+ Responder ao Tópico



  1. #1

    Question Não passa autenticação https (da globo) com proxy ativo

    Colegas, mais uma daquelas de quebrar a cabeça, é o seguinte, um cliente me ligou dizendo que um site da Globo (https) não estava autenticando, fui verificar e realmente o problema existe. Só passa se desativar a regra de redirecionamento para o cache.

    O link é esse: https://login.globo.com/login/2618

    Fiz um nslookup e peguei o IP correspondente e adicionei nas regras para fora do cache: 201.7.0.0/16

    Mas isso não resolveu.

    Agradeço desde já a atenção de todos.

  2. #2
    André Andrade*MikrotikRio Avatar de interhome
    Ingresso
    Oct 2008
    Localização
    Brasil.
    Posts
    1.094
    Posts de Blog
    15

    Padrão

    / ip web-proxy cache



    add url="https://" action=deny comment="Dont cache Dynamic HTTPS Pages" \
    disabled=no
    add url=":cgi-bin \\?" action=deny comment="" disabled=no
    add url="\"



  3. #3

    Padrão

    Adicionei a regra, esvaziei a cache, mas o problema persiste
    Última edição por emsfalcao; 20-02-2010 às 23:36.

  4. #4
    André Andrade*MikrotikRio Avatar de interhome
    Ingresso
    Oct 2008
    Localização
    Brasil.
    Posts
    1.094
    Posts de Blog
    15

    Padrão

    Poste as configurações usadas para o redirecionamento do tráfego para o cache.



  5. #5

    Padrão

    add action=redirect chain=pre-hotspot comment="REDIRECIONAMENTO DE CLIENTES HOTSPOT PARA PROXY PORTA 8080" disabled=no dst-port=80 hotspot=auth in-interface=local protocol=tcp \
    to-ports=8080

    add action=redirect chain=dstnat comment="REDIRECIONAMENTO DE CLIENTES DE SESSOES FIXAS (IP BINDINGS) PARA O PROXY" disabled=no dst-port=80 in-interface=local protocol=tcp to-ports=8080

  6. #6
    André Andrade*MikrotikRio Avatar de interhome
    Ingresso
    Oct 2008
    Localização
    Brasil.
    Posts
    1.094
    Posts de Blog
    15

    Padrão

    As regras para redirecionamento estão corretas. Porem quando se cria regras para redirecionamento existem as exceções. Para isso o Mikrotik oferece um campo no firewall que se chama address-list onde podemos criar uma lista dentro de grupos e a usar conforme as necessidades. Nesse caso criaremos uma lista chamada de sem_proxy. Logo apos iremos informar para o redirecionamento que tudo que vier na porta 80 TCP será redirecionado para 8080 exceto (!) o grupo chamado sem_proxy.

    /ip firewall address-list
    add address=200.201.160.0/24 comment="" disabled=no list=sem_proxy
    add address=200.201.166.0/24 comment="" disabled=no list=sem_proxy
    add address=200.201.173.0/24 comment="" disabled=no list=sem_proxy
    add address=200.201.174.0/24 comment="" disabled=no list=sem_proxy
    add address=66.211.0.0/16 comment="" disabled=no list=sem_proxy


    /ip firewall nat

    add action=redirect chain=pre-hotspot comment=PROXY disabled=no \
    dst-address-list=!sem_proxy dst-port=80 hotspot=from-client,auth \
    in-interface=CLIENTE protocol=tcp to-ports=8080
    add action=redirect chain=dstnat comment="" disabled=no dst-address-list=\
    !sem_proxy dst-port=80 in-interface=CLIENTE protocol=tcp to-ports=8080


    Esse recurso de criar listas é utilizado para "n" coisas. A idéia é que alem do copiar e colar. Tentar explicar um pouco como é o funcionamento dos recursos existentes no Mikrotik.



  7. #7

    Padrão

    interhome, gostei muito da resposta e da explicação, sou totalmente de acordo com sua idéia de além de ajudar, explicar. Sou contra uns tipos que copiam tudo que é regra e colam no mikrotik sem ao menos analisar e alguns ainda vém ao fórum criticar o sistema de forma maldosa.

    Eu já havia tentado essa excessão só que de outra maneira similar. Mas mesmo assim, removi a regra anterior e inseri a sugerida por vc, da forma como vc postou, apenas mudei o nome da interface dos clientes e adicionei o IP de destino do maldito site da globo (201.7.0.0/16) que está causando esse problema e para finalizar esvaziei a cache, só que o problema persiste, a página continua sem autenticar. Temporariamente eu acrescentei essa regra para deixar o cliente fora do cache:
    add action=accept chain=pre-hotspot comment="Cliente dora do Proxy" disabled=no dst-port=80 hotspot=auth in-interface=local protocol=tcp src-address=(ip do cliente)

    Se tivesse como eu agradeceria dez merecidas vezes pela ajuda, boa vontade e atenção dispensada até o momento, mas sem querer abusar, se houver mais alguma sugestão ou possível solução para o problema, fico mais uma vez agradecido!
    Última edição por emsfalcao; 21-02-2010 às 23:27.

  8. #8

    Padrão

    [RESOLVIDO]

    Fiz o seguinte, mantive minhas regras de Redirecionamento e adicionei essa abaixo:

    / ip firewall nat

    add action=accept chain=pre-hotspot comment="DESTINOS FORA DO PROXY (sem_proxy Access List)" disabled=no dst-address-list=sem_proxy dst-port=80 in-interface=local protocol=tcp

    add action=accept chain=dstnat comment="" disabled=no dst-address-list=sem_proxy dst-port=80 in-interface=local protocol=tcp

    /ip firewall address-list

    add address=66.240.207.4 comment=chutecerto.globo.com disabled=no list=sem_proxy


    Muito obrigado INTERHOME, suas dicas foram de grande valia para o êxito!



  9. #9
    André Andrade*MikrotikRio Avatar de interhome
    Ingresso
    Oct 2008
    Localização
    Brasil.
    Posts
    1.094
    Posts de Blog
    15

    Padrão

    Use a estrela para reputação. Gostei do seu raciocinio. Assim da gosto de explicar. Qualquer coisa, só postar a duvida e me enviar o link que estando ao meu alcance ajudo.

  10. #10

    Padrão Re: Não passa autenticação https (da globo) com proxy ativo

    emsfalcao ,
    poderia me explicar como faço isso ai , q vc disse acima.
    Nao entendo nada , poderia me dizer passo a passo como adicionar essas regras ?
    agradeço



  11. #11

    Padrão Re: Não passa autenticação https (da globo) com proxy ativo

    Citação Postado originalmente por elielsm Ver Post
    emsfalcao ,
    poderia me explicar como faço isso ai , q vc disse acima.
    Nao entendo nada , poderia me dizer passo a passo como adicionar essas regras ?
    agradeço
    Sem entender de Firewall e Mikrotik fica extremamente dificil de explicar, para quem entende, está tudo explícito acima. Mas vamos tentar... Qual o tipo de autenticação que seus clientes utilizam? (Hotspot, PPPoE, Nenhuma)

  12. #12

    Padrão Re: Não passa autenticação https (da globo) com proxy ativo

    Nao tenho cliente nenhum , só estou querendo acessar esse site da globo , mas ele nao funciona devido ao redirecionamento.Entao vc explicou ao cara e resolveu . Queria adicionar essas regras pra ver se consigo logar tbm . Só nao entendo de firewall e mikrotik. Tem como me explicar em partes , como fazer esse procedimento de adicionar regras ? agradeço .