مشکل squid در اتصال برخی از برنامه ها به اینترنت
سلام به اساتید
من روی فایروال pfsense
Squid proxy را نصب کردم
و برای کنترل محتوای HTTP , HTTPS
Transparent proxy را فعال کردم
در وب گردی با مرورگر ها هیچ مشکلی ندارم و به راحتی می توانم روی سایت کنترل داشته باشم
اما در برخی از برنامه ها مثل هات اسپات و تلگرام مشکل بوجود امده
و تا مادامی که squid. فعال است این برنامه ها به اینترنت وصل نمی شوند
دوستان کسی به این مشکل برخورده؟
اگه کسی راه حلشو میدونه تشکر میکنم راهتمایی کنه بندرو
23 پاسخ
یک مطلب دیگه اگر از HTTPS می خوای استفاده کنی برای کنترل کردن دسترسی به سایتها و فیلتر کردن سایت ها می تونی از squidguard استفاده کنی بدون نیاز به این موضوع که سمت کلایت سرتیفیکیشن نصب کنی.
سلام
بررسی کامل سناریویی که دارید رو بعدا سره حوصله مطالعه می کنم ولی در همین شروع کار شما می تونید از squidguard در pfsense برای مسدود کردن ترافیک سایتها استفاده کنید و زمانی هم که شما دارید از https استفاده می کنید حتما باید سرتیفیکیشن رو روی سیستم های کلاینتی نصب کنید، آیا این بخش رو فعال کردین یا خیر؟
واقعا ممنون از پیگیریتون
من الان چندتا عکس از پیکربندیه خودم میذارم لطف کنید ببینید
شاید مشکل از پیکر بندیه منه
وب تلگرام و دسکتاپ باز میشه
تلگرام اندروید روی گوشی
کافیه با وای فای وصل بشید به شبکه
و گزینه های teransparent proxy , ssl filttering فعال باشند
تلگرام
واتس اپ
هات اسپات کار نمی کنند
حتی هات اسپات روی ویندوز هم کار نمیکنه
توی سایت میکروتیک هم بعضی از کاربران با هاتسپات مشکل دارن و گفته میشه که باید حالت https رو غیرفعال کنید و یا یک سرتیفیکیشن مجاز و معتبر خریداری کنید
من نوع تنظیمات SSL در بخش SSL رو در زمانی که شما از squidgurd استفاده می کنید رو گفتم. می دونم مصارف squidgurd چی هست. یک نکته کوچیک داره
سلام و خسته نباشید
تشکر بابت راهنماییتون
من عذر خواهی می کنم تلگرام دسکتاپ درست کار می کنه
تلگرام اندروید با این مشکل مواجه میشه
وبرنامه هات اسپات ( نسخه ویندوز و اندروید )
----------------------------------------------------------
سناریو اینجانب به این صورت می باشد که یک فایروال pfsense روی شبکه داخلی خودم راه اندازی کردم و دیوایس ها ی مختلف ویندوزی - لینوکسی و اندرویدی برای اتصال به اینترنت باید از این درگاه عبور کنند
همچنین برای کنترل وب و بستن برخی سایت ها مثل ( ویندوز آپدیت ) از squid استفاده می کنم.
تمامی مراحل به درستی کار می کنند ( فقط روی سایت های HTTP )
مرحله بعد می خواستم روی سایت های HTTPS هم نظارت و کنترل داشته باشم مجبور شدم گزینه SSL Man In the Middle Filtering
در SQUID را فعال کنم که با برخی مشکلات مذکور روبرو شدم
و با وایرشارک کلیه پکت ها را دنبال کردم ( در برنامه هایی مثل تلگرام اندروید و یا هات اسپات و چند برنامه دیگر ) در خواست ها ارسال می شوند اما توسط squid رد می شوند HTTP 400 Bad Request
تقریبا یک هفته با این موضوع در گیر بودم که به دو نتیجه رسیدم که قطعیتشو نمیدونم
احتمال اول :
-----------------------------------------------------------------------------------------------------
یکی این که این برنامه ها از وب سوکت استفاده می کنند و SQUID وب سوکت را رد می کند
برای مثال شما می توانید Transpoarent Proxy را فعال کنید و به سایت websocket.org/echo.html مراجعه کنید در قسمت کانکت اگر تیک Use secure WebSocket (TLS) را نزنید به احتمال زیاد اتصال شما برقرار نمی شود و ارور میدهد ( برای من اینگونه است )
اما اگر تیک را بگذارید و به صورت WSS متصل شود ارتباط برقرار می شود
--------------------------------------------------------------------------------------------------
احتمال دوم :
من در لاگ pfsense وقتی squid proxy , SSL Filttering فعال است به این موضوع بر خوردم که کانکشن های تلگرام به صورت https:149.154.165.250:443 تبدیل می شوند و اتصال با خطا مواجه می شود.. در صورتی که اگر گزینه SSL filttering غیر فعال باشد اتصال به صورت http:/149.154.165.250:80 می شود و اتصال برقرار می شود
--------------------------------------------------------------------------------------------------
هنوز به نتیجه خاصی نرسیدم و منتظر راهنمایی اساتید گرامی هستم
عذر خواهی بابت طولانی شدن متن
تشکر بابت وقتی که گذاشتید
من تنظیمات ssl رو روی splice all گذاشتم
و نیاز به تنظیم certificate نداره و فقط جهت استفاده در squidguarde
ولی مشکل من مربوط به squidguard نیست
صرفا چون این گزینه فعاله برنامه هام به اینترنت وصل نمیشن
راه حل جالب و هوشمندانه ای بود
در این عکس این برنامه بدون مشکل داره کار می کنه
روی همه حالت ها چک کردم بی نتیجس
موردی که خودم بش مشکوکم اینه که هات اسپات وقتی ssl فعاله میخاد از 443 به صورت HTTPS وصل شه که خطا میده
اما وقتی که این گزینه غیر فعال میشه به صورت HTTP و از پورت 80 وصل میشه ( همچنین تلگرام و برنامه های دیگه )
و واقعا گیج کننده شده این موضوع واسم
اون گزینه مخصوص squidguard با زمانی که شما دارید از HTTPS استفاده می کنید فرق میکنه
من همین الان برنامه وب تلگرام رو هم روی شبکه تست کردن بدون مشکل جواب داده به حالت های ssl دقت کن
عکس با هم گزارش این اتصال رو نشون میده
بله متوجهم
Squidguard مربوط به محدود کردن دسترسی به سایت هاست
Ssl filtering رو هم برای اینکه بتونم توو squidgurd سایت های https رو فیلتر کنم باید فعال کنم.
وقتی این گزینه فعال بشه برنامه هایی که خدمتتون عرض کردم به اینترنت وصل نمیشن
چندتا عکس از محیط Squid و تنظیمش
این لاگ قبل از اتصال برنامه هات اسپات ( فعلا دسترسی فیزیکی ندارم که با وای فای گوشی وصل شم ) فقط از ریموت انجام دادم
این لاگ بعد از اتصال که همونطور که تووی تصویر مشخصه آی پی های هات اسپات همه بدون اتصال موندن و 0 جلوشون خورده
اینم عکس خود برنامه که ارور داده
حالا اگه من گزینه SSL filttering رو غیر فعال کنم نتیجش این میشه
اینم عکس هات اسپات که بعد از غیر فعال کردن ssl filttering وصل شد
سلام دوست عزیز
برنامه squid فقط ترافیک های وب رو بررسی می کنه و در حالت Transparent هم فقط ترافیک وب برایش ارسال میشه و هیچ گاه به ترافیک سایر برنامه ها کاری نداره. squid یک وب پراکسی هستش.
من سناریوی شما رو هم تست کردم و با وجود اسکویید و تنظیماتی که شما بیان کردین برنامه تلگرام Desktop به راحتی کار می کنه، سایر تنظیماتی که دارید رو چک کنید.
گزینه Remote Cert Checks رو روی حالت accept remote server قرار بده رو چک کن
سوال شما رو در فروم سایت pfsense دیدم و کسی هم فعلا جوابی بهش نداده البته امروز هم ویرایشش کردی
https://forum.pfsense.org/index.php?topic=136383.0
عکس بزار چکش کنم
این نکته قابل ذکر هست که squidguard فقط روی سایت های http کار میکند و اگر بخواهیم روی سایت های TLS https هم کار کند باید گزینه ssl filttering فعال باشد که مشکل من پدید می آید
روی نسخه دسکتاپ تلگرام مشکلی نیست .. تغییر میدم اتصال برقرار میشه
روی نسخه اندروید روی گوشی این مشکل بوجود میاد
و برنامه های دیگه مثل واتس اپ
جالبه که گوگل پلی و بقیه برنامه ها کار می کنند
--بله این سوالو هم اونجا پرسیدم و یکی از مدیران سایتشون تووی تماس آخرش گفت نمیدونم
سلام دوباره و ممنون از اینکه وقت گذاشتید و پیامهای منو خوندید و جواب دادید
اما من مشکلی با squidguard ندارم و سرتیفیکیت های داخلی را ساختم و همه چیز به درستی کار می کند.
تنها مشکل من عدم اتصال برخی از برنامه ها که در بالا ذکر کردم می باشد
که در صورت غیر فعال کردن ssl filttering همه چیز بدرستی کار میکند
اما با این کار روی سایت های TLS هیچ کنترلی ندارم
نوع ارتباطط رو در دسکتاپ تلگرام تغییر بده بین خطا میده
مشکل حل شد با قرار دادن آی پی برنامه های خاص در Bypass Squid