Socorro!!! Não consigo liberar sites HTTPS

[natodf]

Caros colegas utilizo o mk 2.9.27 com web proxy + cache full + hotsport quase tudo a 100%, não fosse os sites https, quando coloco o endereço proxy e a porta no navegador, as vezes, acesso sites seguros, mas não acesso msn, orkut, gmail. segue parte de minhas configurações.

obs: Peço ajuda depois de varios dias tentando resolver seguindo diversos tutos do companheiros. tanks

Desculpe o tamanho.


/ ip service
set telnet port=23 address=0.0.0.0/0 disabled=yes
set ftp port=21 address=0.0.0.0/0 disabled=no
set www port=80 address=0.0.0.0/0 disabled=no
set ssh port=22 address=0.0.0.0/0 disabled=yes
set www-ssl port=443 address=0.0.0.0/0 certificate=none disabled=no
/ ip upnp
set enabled=no allow-disable-external-interface=yes show-dummy-rule=yes
/ ip arp
/ ip socks
set enabled=no port=1080 connection-idle-timeout=2m max-connections=200
/ ip dns
set primary-dns=201.10.1.3 secondary-dns=201.10.128.2 \
allow-remote-requests=yes cache-size=2048KiB cache-max-ttl=1w
/ ip dns static
add name="aws.com.br" address=192.168.200.1 ttl=1d
/ ip traffic-flow
set enabled=no interfaces=all cache-entries=4k active-flow-timeout=30m \
inactive-flow-timeout=15s
/ ip address
add address=192.168.200.1/24 network=192.168.200.0 broadcast=192.168.200.255 \
interface=Local comment="" disabled=no
add address=10.1.1.1/24 network=10.1.1.0 broadcast=10.1.1.255 \
interface=internet comment="" disabled=no
/ ip proxy
set enabled=no port=8080 parent-proxy=0.0.0.0:1 maximal-client-connecions=1000 \
maximal-server-connectons=1000
/ ip proxy access
add dst-port=23-25 action=deny comment="block telnet & spam e-mail relaying" \
disabled=no
/ ip neighbor discovery
set pppoe-out1 discover=no
set Local discover=yes
set internet discover=yes
/ ip route
/ ip firewall mangle
add chain=output protocol=tcp src-port=3128 content="X-Cache: HIT" \
action=mark-connection new-connection-mark=conn_squid-up passthrough=yes \
comment="CACHE FULL" disabled=no
add chain=output connection-mark=conn_squid-up action=mark-packet \
new-packet-mark=pacotes_squid-up passthrough=yes comment="" disabled=no
add chain=prerouting protocol=tcp dst-port=3128 action=mark-connection \
new-connection-mark=conn_squid-down passthrough=yes comment="" disabled=no
add chain=prerouting connection-mark=conn_squid-down action=mark-packet \
new-packet-mark=pacotes_squid-down passthrough=yes comment="" disabled=no
/ ip firewall nat
add chain=srcnat dst-address=64.233.0.0/16 action=masquerade comment="Orkut - \
MSN - Gmail sem proxy" disabled=no
add chain=srcnat dst-address=207.46.0.0/16 action=masquerade comment="" \
disabled=no
add chain=srcnat dst-address=65.54.0.0/16 action=masquerade comment="" \
disabled=no
add chain=srcnat dst-address=64.4.0.0/16 action=masquerade comment="" \
disabled=no
add chain=srcnat dst-address=65.54.0.0/16 action=masquerade comment="" \
disabled=no
add chain=dstnat in-interface=Local src-address=192.168.200.0/24 protocol=tcp \
dst-port=80 action=redirect to-ports=3128 comment="redirecionar proxy" \
disabled=no
/ ip firewall connection tracking
set enabled=yes tcp-syn-sent-timeout=5s tcp-syn-received-timeout=5s \
tcp-established-timeout=1d tcp-fin-wait-timeout=10s \
tcp-close-wait-timeout=10s tcp-last-ack-timeout=10s \
tcp-time-wait-timeout=10s tcp-close-timeout=10s udp-timeout=10s \
udp-stream-timeout=3m icmp-timeout=10s generic-timeout=10m \
tcp-syncookie=no
/ ip firewall filter
add chain=input protocol=tcp dst-port=3128 action=accept comment="ACEITAR \
CONEXOES PROXY" disabled=no
add chain=input in-interface=pppoe-out1 protocol=tcp dst-port=3128 action=drop \
comment="Bloqueio proxy externo" disabled=no
/ ip firewall service-port
set ftp ports=21 disabled=no
set tftp ports=69 disabled=no
set irc ports=6667 disabled=no
set h323 disabled=no
set quake3 disabled=no
set gre disabled=no
set pptp disabled=no
/ ip hotspot
add name="hotspot1" interface=Local profile=hsprof1 idle-timeout=1m \
keepalive-timeout=none disabled=no
/ ip hotspot service-port
set ftp ports=21 disabled=no
/ ip hotspot profile
set default name="default" hotspot-address=0.0.0.0 dns-name="" \
html-directory=hotspot rate-limit="" http-proxy=0.0.0.0:0 \
smtp-server=0.0.0.0 login-by=cookie,http-chap http-cookie-lifetime=3d \
split-user-domain=no use-radius=no
add name="hsprof1" hotspot-address=192.168.200.1 dns-name="" \
html-directory=hotspot rate-limit="" http-proxy=192.168.200.1:3128 \
smtp-server=0.0.0.0 login-by=cookie,http-chap,https,http-pap \
http-cookie-lifetime=1d ssl-certificate=none split-user-domain=no \
use-radius=no
/ ip hotspot user profile
set default name="default" idle-timeout=1h keepalive-timeout=none \
status-autorefresh=1m shared-users=1 transparent-proxy=yes \
open-status-page=always advertise=no
add name="400k" idle-timeout=none keepalive-timeout=2m status-autorefresh=1m \
shared-users=1 rate-limit="128k/400k" transparent-proxy=yes \
open-status-page=always advertise=no
add name="300k" idle-timeout=none keepalive-timeout=2m status-autorefresh=1m \
shared-users=1 rate-limit="128k/300k" transparent-proxy=yes \
open-status-page=always advertise=no
add name="800k" idle-timeout=none keepalive-timeout=2m status-autorefresh=1m \
shared-users=1 rate-limit="256k/800k" transparent-proxy=yes \
open-status-page=always advertise=no
add name="600k" idle-timeout=none keepalive-timeout=2m status-autorefresh=1m \
shared-users=1 rate-limit="128k/600k" transparent-proxy=yes \
open-status-page=always advertise=no
/ ip dhcp-server
add name="server1" interface=Local lease-time=3d address-pool=static-only \
bootp-support=static always-broadcast=yes disabled=no
/ ip dhcp-server config
set store-leases-disk=5m
/ ip dhcp-server network
add address=192.168.200.2/32 gateway=192.168.200.1 netmask=24 comment=""
/ ip ipsec proposal
add name="default" auth-algorithms=sha1 enc-algorithms=3des lifetime=30m \
lifebytes=0 pfs-group=modp1024 disabled=no
/ ip web-proxy
set enabled=yes src-address=0.0.0.0 port=3128 hostname="proxy" \
transparent-proxy=yes parent-proxy=0.0.0.0:0 \
cache-administrator="webmaster" max-object-size=150000KiB \
cache-drive=system max-cache-size=76800000KiB max-ram-cache-size=512000KiB
/ ip web-proxy access
add dst-port=443 action=allow comment="portas do MSN n o disabled" disabled=no
add src-address=192.168.200.0/24 action=allow comment="" disabled=no
add dst-port=23-25 method=connect action=deny comment="block telnet & spam \
e-mail relaying" disabled=no
/ ip web-proxy cache
add url="https://" action=deny comment="no cache dynamic https pages" \
disabled=no
add url=":cgi-bin \\?" action=deny comment="no cache dynamic http pages" \
disabled=no

[azrael]

estou com o mesmo problema todos site https nao abre gente ajuda aew por favor!!!!

[emsfalcao]

Vou pedir para vocês analisarem uma regra simples: o Masquerade, veja de a interfade de saída (out interface - a do link de internet) está correta!

Estou citanto essaresposta como uma dica, aconteceu comigo por umas 2 vezes que precisei fazer upgrade no hardware do servidor, quando recuperava o backup aconteceu de a interface de saída ser escolhida a da rede local, muito bem que a internet funcionava, com excessão de páginas HTTPS e MSN, mas que fique claro, em momento algum estou afirmando que o problema será este, mas vale apena averiguar.

[arauadbr]

tive o mesmo problema de vocês.
desabilitei o proxy temporariamente e resolveu.
quando achar o problema volta a tentar o proxy.

[azrael]

Vou pedir para vocês analisarem uma regra simples: o Masquerade, veja de a interfade de saída (out interface - a do link de internet) está correta!

Estou citanto essaresposta como uma dica, aconteceu comigo por umas 2 vezes que precisei fazer upgrade no hardware do servidor, quando recuperava o backup aconteceu de a interface de saída ser escolhida a da rede local, muito bem que a internet funcionava, com excessão de páginas HTTPS e MSN, mas que fique claro, em momento algum estou afirmando que o problema será este, mas vale apena averiguar.

Caro Amigo emsfalcao

Fiz o que vc disse fui verifica e pude constatar que estava sem a saida (out) marcada nas regras aplicadas que foram / ip firewall nat chain=srcnat dst address 64.233.0.0/16 out interface=(link da internet) action=masquerad

essa ultima regra que seria o out interface estava desmarcada apos te-la marcado funfou perfeitamente aqui agradeço muito sua ajuda me salvo.

OBRIGADU!!!!!

[natodf]

Infelizmente no meu caso não funfou, talvez seja devido ao meu web prox + cache full + hotspot faltar alguma interatividade, engraçado que algumas vezes, como agora nesse momento, ao colocar o endereço do meu proxy e sua porta no navegador consigo acessar os site htpps. Quanto a dica do colega emsfalcao não pude visualiza-la, pois a mesma não existe, quando tento adiciolar recebo a mensagem do mk que é impossivel adicional informações srcnat a interface. Peço aos colegas que puderem dar uma olhada em minhas configurações postadas acima e me ajude. Ficarei infinitamente grato.

[emsfalcao]

Eu que fico feliz em ter ajudado AZRAEL, e mais ainda por vc ter se dado ao trabalho de agradecer (digo isso porque nem todos lembram). Esse problema é meio comum, mas de fácil solução.


Mas peço aos colegas para continuar o POST para ajudar o colega NATODF, pq a bronca dele parece ser mais séria.