Hola a todos,
Tengo un servidor MAX-Control 2.2.3 con un proxy transparente versión 2.2.1max1.
Cuando los usuarios intentan acceder a webmails (gmail, yahoo, etc..) ocurre lo siguiente:
-- Acceso desde equipos con Windows: OK
-- Acceso desde equipos MAX 7.5: no OK, ni desde Firefox ni desde Chrome.
Cuando estos MAX los conecto a una ADSL sin pasar por el proxy, acceden a los webmail sin problemas, por lo que doy por hecho que algún problema de incompatibilidad hay entre los MAX y el proxy transparentes.
El acceso se hace a través de https, por lo que el proxy de MAX-Control no debe tener implicación alguna, ya que no soporta el protocolo https (por lo que he leido)
En los logs del proxy, filtro por yahoo y por gmail y no veo ningún tipo de "deny" o "filtered".
¿Alguna sugerencia?
Thks¡¡¡
SOLUCIONADO - Proxy transparente impide acceso a webmails
Moderadores: daniel.esteban, victor.armendariz, ruben.garcia45, irene.olalla, dgonzalezarroyo
-
des_ticliceo
- Mensajes: 30
- Registrado: 04 Dic 2014, 19:56
Última edición por des_ticliceo el 29 Ene 2015, 16:38, editado 3 veces en total.
-
des_madrid_linux
- Mensajes: 491
- Registrado: 01 Dic 2004, 10:17
- Ubicación: EducaMadrid
- Contactar:
Hola,
La verdad es que no nos cuadra, aquí nos funciona bien esa configuración ¿No será que en Windows tienes puesto el proxy, a pesar de hacer proxy transparente? El tema es que si están en una macrolan necesitarás igualmente poner el proxy en los clientes (no servirá de mucho el proxy transparente) Antes de poner el proxy transparente ¿Podías navegar sin poner proxy?
Cuéntanos y te ayudamos a solucionarlo, en max 7.5 el asistente para proxy lo hemos mejorado mucho para tener en cuenta las redes con macrolan.
Saludos,
La verdad es que no nos cuadra, aquí nos funciona bien esa configuración ¿No será que en Windows tienes puesto el proxy, a pesar de hacer proxy transparente? El tema es que si están en una macrolan necesitarás igualmente poner el proxy en los clientes (no servirá de mucho el proxy transparente) Antes de poner el proxy transparente ¿Podías navegar sin poner proxy?
Cuéntanos y te ayudamos a solucionarlo, en max 7.5 el asistente para proxy lo hemos mejorado mucho para tener en cuenta las redes con macrolan.
Saludos,
Grupo de Desarrollo MAX
¡¡Sé libre: usa MAX!!
¡¡Sé libre: usa MAX!!
-
des_ticliceo
- Mensajes: 30
- Registrado: 04 Dic 2014, 19:56
Hola madrid_linux,
Gracias por responder. No hay macronlan alguna, el servidor max-control tiene en la tarjeta externa conectado un router de Telefónica de FTTH.
He estado leyendo más en profundidad sobre el tema y he constatado que el proxy transparente no maneja las conexiones https y que deben manejarse en la parte de FW. Había una regla que lo permitía (redes internas), pero he creado una nueva y la he puesto la primera en la lista con destino any. El problema sigue ocurriendo.
No veo en los reportes del tráfico que haya ningún drop del puerto 443. ¿Sabéis como ver ese tráfico por línea de comando en lugar de la página de reportes de logs de max-control?.
En los windows no hay proxy configurado ni nada por el estilo
Un saludo.
Gracias por responder. No hay macronlan alguna, el servidor max-control tiene en la tarjeta externa conectado un router de Telefónica de FTTH.
He estado leyendo más en profundidad sobre el tema y he constatado que el proxy transparente no maneja las conexiones https y que deben manejarse en la parte de FW. Había una regla que lo permitía (redes internas), pero he creado una nueva y la he puesto la primera en la lista con destino any. El problema sigue ocurriendo.
No veo en los reportes del tráfico que haya ningún drop del puerto 443. ¿Sabéis como ver ese tráfico por línea de comando en lugar de la página de reportes de logs de max-control?.
En los windows no hay proxy configurado ni nada por el estilo
Un saludo.
-
des_madrid_linux
- Mensajes: 491
- Registrado: 01 Dic 2004, 10:17
- Ubicación: EducaMadrid
- Contactar:
Hola ticliceo,
Sigue siendo un misterio para mi que funcionen los equipos con windows y no los linux ¿Están en la misma red? ¿Seguro que están pasando todos por el proxy transparente? El FTTH ¿Seguro que no está filtrado? ¿Te dejaba salir sin restricciones ni poner proxy antes de meter tu proxy transparente?
Efectivamente el protocolo https no se puede cachear, aunque si se puede hacer que pase por el proxy, pero es relativamente complejo: mira este documento: http://labs.zentyal.org/https-transpare ... n-zentyal/ Lo mismo han evolucionado las cosas y ahora es más fácil. He visto el comentario en el max-server de que hay que añadir una regla de firewall para que el https lo redirija a nivel de firewall, estoy intentando ver cual es porque a nosotros nos va bien pero ya no recuerdo cuando las metí.
Saludos,
Sigue siendo un misterio para mi que funcionen los equipos con windows y no los linux ¿Están en la misma red? ¿Seguro que están pasando todos por el proxy transparente? El FTTH ¿Seguro que no está filtrado? ¿Te dejaba salir sin restricciones ni poner proxy antes de meter tu proxy transparente?
Efectivamente el protocolo https no se puede cachear, aunque si se puede hacer que pase por el proxy, pero es relativamente complejo: mira este documento: http://labs.zentyal.org/https-transpare ... n-zentyal/ Lo mismo han evolucionado las cosas y ahora es más fácil. He visto el comentario en el max-server de que hay que añadir una regla de firewall para que el https lo redirija a nivel de firewall, estoy intentando ver cual es porque a nosotros nos va bien pero ya no recuerdo cuando las metí.
Saludos,
Grupo de Desarrollo MAX
¡¡Sé libre: usa MAX!!
¡¡Sé libre: usa MAX!!
-
des_madrid_linux
- Mensajes: 491
- Registrado: 01 Dic 2004, 10:17
- Ubicación: EducaMadrid
- Contactar:
Hola,
En zentyal 4 ya no pone el aviso del https al habilitar proxy transparente, mañana lo pruebo. Tenemos una versión de max-server en alpha basada en la 3.5 pero todavía no tenemos recursos para probarla bien y rematarla, a ver si hay suerte y en breve le damos un empujón.
Saludos,
En zentyal 4 ya no pone el aviso del https al habilitar proxy transparente, mañana lo pruebo. Tenemos una versión de max-server en alpha basada en la 3.5 pero todavía no tenemos recursos para probarla bien y rematarla, a ver si hay suerte y en breve le damos un empujón.
Saludos,
Grupo de Desarrollo MAX
¡¡Sé libre: usa MAX!!
¡¡Sé libre: usa MAX!!
-
des_ticliceo
- Mensajes: 30
- Registrado: 04 Dic 2014, 19:56
Hola madrid_linux,
En el FTTH no esta filtrado seguro los accesos https porque los Windows acceden sin problema. Seguro también que en los Windows no está el proxy configurado, 100% que es así. Si conecto los MAX 7.5 directo a una ADSL sin pasar por el proxy transparente de max-control llegan a los webmails sin problema.
Miraré detenidamente el documento que me facilitas.
Por otros lado, ¿Verías conveniente actualizar las versiones de los paquetes de FW y proxy que tengo montados por si tuviera algo que ver?, el problema es que es el único servidor que tenemos y está en producción, por lo que si algo va mal dejo al Colegio sin Internet.
Cabría la posibilidad de hacer proxy explícito, pero no es algo que me agrade, porque obligaría a configurar las tablets de los chavales y seguro que da problemas.
Muchas gracias por tu interés.
Thks¡¡
En el FTTH no esta filtrado seguro los accesos https porque los Windows acceden sin problema. Seguro también que en los Windows no está el proxy configurado, 100% que es así. Si conecto los MAX 7.5 directo a una ADSL sin pasar por el proxy transparente de max-control llegan a los webmails sin problema.
Miraré detenidamente el documento que me facilitas.
Por otros lado, ¿Verías conveniente actualizar las versiones de los paquetes de FW y proxy que tengo montados por si tuviera algo que ver?, el problema es que es el único servidor que tenemos y está en producción, por lo que si algo va mal dejo al Colegio sin Internet.
Cabría la posibilidad de hacer proxy explícito, pero no es algo que me agrade, porque obligaría a configurar las tablets de los chavales y seguro que da problemas.
Muchas gracias por tu interés.
Thks¡¡
-
des_madrid_linux
- Mensajes: 491
- Registrado: 01 Dic 2004, 10:17
- Ubicación: EducaMadrid
- Contactar:
Hola de nuevo,
Verificado que con Zentyal 4 al poner proxy transparente sí gestiona bien el https. Pero claro, si tienes ahora uno en producción no lo toques, lo suyo sería tener una segunda máquina para ir haciendo pruebas en días concretos con poco tráfico.
No obstante voy a reproducir en local vuestro entorno para ver qué está pasando, si me puedes decir la versión del servidor (olvídalo, lo veo en el primer mensaje) y la de los max clientes y navegadores (¿Te pasa tanto con firefox como con chromium?) por cierto, los max tampoco tienen configurado proxy ¿verdad? ¿Te pasa también con google (va por https)? En windows, cuando te funciona, tras entrar en el webmail ¿Aparece https en la barra de direcciones o cambia a un http? Entiendo que el servidor tiene dos tomas de red, una en la salida a internet y otra para la red local ¿Verdad?
Saludos,
Verificado que con Zentyal 4 al poner proxy transparente sí gestiona bien el https. Pero claro, si tienes ahora uno en producción no lo toques, lo suyo sería tener una segunda máquina para ir haciendo pruebas en días concretos con poco tráfico.
No obstante voy a reproducir en local vuestro entorno para ver qué está pasando, si me puedes decir la versión del servidor (olvídalo, lo veo en el primer mensaje) y la de los max clientes y navegadores (¿Te pasa tanto con firefox como con chromium?) por cierto, los max tampoco tienen configurado proxy ¿verdad? ¿Te pasa también con google (va por https)? En windows, cuando te funciona, tras entrar en el webmail ¿Aparece https en la barra de direcciones o cambia a un http? Entiendo que el servidor tiene dos tomas de red, una en la salida a internet y otra para la red local ¿Verdad?
Saludos,
Grupo de Desarrollo MAX
¡¡Sé libre: usa MAX!!
¡¡Sé libre: usa MAX!!
-
des_ticliceo
- Mensajes: 30
- Registrado: 04 Dic 2014, 19:56
Hola,
Los clientes son MAX 7.5. Pasa tanto con Firefox como con Chromium, los actualizamos recientemente ambos a la última versión disponible (por synaptic) sólo por probar si se solucionaba. En los MAX 7.5 tampoco está configurado el proxy y lo único que hicimos fué deshabilitar el de la Comunidad de Madrid que viene por defecto.
Sobre lo de las interfaces es correcto:
- eht0: conectado al router de Telefónica FTT y marcado como externo.
- eht1: está con VLANs (todas marcadas como internas) y conectado a un switch mediante un trunk.
Adjunto imágenes de estructura física y lógica.
Este fin de semana compruebo lo que me comentas de windows y los webmails.
Muchas gracias¡¡
Los clientes son MAX 7.5. Pasa tanto con Firefox como con Chromium, los actualizamos recientemente ambos a la última versión disponible (por synaptic) sólo por probar si se solucionaba. En los MAX 7.5 tampoco está configurado el proxy y lo único que hicimos fué deshabilitar el de la Comunidad de Madrid que viene por defecto.
Sobre lo de las interfaces es correcto:
- eht0: conectado al router de Telefónica FTT y marcado como externo.
- eht1: está con VLANs (todas marcadas como internas) y conectado a un switch mediante un trunk.
Adjunto imágenes de estructura física y lógica.
Este fin de semana compruebo lo que me comentas de windows y los webmails.
Muchas gracias¡¡
- Adjuntos
-
- Esquema logico
- Esquema logico.jpg (174.52 KiB) Visto 12774 veces
-
- Arquitectura fisica
- Arquitectura fisica.jpg (202.04 KiB) Visto 12774 veces
-
des_madrid_linux
- Mensajes: 491
- Registrado: 01 Dic 2004, 10:17
- Ubicación: EducaMadrid
- Contactar:
Estupenda descripción, gracias,
La regla que tendría que tener el servidor de centro, en el apartado de cortafuegos, es permitir el protocolo https de las redes internas hacia internet. Verifícalo, por favor, aunque sigue sin cuadrarme que funcionen los windows si no está esta regla. Entiendo que todos los equipos tienen al servidor de centro como puerta de enlace y que no hay manera de salir a internet si no es a través de esa puerta de enlace (en los mapas de red no me queda claro si la vlan1 sólo conecta con el servidor de centro o no)
Algunas pruebas adicionales serían:
- Ir desde el equipo con windows a alguna página de detección de proxy (internautas.org por ejemplo) y ver qué proxy identifica, idem en max
- Hacer un traceroute (tras instalar con sudo apt-get install traceroute) o en windows tracert, del equipo a cualquier destino de internet.
- En max, para verificar que de verdad no tienen el proxy fijado:
en línea de comandos:
Ver las opciones de proxy en el navegador
Ver qué tiene definido Inicio->Administración -> Configurar proxy en MAX
Saludos,
La regla que tendría que tener el servidor de centro, en el apartado de cortafuegos, es permitir el protocolo https de las redes internas hacia internet. Verifícalo, por favor, aunque sigue sin cuadrarme que funcionen los windows si no está esta regla. Entiendo que todos los equipos tienen al servidor de centro como puerta de enlace y que no hay manera de salir a internet si no es a través de esa puerta de enlace (en los mapas de red no me queda claro si la vlan1 sólo conecta con el servidor de centro o no)
Algunas pruebas adicionales serían:
- Ir desde el equipo con windows a alguna página de detección de proxy (internautas.org por ejemplo) y ver qué proxy identifica, idem en max
- Hacer un traceroute (tras instalar con sudo apt-get install traceroute) o en windows tracert, del equipo a cualquier destino de internet.
- En max, para verificar que de verdad no tienen el proxy fijado:
en línea de comandos:
Código: Seleccionar todo
env | grep -i proxyVer qué tiene definido Inicio->Administración -> Configurar proxy en MAX
Saludos,
Grupo de Desarrollo MAX
¡¡Sé libre: usa MAX!!
¡¡Sé libre: usa MAX!!
-
des_ticliceo
- Mensajes: 30
- Registrado: 04 Dic 2014, 19:56
Hola,
La regla está creada correctamente (creo...), adjunto pantallazos.
En el servidor he levantado un DHCP que asigna a todas redes internas IP, siendo el servidor el gateway de todas las redes además de ser el servidor DNS también.
No hay problema con la VLAN11, une el servidor max-control con el router de Telefónica y no se propaga a ningún otro elemento de red. El router de telefónica es el gateway del servidor max-control.
Estoy seguro de que los Max7.5 no tienen el proxy configurado, pero cuando vaya a hacer las pruebas este fin de semana lo verifico por comando.
Por cierto, gracias a ti¡¡¡
Un saludo.
La regla está creada correctamente (creo...), adjunto pantallazos.
En el servidor he levantado un DHCP que asigna a todas redes internas IP, siendo el servidor el gateway de todas las redes además de ser el servidor DNS también.
No hay problema con la VLAN11, une el servidor max-control con el router de Telefónica y no se propaga a ningún otro elemento de red. El router de telefónica es el gateway del servidor max-control.
Estoy seguro de que los Max7.5 no tienen el proxy configurado, pero cuando vaya a hacer las pruebas este fin de semana lo verifico por comando.
Por cierto, gracias a ti¡¡¡
Un saludo.
- Adjuntos
-
- servicio
- servicio.png (6.31 KiB) Visto 12764 veces
-
- regla FW
- regla FW.png (6.81 KiB) Visto 12764 veces
-
des_ticliceo
- Mensajes: 30
- Registrado: 04 Dic 2014, 19:56
Hola,
Después de crear la nueva regla de https y ponerla la primea en "Filtering rules for internal networks", descubro que comienzan a haber entradas en los logs con puerto destino 443 y se están dropeando¡¡¡¡ (adjunto pantallazo).
Puede ser un bug del módulo de FW instalado??
El servicio http lo he creado sólo con tcp, voy a añadir también udp.....
Un saludo.
Después de crear la nueva regla de https y ponerla la primea en "Filtering rules for internal networks", descubro que comienzan a haber entradas en los logs con puerto destino 443 y se están dropeando¡¡¡¡ (adjunto pantallazo).
Puede ser un bug del módulo de FW instalado??
El servicio http lo he creado sólo con tcp, voy a añadir también udp.....
Un saludo.
- Adjuntos
-
- drops
- drops.png (19.42 KiB) Visto 12763 veces
-
des_ticliceo
- Mensajes: 30
- Registrado: 04 Dic 2014, 19:56
Hola,
Sigo con la búsqueda:
http://www.improvisa.com/26-01-2012/err ... windows-7/
Modificó el archivo "/usr/share/perl5/EBox/Iptables.pm",
cambió la línea:
pf(‘-A FORWARD -m state –state INVALID -j fdrop’),
por la línea:
pf(‘-A FORWARD -p tcp ! –dport 443 -m state –state INVALID -j fdrop’),
Esta solución no la entiendo y algo de miedo me da.
En esta otra:
https://forum.zentyal.org/index.php/top ... ml#msg2847
Parece que subieron la versión del FW, pero no indican a cual lo subieron..... (post
, ¿podría ser una solución subir la versión?, me da miedo por si me cargo el server....
Un saludo.
Sigo con la búsqueda:
http://www.improvisa.com/26-01-2012/err ... windows-7/
Modificó el archivo "/usr/share/perl5/EBox/Iptables.pm",
cambió la línea:
pf(‘-A FORWARD -m state –state INVALID -j fdrop’),
por la línea:
pf(‘-A FORWARD -p tcp ! –dport 443 -m state –state INVALID -j fdrop’),
Esta solución no la entiendo y algo de miedo me da.
En esta otra:
https://forum.zentyal.org/index.php/top ... ml#msg2847
Parece que subieron la versión del FW, pero no indican a cual lo subieron..... (post
, ¿podría ser una solución subir la versión?, me da miedo por si me cargo el server....Un saludo.
-
des_madrid_linux
- Mensajes: 491
- Registrado: 01 Dic 2004, 10:17
- Ubicación: EducaMadrid
- Contactar:
Antes de probar esas reglas verifica que la regla que creaste es para PERMITIR el https, no se te haya escapado en el desplegable del denegar !! Verifica que son las reglas para acceder desde las redes internas a internet.
Revisa igualmente que en la configuración de red hay un interfaz marcado como external (wan) y otro que no (la red local interna)
Si todo lo demás funciona bien no te la juegues a actualizar hasta que tengas una máquina de respaldo, que además nunca viene mal tenerla por si acaso.
Seguimos en ello, saludos,
Revisa igualmente que en la configuración de red hay un interfaz marcado como external (wan) y otro que no (la red local interna)
Si todo lo demás funciona bien no te la juegues a actualizar hasta que tengas una máquina de respaldo, que además nunca viene mal tenerla por si acaso.
Seguimos en ello, saludos,
Grupo de Desarrollo MAX
¡¡Sé libre: usa MAX!!
¡¡Sé libre: usa MAX!!
-
des_ticliceo
- Mensajes: 30
- Registrado: 04 Dic 2014, 19:56
Buenas¡¡,
La regla está OK, puse los pantallazos en el post 10.
Las interfaces también están OK, ajunto pantallazos también (sólo 3 pq no me deja subir más en un mismo post):
Ójala tuviéramos otro equipo para hacer pruebas o para redundancia..., temas de $$$.
Mañana voy al centro a hacer todas las pruebas que pueda, a ver si doy con la tecla. Me sigue pareciendo tremendamente raro que teniendo la regla "permit any any puerto https" en "Filtering rules for internal networks" vea DROPs en el FW para el puerto 443.... ¿?¿?¿?¿
Paso reporte el lunes con lo que encuentre.
Un saludo y muchas gracias.
La regla está OK, puse los pantallazos en el post 10.
Las interfaces también están OK, ajunto pantallazos también (sólo 3 pq no me deja subir más en un mismo post):
Ójala tuviéramos otro equipo para hacer pruebas o para redundancia..., temas de $$$.
Mañana voy al centro a hacer todas las pruebas que pueda, a ver si doy con la tecla. Me sigue pareciendo tremendamente raro que teniendo la regla "permit any any puerto https" en "Filtering rules for internal networks" vea DROPs en el FW para el puerto 443.... ¿?¿?¿?¿
Paso reporte el lunes con lo que encuentre.
Un saludo y muchas gracias.
- Adjuntos
-
- int3
- int3.png (6.5 KiB) Visto 12740 veces
-
- int2
- int2.png (6.43 KiB) Visto 12740 veces
-
- int1
- int1.png (4.47 KiB) Visto 12740 veces
-
des_ticliceo
- Mensajes: 30
- Registrado: 04 Dic 2014, 19:56
Hola,
Finalmente el workarround ha sido lo que se comentaba aquí:
http://www.improvisa.com/26-01-2012/err ... windows-7/
Consiste en modificar el archivo:
/usr/share/perl5/EBox/Iptables.pm
Hay que modificar la línea:
pf('-A FORWARD -m state --state INVALID -j fdrop'),
por esta otra línea:
pf('-A FORWARD -p tcp ! --dport 443 -m state --state INVALID -j fdrop'),
luego hay que reiniciar el FW:
/etc/init.d/zentyal firewall restart
Aún así tengo que decir que con los MAX 7.5 gmail sólo abre con Chromium y Hotmail sólo con Firefox, por lo que no es una solución definitiva..... ¿?¿?
CIAO¡¡¡
Finalmente el workarround ha sido lo que se comentaba aquí:
http://www.improvisa.com/26-01-2012/err ... windows-7/
Consiste en modificar el archivo:
/usr/share/perl5/EBox/Iptables.pm
Hay que modificar la línea:
pf('-A FORWARD -m state --state INVALID -j fdrop'),
por esta otra línea:
pf('-A FORWARD -p tcp ! --dport 443 -m state --state INVALID -j fdrop'),
luego hay que reiniciar el FW:
/etc/init.d/zentyal firewall restart
Aún así tengo que decir que con los MAX 7.5 gmail sólo abre con Chromium y Hotmail sólo con Firefox, por lo que no es una solución definitiva..... ¿?¿?
CIAO¡¡¡