Não passa autenticação https (da globo) com proxy ativo

[emsfalcao]

Colegas, mais uma daquelas de quebrar a cabeça, é o seguinte, um cliente me ligou dizendo que um site da Globo (https) não estava autenticando, fui verificar e realmente o problema existe. Só passa se desativar a regra de redirecionamento para o cache.

O link é esse: https://login.globo.com/login/2618

Fiz um nslookup e peguei o IP correspondente e adicionei nas regras para fora do cache: 201.7.0.0/16

Mas isso não resolveu.

Agradeço desde já a atenção de todos.

[interhome]

/ ip web-proxy cache



add url="https://" action=deny comment="Dont cache Dynamic HTTPS Pages" \
disabled=no
add url=":cgi-bin \\?" action=deny comment="" disabled=no
add url="\"

[emsfalcao]

Adicionei a regra, esvaziei a cache, mas o problema persiste

[interhome]

Poste as configurações usadas para o redirecionamento do tráfego para o cache.

[emsfalcao]

add action=redirect chain=pre-hotspot comment="REDIRECIONAMENTO DE CLIENTES HOTSPOT PARA PROXY PORTA 8080" disabled=no dst-port=80 hotspot=auth in-interface=local protocol=tcp \
to-ports=8080

add action=redirect chain=dstnat comment="REDIRECIONAMENTO DE CLIENTES DE SESSOES FIXAS (IP BINDINGS) PARA O PROXY" disabled=no dst-port=80 in-interface=local protocol=tcp to-ports=8080

[interhome]

As regras para redirecionamento estão corretas. Porem quando se cria regras para redirecionamento existem as exceções. Para isso o Mikrotik oferece um campo no firewall que se chama address-list onde podemos criar uma lista dentro de grupos e a usar conforme as necessidades. Nesse caso criaremos uma lista chamada de sem_proxy. Logo apos iremos informar para o redirecionamento que tudo que vier na porta 80 TCP será redirecionado para 8080 exceto (!) o grupo chamado sem_proxy.

/ip firewall address-list
add address=200.201.160.0/24 comment="" disabled=no list=sem_proxy
add address=200.201.166.0/24 comment="" disabled=no list=sem_proxy
add address=200.201.173.0/24 comment="" disabled=no list=sem_proxy
add address=200.201.174.0/24 comment="" disabled=no list=sem_proxy
add address=66.211.0.0/16 comment="" disabled=no list=sem_proxy

/ip firewall nat

add action=redirect chain=pre-hotspot comment=PROXY disabled=no \
dst-address-list=!sem_proxy dst-port=80 hotspot=from-client,auth \
in-interface=CLIENTE protocol=tcp to-ports=8080
add action=redirect chain=dstnat comment="" disabled=no dst-address-list=\
!sem_proxy dst-port=80 in-interface=CLIENTE protocol=tcp to-ports=8080

Esse recurso de criar listas é utilizado para "n" coisas. A idéia é que alem do copiar e colar. Tentar explicar um pouco como é o funcionamento dos recursos existentes no Mikrotik.

[emsfalcao]

interhome, gostei muito da resposta e da explicação, sou totalmente de acordo com sua idéia de além de ajudar, explicar. Sou contra uns tipos que copiam tudo que é regra e colam no mikrotik sem ao menos analisar e alguns ainda vém ao fórum criticar o sistema de forma maldosa.

Eu já havia tentado essa excessão só que de outra maneira similar. Mas mesmo assim, removi a regra anterior e inseri a sugerida por vc, da forma como vc postou, apenas mudei o nome da interface dos clientes e adicionei o IP de destino do maldito site da globo (201.7.0.0/16) que está causando esse problema e para finalizar esvaziei a cache, só que o problema persiste, a página continua sem autenticar. Temporariamente eu acrescentei essa regra para deixar o cliente fora do cache:
add action=accept chain=pre-hotspot comment="Cliente dora do Proxy" disabled=no dst-port=80 hotspot=auth in-interface=local protocol=tcp src-address=(ip do cliente)

Se tivesse como eu agradeceria dez merecidas vezes pela ajuda, boa vontade e atenção dispensada até o momento, mas sem querer abusar, se houver mais alguma sugestão ou possível solução para o problema, fico mais uma vez agradecido!

[emsfalcao]

[RESOLVIDO]

Fiz o seguinte, mantive minhas regras de Redirecionamento e adicionei essa abaixo:

/ ip firewall nat

add action=accept chain=pre-hotspot comment="DESTINOS FORA DO PROXY (sem_proxy Access List)" disabled=no dst-address-list=sem_proxy dst-port=80 in-interface=local protocol=tcp

add action=accept chain=dstnat comment="" disabled=no dst-address-list=sem_proxy dst-port=80 in-interface=local protocol=tcp

/ip firewall address-list

add address=66.240.207.4 comment=chutecerto.globo.com disabled=no list=sem_proxy


Muito obrigado INTERHOME, suas dicas foram de grande valia para o êxito!

[interhome]

Use a estrela para reputação. Gostei do seu raciocinio. Assim da gosto de explicar. Qualquer coisa, só postar a duvida e me enviar o link que estando ao meu alcance ajudo.

[elielsm]

emsfalcao ,
poderia me explicar como faço isso ai , q vc disse acima.
Nao entendo nada , poderia me dizer passo a passo como adicionar essas regras ?
agradeço

[emsfalcao]

emsfalcao ,
poderia me explicar como faço isso ai , q vc disse acima.
Nao entendo nada , poderia me dizer passo a passo como adicionar essas regras ?
agradeço

Sem entender de Firewall e Mikrotik fica extremamente dificil de explicar, para quem entende, está tudo explícito acima. Mas vamos tentar... Qual o tipo de autenticação que seus clientes utilizam? (Hotspot, PPPoE, Nenhuma)

[elielsm]

Nao tenho cliente nenhum , só estou querendo acessar esse site da globo , mas ele nao funciona devido ao redirecionamento.Entao vc explicou ao cara e resolveu . Queria adicionar essas regras pra ver se consigo logar tbm . Só nao entendo de firewall e mikrotik. Tem como me explicar em partes , como fazer esse procedimento de adicionar regras ? agradeço .