Lenny - squid3 - ssl , nem megy.

Web, mail, IRC, IM, hálózatok

Szia,

A következő a problémám amiben segítség kellene. Adott egy debian lenny szerver, erre szeretnék feltenni, egy squid3-at ami-nek adok egy ssl tanusítványt is és, így elméletileg nyílt halózatokból is ezen keresztül biztonsággal lehet netezni.
A lenny-s squid3 csomagban nincs bent az ssl tamogatas, ezért forrásból tettem fel a squid honlapjól letöltve.

squid3 -v
Squid Cache: Version 3.0.STABLE14
configure options: '--prefix=/usr/local/squid3' '--enable-ssl' '--enable-inline' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd,null' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-underscores' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth=basic,digest,ntlm' '--enable-basic-auth-helpers=LDAP,DB,MSNT,NCSA,PAM,SASL,SMB,YP,getpwnam,multi-domain-NTLM' '--enable-ntlm-auth-helpers=SMB' '--enable-digest-auth-helpers=ldap,password' '--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group' '--with-filedescriptors=65536' '--with-default-user=proxy'

Bele forgattam az ssl tamogatást is, elméletileg.
A squid.conf tartalma:

acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
icp_access deny all
htcp_access deny all
http_port 3128
hierarchy_stoplist cgi-bin ?
cache_dir ufs /var/spool/squid3 100 16 256
access_log /var/log/squid3/access.log squid
cache_log /var/log/squid3/cache.log
cache_store_log /var/log/squid3/store.log
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern (cgi-bin|\?) 0 0% 0
refresh_pattern . 0 20% 4320
icp_port 3130
coredump_dir /var/spool/squid3
auth_param basic program /usr/lib/squid3/ncsa_auth /usr/local/squid3/etc/passwd
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
acl ncsa_users proxy_auth REQUIRED
http_access allow ncsa_users
sslproxy_flags DONT_VERIFY_PEER
https_port domain.hu:3129 cert=/etc/squid3/domain.hu.cert key=/etc/squid3/domain.hu.key defaultsite=https://domain.hu vhost
cache_peer https://domain.hu parent 3129 3130 ssl no-query login=PASS

Ha a 3128-as porton próbálom meg elérni, akkor rendben működik kéri a jelszót, majd jönnek a siteok gond nélkül.
Azonban a 3129-es porton , ugyan be authentikal, de a siteok helyett üres lap jön be!
A logban a következő látható:

clientNegotiateSSL: Error negotiating SSL connection on FD 19: error:1407609C:SSL routines:SSL23_GET_CLIENT_HELLO:http request (1/-1)

Kerestem neten, próbáltam rájönni mi lehet a baj, de nem sikerült, esetleg valaki találkozott már hasonló problémával? Vagy milyen más web proxy-t érdemes kipróbálni, nem kell semmilyen bonyolúlt szabálykezelés stb.. csak tudjon authentikálni és ssl-t használni.

Köszi a helpet.
üdv

  • 2297 megtekintés

( Celtic v | 2009. 04. 26., v – 10:17 )

Nem tudom, mi a hiba, de en inkab apt-build-dal tennem fel a lenny-vol szarmazo forrast.
Eloszor csak letolteni, a configba beirni, hoyg legyen ssl is es utana forditani. Ez mar parszor hasznalt (mas csomagoknal, nem a squid-nel)

Ah, ertelek. Csak nekem pont forditva jott ossze: eredeti forrasbol nem ment a cucc (rendesen, legalabbis az miatt, amiert nem csomagbol raktam), viszont apt-build-dal igen.

Neztem a changelog-ot es a bugreports-ot (szamomra pl. ott derult ki, hogy a libpam-mysql nem tartalmazza az MD5-ot, lennyben mar igen), de most semmi hasznalhato benne :(

A toktudja :) kb:
apt-build update
apt-build source squid3

Aztan mondjuk rakeresni (grep vagy mc), hol szerepel az "ssl".
Ha az egy config file es nem C source, akkor megnezni, van-e ertelme
javitani. Ha megvan, akkor
apt-build build-source squid3

Ha ez is oke, akkor lehet telepiteni
dpkg -i squid3 (meg a tobbiek, amik letrejonnek)

Nagyon regen en is csinaltam normal squid-bol (honlaprol letolt es fordit) proggit, de nem az ssl miatt kellett, hanem (asszem) ncsa_auth miatt. Ez ugy sarge idejen lehetett (vagy potato) es meg ez is hianyzott a debianos forditasbol...

Egyebkent, ha hiba van, azt sztem postold ide. Marmint a forditasnal. Configure.log? gcc bibi? Vagy lefordul es install bug?

Kb így csináltam én is vagyis így akartam volna. A configure szépen végig ment a, make-nél halt el mindig, a hibára pontosan már nem emlékszem. Még egy kicsit bajlódok ezzel a verzioval nem akarom most még leszedni. Ha végképp nem megy megpróbálom azt is ismét.

Szóval ötletek erre a hibára?
clientNegotiateSSL: Error negotiating SSL connection on FD 19: error:1407609C:SSL routines:SSL23_GET_CLIENT_HELLO:http request (1/-1)

üdv

Igen ezt olvastam és ez alapján próbáltam meg első körben én is, de nem jött össze sajnos...
De tulajdonképpen nem is ezzel van a baj, mert sikerült feltenni, elvileg megy is szépen , és ha hinni lehet a squid-nak akkor bele van forgatva az ssl is, a többi szerintem beállítás kérdése, csak nem tudom mi lehet ez a hiba.

( maszili | 2009. 04. 26., v – 20:27 )

Egy régi projektem dokumentációjának részlete...

2.2.1 A szukseges csomagok telepitese

$ apt-get build-dep squid3

2.2.2 A forditasi kornyezet letrehozasa

$ mkdir -p /var/tmp/squid
$ cd /var/tmp/squid

2.2.3 A forraskod letoltese

Ezzel a lepessel leszedi a hianyzo csomagokat,
letrehozza a forditashoz szukseges tovabbi
konyvtarszerkezeteket, majd a gyari debian
konfig szerint elkesziti a binarist.

$ apt-get -b source squid

2.2.4 A konfig modositasa annak erdekeben, hogy legyen ssl kepesseg

A squid-2.7.STABLE2/debian/rules fajlba a konfiguracios parameterekhez (# Configure the package.)
ird hozza a --enable-ssl kapcsolot is, hasonloan a tobbihez.

2.2.5 Binaris elkeszitese

$ cd squid-2.7.STABLE2/
$ dpkg-buildpackage -uc -b

Az elkeszult binaris csomag egy konytarral feljebb keszul el
(/var/tmp/squid)

2.2.6 Binaris csomag telepitese

$ dpkg -i /var/tmp/squid/squid_2.7.STABLE2-2_amd64.deb /var/tmp/squid-common_2.7.STABLE2-2_all.deb

--
maszili

Szia,

Köszi a választ.
Végigcsináltam a leírtakat, squid3-ra, a leírásban az elején squid3-at használsz utána sima squidot, de a hiba jelenség még mindig ugyan az!
2009/04/26 23:21:19| clientNegotiateSSL: Error negotiating SSL connection on FD 19: error:1407609C:SSL routines:SSL23_GET_CLIENT_HELLO:http request (1/-1)
2009/04/26 23:21:19| clientNegotiateSSL: Error negotiating SSL connection on FD 19: error:1407609C:SSL routines:SSL23_GET_CLIENT_HELLO:http request (1/-1)
2009/04/26 23:21:19| clientNegotiateSSL: Error negotiating SSL connection on FD 19: error:1407609C:SSL routines:SSL23_GET_CLIENT_HELLO:http request (1/-1)

SSL itt most is bent van:

squid3 -v
Squid Cache: Version 3.0.STABLE8
configure options: '--build=i486-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--disable-maintainer-mode' '--disable-dependency-tracking' '--srcdir=.' '--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3' '--mandir=/usr/share/man' '--with-cppunit-basedir=/usr' '--enable-inline' '--enable-async-io=8' '--enable-storeio=ufs,aufs,coss,diskd,null' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-ssl' '--enable-underscores' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth=basic,digest,ntlm' '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SASL,SMB,YP,getpwnam,multi-domain-NTLM' '--enable-ntlm-auth-helpers=SMB' '--enable-digest-auth-helpers=ldap,password' '--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group' '--with-filedescriptors=65536' '--with-default-user=proxy' '--enable-epoll' '--enable-linux-netfilter' 'build_alias=i486-linux-gnu' 'CC=cc' 'CFLAGS=-g -O2 -g -Wall -O2' 'LDFLAGS=' 'CPPFLAGS=' 'CXX=g++' 'CXXFLAGS=-g -O2 -g -Wall -O2' 'FFLAGS=-g -O2'

Tehát lényegtelen, hogy forrásból megy vagy debiános csomagból.
üdv

( Batman | 2009. 04. 27., h – 19:03 )

Hello,

Sajnos még mindig nem jöttem rá a megoldásra, még annyit ki fogok próbálni bár nem tudom számít e majd, hogy nem squid3-at , hanem squid-ot fogok debianos forrásból telepíteni --enable-ssl -el. Remélem ez segíteni fog, de ha bármi egyéb ötlet van , akkor hajrá.

üdv

( Batman | 2009. 04. 29., sze – 22:58 )

Szia,

No feltettem másik verziot is: Squid Cache: Version 2.7.STABLE3

De a hiba üzenete és jelensége még mindig ugyan az:
2009/04/29 22:54:51| clientNegotiateSSL: Error negotiating SSL connection on FD 18: error:1407609C:SSL routines:SSL23_GET_CLIENT_HELLO:http request (1/-1)
2009/04/29 22:54:51| clientNegotiateSSL: Error negotiating SSL connection on FD 18: error:1407609C:SSL routines:SSL23_GET_CLIENT_HELLO:http request (1/-1)
2009/04/29 22:54:51| clientNegotiateSSL: Error negotiating SSL connection on FD 18: error:1407609C:SSL routines:SSL23_GET_CLIENT_HELLO:http request (1/-1)
2009/04/29 22:54:52| clientNegotiateSSL: Error negotiating SSL connection on FD 18: error:1407609C:SSL routines:SSL23_GET_CLIENT_HELLO:http request (1/-1)
2009/04/29 22:54:52| clientNegotiateSSL: Error negotiating SSL connection on FD 18: error:1407609C:SSL routines:SSL23_GET_CLIENT_HELLO:http request (1/-1)

Kifogytam az ötletekből, esetleg valakinek van valami ötlete hozzá?

üdv.

( Batman | 2009. 04. 29., sze – 23:13 )

Ugy néz ki sikerült rátalálnom a probléma miben létére:

Tehát ez nem működik így, vagyis ssl kulcsal hitelesített porton keresztül a squid csak https-t enged át, kiprobáltam és valóban.
Lehet én voltan naiv vagy buta, még nem használtam squid-ot de ugy gondoltam ellátom egy tanusítvánnyal és akkor biztonságosan mehet rajta minden forgalom. De ezek szerint ez nem teljesen így van, de javítsatok ki ha tévedek.

üdv

( Batman | 2009. 05. 06., sze – 16:30 )

Szia,

Ez a témakör még mindig fogalalkoztat. El tudná nekem valaki mondani, hogy akkor squid-dal hogyan lehet biztonságos kapcsolatot létesíteni, vagy más proxy szerver is érdekelne ha squid nem képes rá. A cél az lenne hogy már a kliens gép és a proxy szerver közötti kapcsolat is titkosítva menjen.
Ti hogyan véditek az adataitokat nyílt wlan hálózatban ha esetleg onnét kell netezni?

üdv