Linux сбербанк squid proxy sberbank токен
Здравствуйте, недавно поднял на Debian8 squid3 -v3.4.8 (система является шлюзом с IPtables и прокси сквид, больше ничего). Проявилась проблема — что сайт сбера не открывается (в IE выдаёт ошибку 500, в хроме и мозилле показывает — This part of the page can’t be rendered. Please contact your administrator.). В логах сквида в кеш.лог никаких записей нет по этому поводу, а в access.log такая запись появляется только и больше ничего: 1432272664.391 121 192.168.0.50 TCP_MISS/500 579 GET http://www.sberbank.ru/ru/person p.mokrushin HIER_DIRECT/194.54.14.159 — Обгуглился весь уже, ничего на ум не приходит, остальные сайты открываются хорошо, с проблемами по крайней мере не обращались, пробовал сайт сбера пускать без авторизации — тоже самое: 1432272926.972 215 192.168.0.50 TCP_MISS/500 582 GET http://www.sberbank.ru/ru/person — HIER_DIRECT/194.54.14.159 — если сайт пускать в обход сквида через нат напрямую, то всё открывается хорошо.
Куда ещё посмотреть можно? Конечно можно добавить сайт мимо сквида и не париться, но какая вероятность столкнуться с проблемами на других сайтах. Вот конфиг сквида (адрес прокси прописан в браузерах пользователей)
http_port 192.168.0.9:3128
http_port 192.168.2.9:3128
http_port 10.0.105.204:3128 # Negotiate Kerberos and NTLM authentication
auth_param negotiate program /usr/lib/squid3/negotiate_wrapper_auth —ntlm /usr/bin/ntlm_auth —diagnostics —helper-protocol=squid-2.5-ntlmssp —kerberos /usr/lib/squid3/negotiate_kerberos_auth -r -s HTTP/domail.local
auth_param negotiate children 200 startup=50 idle=10
auth_param negotiate keep_alive off # LDAP authorization (параметр TTL определяет через сколько секунд обращаться к LDAP об информации о пользователях,
# по умолчанию 3600, частое обращение к AD не очень хорошо)
external_acl_type memberof ttl=3600 ipv4 %LOGIN /usr/lib/squid3/ext_ldap_group_acl -v 3 -P -R -K -b «dc=domain,dc=local» -D s@domain.local -W XXXXXX -f «(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,OU=Groups,OU=Organization,DC=domain,DC=local))» -h dc.domain.local acl SSL_ports port 443 # ssl
acl SSL_ports port 9091 # BKS-bank
acl SSL_ports port 9443 # sberbank
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT # Списки доступа клиентов
acl IP_Full_Access src «/etc/squid3/Group_ACLs/conf_param_groups_full_access.txt»
acl IP_Restrict_Access src «/etc/squid3/Group_ACLs/conf_param_groups_restricted_access.txt»
acl IP_Kadr_Access src «/etc/squid3/Group_ACLs/conf_param_groups_kadr_access.txt»
acl IP_Razvlech_Access src «/etc/squid3/Group_ACLs/conf_param_groups_razvlecheniya_access.txt»
acl IP_SocSeti_Access src «/etc/squid3/Group_ACLs/conf_param_groups_socseti_access.txt»
acl IP_Standard_Access src «/etc/squid3/Group_ACLs/conf_param_groups_standard_access.txt»
acl IP_Video_Access src «/etc/squid3/Group_ACLs/conf_param_groups_video_access.txt» acl lan src 192.168.0.0/24
acl lan2 src 10.0.105.0/24 192.168.2.0/24
acl auth proxy_auth REQUIRED
acl Blocked_Access external memberof Internet-Blocked
acl Restricted_Access external memberof Internet-Restricted
acl Standard_Access external memberof Internet-Standard
acl Full_Access external memberof Internet-Full
acl Kadr_Access external memberof Internet-Kadr
acl Video_Access external memberof Internet-Video
acl Razvlech_Access external memberof Internet-Razvlecheniya
acl SocSeti_Access external memberof Internet-SocSeti
acl Steam_Access src 192.168.0.50
acl sber dstdomain .sberbank.ru #Списки доступа к сайтам
acl Allowed_Sites dstdomain «/etc/squid3/Site_ACLs/conf_param_sites_allowed.txt»
acl Priority_Sites dstdomain «/etc/squid3/Site_ACLs/conf_param_sites_priority.txt»
acl Porno_Sites dstdomain «/etc/squid3/Site_ACLs/conf_param_sites_porno.txt»
acl Video_Sites dstdomain «/etc/squid3/Site_ACLs/conf_param_sites_videohosting.txt»
acl Kadr_Sites dstdomain «/etc/squid3/Site_ACLs/conf_param_sites_kadr.txt»
acl Razvlech_Sites dstdomain «/etc/squid3/Site_ACLs/conf_param_sites_razvlecheniya.txt»
acl SocSeti_Sites dstdomain «/etc/squid3/Site_ACLs/conf_param_sites_socseti.txt»
acl Steam dstdomain «/etc/squid3/Site_ACLs/conf_param_sites_steam.txt»
acl SteamRegEx urlpath_regex -i serverlist server-status
# Списки доступа серверов WSUS (без авторизации)
acl LocalWU_Servers src «/etc/squid3/Group_ACLs/conf_param_computers_wsus.txt»
acl GlobalWU_Sites dstdomain «/etc/squid3/Site_ACLs/conf_param_sites_wsus.txt»
http_access allow localhost manager
http_access allow lan manager
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow sber all
#######
# Правила доступа для клиентов по IP
######
# block porno-sites
http_access deny Porno_Sites
# Allow unrestricted access to prioritysites
http_access allow Priority_Sites
# Allow direct access to Windows Update
http_access allow GlobalWU_Sites LocalWU_Servers
# Allow direct access to steam
http_access allow Steam Steam_Access
http_access allow SteamRegEx Steam_Access
http_access deny IP_Restrict_Access all
http_access allow IP_Full_Access
http_access allow Video_Sites IP_Video_Access
http_access deny Video_Sites lan2
http_access allow Razvlech_Sites IP_Razvlech_Access
http_access deny Razvlech_Sites lan2
http_access allow Kadr_Sites IP_Kadr_Access
http_access deny Kadr_Sites lan2
http_access allow SocSeti_Sites IP_SocSeti_Access
http_access deny SocSeti_Sites lan2
http_access allow IP_Standard_Access
http_access deny lan2 all
# Enforce authentication, order of rules is important for authorization levels
http_access deny !auth
######
# Правила доступа для авторизованных пользователей
######
# Prevent access to basic auth prompt for BlockedAccess users
http_access deny Blocked_Access all
http_access allow Allowed_Sites lan
http_access deny Restricted_Access all
http_access deny IP_Restrict_Access all
http_access allow Full_Access auth lan
http_access allow Video_Sites Video_Access auth lan
http_access deny Video_Sites
http_access allow Razvlech_Sites Razvlech_Access auth lan
http_access deny Razvlech_Sites
http_access allow Kadr_Sites Kadr_Access auth lan
http_access deny Kadr_Sites
http_access allow SocSeti_Sites SocSeti_Access auth lan
http_access deny SocSeti_Sites
http_access allow Standard_Access auth lan
http_access deny all
У нас абсолютно такая же проблема с SQUID 3. Напрямую все работает, через прокси — ошибка. Мы решили прописать правила в IP tables — в обход прокси
Ихний сервер пучит при получении HTTP-заголовка (другие значения не проверял, т.к. мне без надобности):
Лечится таким параметром в сквиде:
> Ихний сервер пучит при получении HTTP-заголовка (другие значения не проверял, т.к. мне
> без надобности):
>
Спасибо, данный способ помог
> Ихний сервер пучит при получении HTTP-заголовка (другие значения не проверял, т.к. мне
> без надобности):
>
>> Ихний сервер пучит при получении HTTP-заголовка (другие значения не проверял, т.к. мне
>> без надобности):
>>
> Спасибо, супер.
Господа, я понимаю что просьба глупая, но подскажите чайнику, а куда и как именно прописывать это параметр?
Пример конфигурации может быть кто покажет?
>>> Ихний сервер пучит при получении HTTP-заголовка (другие значения не проверял, т.к. мне
>>> без надобности):
>>>
>> Спасибо, супер.
> Господа, я понимаю что просьба глупая, но подскажите чайнику, а куда и
> как именно прописывать это параметр?
> Пример конфигурации может быть кто покажет?
Debian: /etc/squid3/squid.conf в новой строке прописать
>>> Спасибо, супер.
>> Господа, я понимаю что просьба глупая, но подскажите чайнику, а куда и
>> как именно прописывать это параметр?
>> Пример конфигурации может быть кто покажет?
> Debian: /etc/squid3/squid.conf в новой строке прописать
>
>>>> Спасибо, супер.
>>> Господа, я понимаю что просьба глупая, но подскажите чайнику, а куда и
>>> как именно прописывать это параметр?
>>> Пример конфигурации может быть кто покажет?
>> Debian: /etc/squid3/squid.conf в новой строке прописать
>>
> Огромное спасибо!
> Помогло!
не помогло. чорд.
Squid: обработка соединений на нестандартных портах
Всем привет!
Часто использую в роли прокси-сервера Squid, в данный момент уже наверное больше по инерции:)
Раньше во времена лимитированного интернета он был более востребован в инсталляциях, т.к. легко настраивается на блокировку нежелательных ресурсов (SquidGuard), плюсом небольшая экономика трафика, ну и мониторинг.
Сегодня не мог понять, почему Plex Media Server не дает защищенное соединение, из дома работает, с работы нет.
Посмотрел логи и вспомнил историю про сбербанк-онлайн и squid.
В стандартном конфигурационном файле squid (squid.conf) присутствует блок с портами, который будет обрабатывать Squid:
acl SSL_ports port 443 # https acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http
В случае Сбербанка-Онлайн нужно добавить порты 9443-9444 как SSL_ports.
Для Plex Media Server порт 32400 тоже как SSL_ports
acl SSL_ports port 32400 #Plex acl SSL_ports port 9443 #SBRF acl SSL_ports port 9444 #SBRF
Проверим конфигурацию Squid:
squid -k check
Если вывод пустой, переконфигурируем Squid:
squid -k reconfigure
Не забываем открыть эти порты на файрволле.
Лишние мысли.
Делюсь опытом, советами, историями, да и всем подряд. И вообще использую как открытую записную книжку вдруг кому что пригодится.
Сбербанк бизнес онлайн, e-invocing,прокси. или решаем ошибку TLS 0210
Бухгалтерию перешла с СПЭД на сбербанк бизнес онлайн. Все шло хорошо, но вот бухи начали хотеть доп функционал который дает СББОЛ(сбербанк бизнес онлайн) в частности ЭДО(электронный документооборот) или как он в СББОЛ называться e-invoicing.
При входе на вкладку получи ошибку TLS 0210
Начал пинать тех. поддержку. Они предложили обновить прошивку VNPKey.
Сказано сделано. Не помогло. Ладно говорят давайте проверим настройки Internet Explorer.
Поэтапно идем. Доходим до этапа надежных узлов и тут она говорит что надо добавить в надежные узлы http://einv.esphere.ru. И естественно на вопрос, нужен ли пользователю доступ на этот адрес ответ да. А сразу сказать что для работы e-invocing нужен доступ на сторонние ресурсы они не могли. Ладно открываю доступ на проксе к сайту но не идет и всё. На что мне заявляют а вы отключите доступ через прокси, на что я им отвечаю что без прокси работать не будет т.к. пользователь не имеет прямого доступа, и тут связь прервалась .
Но сложыв два плюс два, провел ряд экспериментов, пришёл пока к такому решению
Решение
Из-за специфики работы VPN-ключа squid не пускал дополнительное соединение. Пришлось открыть прямой доступ(мимо прокси) для компа с которого работает пользователь к следующим ресурсам.
92.38.2.0 /24 (т.е. всей подсети)
upd: 92.38.2.37 -ориентировочно хватает только этого адреса
upd2: ftls_prod.esphere.ru:443-(сам не проверял но судя по всему доменное имя для работы, можно зацепится за него)
эт для работы e-invocing причем сотрудники тех поддержки не в курсе. Они не смогли сузить количество адресов, да и в принципе не в курсе что к этому доступ нужно давать.