Alves ldral...@gmail.comescreveu:

 Pessoal,

 Configurei um OpenVPN como cliente para fazer lan to lan e estou com o
 seguinte problema:
 A máquina tem duas interfaces físicas de rede e está da seguinte forma:
 xl0  = 10.10.xxx.1
 fxp0 = 201.76.xxx.180
 tun0 = 192.168.xxx.9

 A máquina configurada como cliente pegou o ip 192.168.xxx.9, da própria
 máquina eu consigo fazer um ping para 192.168.xxx.21.
 Mas de outra máquina da rede (10.10.xxx.0/8) eu não consigo.
 Utilizando o tcpdump eu vejo que os pacotes chegam a interface tun0:

 vpnclient# tcpdump -n -i tun0

 14:58:54.716345 IP 10.10.xxx.83  192.168.xxx.21: ICMP echo request, id
 11021, seq 832, length 64
 14:58:55.724336 IP 10.10.xxx.83  192.168.xxx.21: ICMP echo request, id
 11021, seq 833, length 64
 14:58:56.733312 IP 10.10.xxx.83  192.168.xxx.21: ICMP echo request, id
 11021, seq 834, length 64

  e no rc.conf eu tenho a opção:
 gateway_enable=YES

 Utilizo o pf, mas não coloquei restrição nenhuma justamente detectar o
 problema.
 Será que está faltando alguma regra de nat?
 Meu pf.conf está assim (só enquanto detecto o problema claro)

 int_if=xl0
 vpn_if=tun0
 ext_if=fxp0

 pass in all
 pass out all
 pass all

 Alguém tem alguma idéia?

 Abs,

 Leandro Alves
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] OpenVPN

2010-01-30 Por tôpico Leandro Alves

O problema é que o servidor é no cliente, mas vou entrar em contado com o
suporte deles.
Obrigado pela dica.


2010/1/30 Antônio Pessoa antoniopes...@bsd.com.br

 2010/1/30 Leandro Alves ldral...@gmail.com:
  Pessoal,
 
  Configurei um OpenVPN como cliente para fazer lan to lan e estou com o
  seguinte problema:
  A máquina tem duas interfaces físicas de rede e está da seguinte forma:
  xl0  = 10.10.xxx.1
  fxp0 = 201.76.xxx.180
  tun0 = 192.168.xxx.9
 
  A máquina configurada como cliente pegou o ip 192.168.xxx.9, da própria
  máquina eu consigo fazer um ping para 192.168.xxx.21.
  Mas de outra máquina da rede (10.10.xxx.0/8) eu não consigo.
  Utilizando o tcpdump eu vejo que os pacotes chegam a interface tun0:
 
  vpnclient# tcpdump -n -i tun0
 
  14:58:54.716345 IP 10.10.xxx.83  192.168.xxx.21: ICMP echo request, id
  11021, seq 832, length 64
  14:58:55.724336 IP 10.10.xxx.83  192.168.xxx.21: ICMP echo request, id
  11021, seq 833, length 64
  14:58:56.733312 IP 10.10.xxx.83  192.168.xxx.21: ICMP echo request, id
  11021, seq 834, length 64
 
   e no rc.conf eu tenho a opção:
  gateway_enable=YES
 
  Utilizo o pf, mas não coloquei restrição nenhuma justamente detectar o
  problema.
  Será que está faltando alguma regra de nat?
  Meu pf.conf está assim (só enquanto detecto o problema claro)
 
  int_if=xl0
  vpn_if=tun0
  ext_if=fxp0
 
  pass in all
  pass out all
  pass all
 
  Alguém tem alguma idéia?
 
  Abs,
 

 Está faltando configurar o servidor:

 push route 192.168.1.0 255.255.255.0

 Substitua pela sua rede local que precisa ser acessada e precisa
 adequar para seu cenário.

 Consulte a documentação [1] para maiores informações.

 [1] http://openvpn.net/index.php/open-source/documentation.html

 --
 Antônio Rogério Lins de A. Pessoa
 Técnico em Tecnologia da Informação
 CREA-PE
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Roteamento pela origem

2010-01-28 Por tôpico Leandro Alves

Pessoal,

Não é mais necessária a implementação dessa topologia.
Então nessa situação não tenho como dizer se funcionou ou não.
Mas obrigado a todos pela ajuda e assim que possível vou testar em outro
ambiente, pois posso precisar mais lá para frente.

Abs,

Leandro Alves

2010/1/23 Wanderson Tinti wander...@bsd.com.br

 2010/1/22 Leandro Alves ldral...@gmail.com

  Pessoal,
 
  Sou novo com FreeBSD e estou com o problema onde conforme desenho abaixo
 eu
  tenho minha rede interna 10.10.1.0, minha outra rede 10.9.1.0 em um
  roteador
  com FreeBSD e PF ligados a dois gateways GW1 com squid transparente e
 GW2.
  O
  default gateway do roteador é o GW1, em função disso minhas redes
 10.9.1.0
  e
  10.10.1.0 saem pelo GW1 e tenho configurado algumas rotas para destinos
  saindo pelo GW2. Mas eu preciso que o que passar no roteador tendo como
  origem a rede 10.9.1.0, saia pelo GW2.
 
  Sei que no Debian, Ubuntu e outros tem o IPTABLES utilizando a tabela
  MANGLE
  para marcação de pacotes. Alguém tem alguma solução para FreeBSD.
  Grato,
 
  Leandro
 

 Leandro,

 Como o Nilson disse, você pode utilizar a tabelas Fib com IPFW, se preferir
 pode usar o PF também, veja um exemplo;

 #setfib 0 route add default 189.76.1.1 (tabela 0)
 #setfib 1 route add default 189.76.2.2 (tabela 1)

 pass in quick on $int_if1 inet proto tcp from 10.10.1.0/24 to any port
 80,443 keep state rtable 0
 pass in quick on $int_if2 inet proto tcp from 10.9.1.0/24 to any port
 80,443
 keep state rtable 1
 pass out on $ext_if1 proto tcp from any to any keep state rtable 0
 pass out on $ext_if2 proto tcp from any to any keep state rtable 1

 Você pode usar até a opção reply-to para conexões entrante, de modo que
 tudo
 que entrar pelo link1 volte por ele.

 Use o pftop e tcpdump para se certificar que está funcionando.

 Não esqueça de compilar seu kernel com a opção 'options ROUTETABLES=2',
 para
 usar duas tabela Fib.

 Acho que é isso ai.

 Boa noite.

 Wanderson Tinti
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Roteamento pela origem

2010-01-22 Por tôpico Leandro Alves

Pessoal,

Sou novo com FreeBSD e estou com o problema onde conforme desenho abaixo eu
tenho minha rede interna 10.10.1.0, minha outra rede 10.9.1.0 em um roteador
com FreeBSD e PF ligados a dois gateways GW1 com squid transparente e GW2. O
default gateway do roteador é o GW1, em função disso minhas redes 10.9.1.0 e
10.10.1.0 saem pelo GW1 e tenho configurado algumas rotas para destinos
saindo pelo GW2. Mas eu preciso que o que passar no roteador tendo como
origem a rede 10.9.1.0, saia pelo GW2.

Sei que no Debian, Ubuntu e outros tem o IPTABLES utilizando a tabela MANGLE
para marcação de pacotes. Alguém tem alguma solução para FreeBSD.
Grato,

Leandro


---
| 10.9.1.0 |
---
   |
   |
---    -
-
| GW1 | | SWITCH |---| ROUTER || 10.10.1.0 |
---    -
-
   |
---|
| GW2 |-
---
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Squid OK, tilt depois de setar como transparente

[FUG-BR] OpenVPN Multiplas Configurações e IP SEC

[FUG-BR] OpenVPN

[FUG-BR] OpenVPN

Re: [FUG-BR] OpenVPN

[FUG-BR] RES: OpenVPN (RESOLVIDO)

Re: [FUG-BR] OpenVPN

Re: [FUG-BR] Roteamento pela origem

[FUG-BR] Roteamento pela origem

9 matches

Site Navigation

Mail list logo

Footer information