Re: [FUG-BR] Squid OK, tilt depois de setar como transparente
Ricardo, Não sei se isso mudou, mas o squid não permite autenticação em modo transparente. Faça o seguinte teste: Configura um browser para usar o proxy IP 192.168.9.10, porta 3128 e verificar se o erro persiste. Abs, Leandro Alves Em 28 de janeiro de 2010 17:18, Ricardo Souza ricardo.so...@ti.cmtsp.com.br escreveu: E ai galera, blz? Configurei um squid aqui integrado com AD . Estava em fase experimental, somente eu defini o IP e a porta no meu browser e validei a configuracao. Hoje fui colocar em producao. Mudei o squid.conf para ser transparent e fiz um RDR no meu GW jogando para o IP do squid. Apos isso só obtenho TCP_DENIED. Alguem pode me ajudar? Segue meu squid.conf http_port 3128 transparent #http_port 192.168.9.10:3128 icp_port 3130 hierarchy_stoplist cgi-bin ? #acl QUERY urlpath_regex cgi-bin ? #no_cache deny QUERY #cache_mem 1500 MB #cache_swap_low 90 #cache_swap_high 95 #maximum_object_size 9216 KB #ipcache_size 1024 #ipcache_low 90 #ipcache_high 95 #fqdncache_size 1024 #cache_replacement_policy lru #memory_replacement_policy lru #cache_dir ufs /usr/local/squid/cache 2500 16 100 cache_access_log /usr/local/squid/logs/access.log cache_store_log none # As linhas abaixo se referem a autenticacao de users no AD auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -R -b dc=domain -D cn=squid,ou=Internet,dc=autopass -w senha -f sAMAccountName=%s -h 192.168.9.12 -p 389 auth_param basic realm Este acesso será registrado Digite sua login e senha auth_param basic children 5 auth_param basic credentialsttl 15 minutes emulate_httpd_log on mime_table /usr/local/etc/squid/mime.conf pid_filename /usr/local/squid/logs/squid.pid ftp_user f...@autopass.com.br ftp_passive on #unlinkd_program /usr/local/squid/libexec/unlinkd # ACL externa para autenticação nas bases LDAP do PDC external_acl_type ldap_group children=30 %LOGIN /usr/local/libexec/squid/squid_ldap_group -v 3 -R -b DC=domain -D cn=squid,ou=Internet,DC=autopass -w senha -f ((objectclass=person) (sAMAccountName=%v) (memberof=cn=%a,ou=Internet,dc=autopass)) -h 192.168.9.12 -p 389 #acl all src 0.0.0.0/0.0.0.0 acl rede_local dst 192.168.9.0/24 acl lan src 192.168.9.0/24 acl rede_mpls dst 10.100.0.0/16 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl SSL_ports port 443 563 9141 acl Safe_ports port 80 # http acl Safe_ports port 81 acl Safe_ports port 82 acl Safe_ports port 85 acl Safe_ports port 9443 acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT # A acl abaixo faz bloqueio de acesso por IP #acl block_ip src /usr/local/squid/etc/ips_bloqueados # A ACL abaixo efetua bloqueio do MSN #acl dst_msn dstdomain -i /usr/local/squid/etc/msn_domain # A ACL abaixo barra download de arquivos com extensões exe mp3 wma wmv mpg avi asf acl block_arq urlpath_regex -i .com$ .exe$ .scr$ .mp3$ .mpeg$ .wma$ .wmv$ .mpg$ .avi$ .pif$ #acl palavra_download url_regex -i /usr/local/squid/etc/palavra_download-url # As ACLs abaixo relaxam o controle de conteúdo das 12:00 as 13:30 # Inserir os sites a serem liberados das 12 as 13 no arquivo /usr/local/squid/etc/libera_almoco #acl libera_sites url_regex -i /usr/local/squid/etc/libera_almoco #sites de libera_almoco #acl almoco time SMTWHFA 12:00-13:30 #libera acesso das 12 as 13:30 #de segunda a domingo. # A ACL abaixo libera alguns sites para acesso sem autenticacao # Lista possui os dominios da empresa, bancos e alguns sites de parceiros acl acesso_restrito dstdomain -i /usr/local/squid/sites_acesso_restrito.txt # Libera alguns sites p/user s/acesso # ACL com sites permitidos para Acesso Padrao acl acesso_padrao dstdomain -i /usr/local/squid/sites_acesso_padrao.txt # ACLs de Controle de Conteúdo #acl dominio_bloqueado dstdomain -i /usr/local/squid/etc/block_dominio acl dominio_liberado dstdomain -i /usr/local/squid/libera_dominio #acl sex url_regex -i /usr/local/squid/etc/porno #acl nosex url_regex -i /usr/local/squid/etc/naoporno #bloquer AD/banners acl ads dstdom_regex /usr/local/squid/ad_block.txt http_access deny ads # ACLs_ACTIVE_DIRECTORY #Grupo Acesso Restrito acl ldapAcessoRestrito external ldap_group AcessoRestrito #Grupo Acesso Padrao acl ldapAcessoPadrao external ldap_group AcessoPadrao #Grupo Acesso Total acl ldapAcessoTotal external ldap_group AcessoTotal #Grupo Acesso Download acl ldapAcessoDownload external ldap_group AcessoDownload # A ACL abaixo desbloqueia download para o grupo AcessoPadrao #acl download_url url_regex /usr/local/squid/etc/libera_download-url http_access deny !Safe_ports http_access deny CONNECT
[FUG-BR] OpenVPN Multiplas Configurações e IP SEC
Pessoal, Tenho dois clientes aqui da empresa que tem servidores diferentes de VPN. O Cliente A usa IPSEC O Cliente B usa OpenVPN Tenho uma máquina linux com Openswan para o IPSEC e OpenVPN funcionado. Mas quero substitur por FreeBSD e montar um servidor com OpenVPN também. Qual cliente para IPSEC vocês me recomendam? É possíver ter configuração para Cliente e Servidor usando OpenVPN na mesma máquina? Segue abaixo a estrutura atual: Cliente A IPSEC | | Linux --- Rede Interna | Cliente B | OpenVPN Abs, Leandro Alves - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] OpenVPN
Pessoal, Configurei um OpenVPN como cliente para fazer lan to lan e estou com o seguinte problema: A máquina tem duas interfaces físicas de rede e está da seguinte forma: xl0 = 10.10.xxx.1 fxp0 = 201.76.xxx.180 tun0 = 192.168.xxx.9 A máquina configurada como cliente pegou o ip 192.168.xxx.9, da própria máquina eu consigo fazer um ping para 192.168.xxx.21. Mas de outra máquina da rede (10.10.xxx.0/8) eu não consigo. Utilizando o tcpdump eu vejo que os pacotes chegam a interface tun0: vpnclient# tcpdump -n -i tun0 14:58:54.716345 IP 10.10.xxx.83 192.168.xxx.21: ICMP echo request, id 11021, seq 832, length 64 14:58:55.724336 IP 10.10.xxx.83 192.168.xxx.21: ICMP echo request, id 11021, seq 833, length 64 14:58:56.733312 IP 10.10.xxx.83 192.168.xxx.21: ICMP echo request, id 11021, seq 834, length 64 e no rc.conf eu tenho a opção: gateway_enable=YES Utilizo o pf, mas não coloquei restrição nenhuma justamente detectar o problema. Será que está faltando alguma regra de nat? Meu pf.conf está assim (só enquanto detecto o problema claro) int_if=xl0 vpn_if=tun0 ext_if=fxp0 pass in all pass out all pass all Alguém tem alguma idéia? Abs, Leandro Alves - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] OpenVPN
Pessoal, Configurei um OpenVPN como cliente para fazer lan to lan e estou com o seguinte problema: A máquina tem duas interfaces físicas de rede e está da seguinte forma: xl0 = 10.10.xxx.1 fxp0 = 201.76.xxx.180 tun0 = 192.168.xxx.9 A máquina configurada como cliente pegou o ip 192.168.xxx.9, da própria máquina eu consigo fazer um ping para 192.168.xxx.21. Mas de outra máquina da rede (10.10.xxx.0/8) eu não consigo. Utilizando o tcpdump eu vejo que os pacotes chegam a interface tun0: vpnclient# tcpdump -n -i tun0 14:58:54.716345 IP 10.10.xxx.83 192.168.xxx.21: ICMP echo request, id 11021, seq 832, length 64 14:58:55.724336 IP 10.10.xxx.83 192.168.xxx.21: ICMP echo request, id 11021, seq 833, length 64 14:58:56.733312 IP 10.10.xxx.83 192.168.xxx.21: ICMP echo request, id 11021, seq 834, length 64 e no rc.conf eu tenho a opção: gateway_enable=YES Utilizo o pf, mas não coloquei restrição nenhuma justamente detectar o problema. Será que está faltando alguma regra de nat? Meu pf.conf está assim (só enquanto detecto o problema claro) int_if=xl0 vpn_if=tun0 ext_if=fxp0 pass in all pass out all pass all Alguém tem alguma idéia? Abs, Leandro Alves - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OpenVPN
Ok, mas qual? Desculpe esqueci de mencionar, sou novo em BSD. 2010/1/30 Giancarlo Rubio gianru...@gmail.com Ta faltando uma regra de nat ai! Em 1 30, 2010 3:11 PM, Leandro Alves ldral...@gmail.comescreveu: Pessoal, Configurei um OpenVPN como cliente para fazer lan to lan e estou com o seguinte problema: A máquina tem duas interfaces físicas de rede e está da seguinte forma: xl0 = 10.10.xxx.1 fxp0 = 201.76.xxx.180 tun0 = 192.168.xxx.9 A máquina configurada como cliente pegou o ip 192.168.xxx.9, da própria máquina eu consigo fazer um ping para 192.168.xxx.21. Mas de outra máquina da rede (10.10.xxx.0/8) eu não consigo. Utilizando o tcpdump eu vejo que os pacotes chegam a interface tun0: vpnclient# tcpdump -n -i tun0 14:58:54.716345 IP 10.10.xxx.83 192.168.xxx.21: ICMP echo request, id 11021, seq 832, length 64 14:58:55.724336 IP 10.10.xxx.83 192.168.xxx.21: ICMP echo request, id 11021, seq 833, length 64 14:58:56.733312 IP 10.10.xxx.83 192.168.xxx.21: ICMP echo request, id 11021, seq 834, length 64 e no rc.conf eu tenho a opção: gateway_enable=YES Utilizo o pf, mas não coloquei restrição nenhuma justamente detectar o problema. Será que está faltando alguma regra de nat? Meu pf.conf está assim (só enquanto detecto o problema claro) int_if=xl0 vpn_if=tun0 ext_if=fxp0 pass in all pass out all pass all Alguém tem alguma idéia? Abs, Leandro Alves - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: OpenVPN (RESOLVIDO)
Pessoal, Não sei se tem maneira melhor, mas utilizei as sequintes regras: nat on $vpn_if from $wrk_net to any - $vpn_if nat on $int_if from $vpn_cev_net to any - $int_if -- Forwarded message -- From: Leandro Alves ldral...@gmail.com Date: 2010/1/30 Subject: Re: [FUG-BR] OpenVPN To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Ok, mas qual? Desculpe esqueci de mencionar, sou novo em BSD. 2010/1/30 Giancarlo Rubio gianru...@gmail.com Ta faltando uma regra de nat ai! Em 1 30, 2010 3:11 PM, Leandro Alves ldral...@gmail.comescreveu: Pessoal, Configurei um OpenVPN como cliente para fazer lan to lan e estou com o seguinte problema: A máquina tem duas interfaces físicas de rede e está da seguinte forma: xl0 = 10.10.xxx.1 fxp0 = 201.76.xxx.180 tun0 = 192.168.xxx.9 A máquina configurada como cliente pegou o ip 192.168.xxx.9, da própria máquina eu consigo fazer um ping para 192.168.xxx.21. Mas de outra máquina da rede (10.10.xxx.0/8) eu não consigo. Utilizando o tcpdump eu vejo que os pacotes chegam a interface tun0: vpnclient# tcpdump -n -i tun0 14:58:54.716345 IP 10.10.xxx.83 192.168.xxx.21: ICMP echo request, id 11021, seq 832, length 64 14:58:55.724336 IP 10.10.xxx.83 192.168.xxx.21: ICMP echo request, id 11021, seq 833, length 64 14:58:56.733312 IP 10.10.xxx.83 192.168.xxx.21: ICMP echo request, id 11021, seq 834, length 64 e no rc.conf eu tenho a opção: gateway_enable=YES Utilizo o pf, mas não coloquei restrição nenhuma justamente detectar o problema. Será que está faltando alguma regra de nat? Meu pf.conf está assim (só enquanto detecto o problema claro) int_if=xl0 vpn_if=tun0 ext_if=fxp0 pass in all pass out all pass all Alguém tem alguma idéia? Abs, Leandro Alves - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] OpenVPN
O problema é que o servidor é no cliente, mas vou entrar em contado com o suporte deles. Obrigado pela dica. 2010/1/30 Antônio Pessoa antoniopes...@bsd.com.br 2010/1/30 Leandro Alves ldral...@gmail.com: Pessoal, Configurei um OpenVPN como cliente para fazer lan to lan e estou com o seguinte problema: A máquina tem duas interfaces físicas de rede e está da seguinte forma: xl0 = 10.10.xxx.1 fxp0 = 201.76.xxx.180 tun0 = 192.168.xxx.9 A máquina configurada como cliente pegou o ip 192.168.xxx.9, da própria máquina eu consigo fazer um ping para 192.168.xxx.21. Mas de outra máquina da rede (10.10.xxx.0/8) eu não consigo. Utilizando o tcpdump eu vejo que os pacotes chegam a interface tun0: vpnclient# tcpdump -n -i tun0 14:58:54.716345 IP 10.10.xxx.83 192.168.xxx.21: ICMP echo request, id 11021, seq 832, length 64 14:58:55.724336 IP 10.10.xxx.83 192.168.xxx.21: ICMP echo request, id 11021, seq 833, length 64 14:58:56.733312 IP 10.10.xxx.83 192.168.xxx.21: ICMP echo request, id 11021, seq 834, length 64 e no rc.conf eu tenho a opção: gateway_enable=YES Utilizo o pf, mas não coloquei restrição nenhuma justamente detectar o problema. Será que está faltando alguma regra de nat? Meu pf.conf está assim (só enquanto detecto o problema claro) int_if=xl0 vpn_if=tun0 ext_if=fxp0 pass in all pass out all pass all Alguém tem alguma idéia? Abs, Está faltando configurar o servidor: push route 192.168.1.0 255.255.255.0 Substitua pela sua rede local que precisa ser acessada e precisa adequar para seu cenário. Consulte a documentação [1] para maiores informações. [1] http://openvpn.net/index.php/open-source/documentation.html -- Antônio Rogério Lins de A. Pessoa Técnico em Tecnologia da Informação CREA-PE - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Roteamento pela origem
Pessoal, Não é mais necessária a implementação dessa topologia. Então nessa situação não tenho como dizer se funcionou ou não. Mas obrigado a todos pela ajuda e assim que possível vou testar em outro ambiente, pois posso precisar mais lá para frente. Abs, Leandro Alves 2010/1/23 Wanderson Tinti wander...@bsd.com.br 2010/1/22 Leandro Alves ldral...@gmail.com Pessoal, Sou novo com FreeBSD e estou com o problema onde conforme desenho abaixo eu tenho minha rede interna 10.10.1.0, minha outra rede 10.9.1.0 em um roteador com FreeBSD e PF ligados a dois gateways GW1 com squid transparente e GW2. O default gateway do roteador é o GW1, em função disso minhas redes 10.9.1.0 e 10.10.1.0 saem pelo GW1 e tenho configurado algumas rotas para destinos saindo pelo GW2. Mas eu preciso que o que passar no roteador tendo como origem a rede 10.9.1.0, saia pelo GW2. Sei que no Debian, Ubuntu e outros tem o IPTABLES utilizando a tabela MANGLE para marcação de pacotes. Alguém tem alguma solução para FreeBSD. Grato, Leandro Leandro, Como o Nilson disse, você pode utilizar a tabelas Fib com IPFW, se preferir pode usar o PF também, veja um exemplo; #setfib 0 route add default 189.76.1.1 (tabela 0) #setfib 1 route add default 189.76.2.2 (tabela 1) pass in quick on $int_if1 inet proto tcp from 10.10.1.0/24 to any port 80,443 keep state rtable 0 pass in quick on $int_if2 inet proto tcp from 10.9.1.0/24 to any port 80,443 keep state rtable 1 pass out on $ext_if1 proto tcp from any to any keep state rtable 0 pass out on $ext_if2 proto tcp from any to any keep state rtable 1 Você pode usar até a opção reply-to para conexões entrante, de modo que tudo que entrar pelo link1 volte por ele. Use o pftop e tcpdump para se certificar que está funcionando. Não esqueça de compilar seu kernel com a opção 'options ROUTETABLES=2', para usar duas tabela Fib. Acho que é isso ai. Boa noite. Wanderson Tinti - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Roteamento pela origem
Pessoal, Sou novo com FreeBSD e estou com o problema onde conforme desenho abaixo eu tenho minha rede interna 10.10.1.0, minha outra rede 10.9.1.0 em um roteador com FreeBSD e PF ligados a dois gateways GW1 com squid transparente e GW2. O default gateway do roteador é o GW1, em função disso minhas redes 10.9.1.0 e 10.10.1.0 saem pelo GW1 e tenho configurado algumas rotas para destinos saindo pelo GW2. Mas eu preciso que o que passar no roteador tendo como origem a rede 10.9.1.0, saia pelo GW2. Sei que no Debian, Ubuntu e outros tem o IPTABLES utilizando a tabela MANGLE para marcação de pacotes. Alguém tem alguma solução para FreeBSD. Grato, Leandro --- | 10.9.1.0 | --- | | --- - - | GW1 | | SWITCH |---| ROUTER || 10.10.1.0 | --- - - | ---| | GW2 |- --- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd