OPNsense Forum

International Forums => German - Deutsch => Topic started by: Thargor on December 03, 2017, 02:46:55 pm

Title: Squid Fehlermeldung
Post by: Thargor on December 03, 2017, 02:46:55 pm

Hi

habe den Webproxy als transparent laufen, aber manchmal bekomme ich bei manchen Internetseiten eine Fehlermeldung:

The system returned:

(92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)
Handshake with SSL server failed: error:14077102:SSL routines:SSL23_GET_SERVER_HELLO:unsupported protocol

Bei der Seite handelt es sich um tuicruises.com.

Was müsste ich einstellen damit ich die Seite aufmachen kann, bzw. liegt der Fehler bei mir oder bei Internetseite?

Title: Re: Squid Fehlermeldung
Post by: fabian on December 03, 2017, 03:12:13 pm

Wir sorgen dafür, dass keine unsichere Verbindung zustande kommt und daher gibt es den Fehler, weil der Server keine aktuelle TLS-Implementierung hat. Vermutlich liegt es an dieser Option: https://github.com/opnsense/core/blob/master/src/opnsense/service/templates/OPNsense/Proxy/squid.conf#L59

Der Server scheint TLS 1.0 zu verwenden (wenn ich die Seite im Firefox 57 aufmache). Mit der gültigen Squid-Konfiguration ist mindestens TLS 1.1 erforderlich.

TLS 1.0 ist aus Sicherheitsgründen deaktiviert - zum Beispiel steht hier was dazu:
https://www.heise.de/security/artikel/Poodle-So-funktioniert-der-Angriff-auf-die-Verschluesselung-2425250.html

Lösungen für das Problem:
* Domain whitelisten (schlechte aber einfache Lösung).
* Direktive aus dem Template löschen (allerschlechteste Lösung)
* Den Webseitenbetreiber überzeugen, eine aktuelle TLS-Implementierung zu verwenden (beste Lösung)

Title: Re: Squid Fehlermeldung
Post by: franco on December 03, 2017, 03:15:53 pm

Komisch, im Chrome heisst es zu tuicruises.com folgendes:

The connection to this site is encrypted and authenticated using TLS 1.2 (a strong protocol), ECDHE_RSA with P-256 (a strong key exchange), and AES_256_GCM (a strong cipher).


Grüsse
Franco

Title: Re: Squid Fehlermeldung
Post by: Thargor on December 03, 2017, 03:26:22 pm

Quote from: franco on December 03, 2017, 03:15:53 pm

Komisch, im Chrome heisst es zu tuicruises.com folgendes:

The connection to this site is encrypted and authenticated using TLS 1.2 (a strong protocol), ECDHE_RSA with P-256 (a strong key exchange), and AES_256_GCM (a strong cipher).


Grüsse
Franco

Nutz auch den Chrome, aber bei mir kommt die obige Fehlermeldung.

Auch wenn ich unter den Proxyeisntellung -> Ausnahmeliste: .tuicruises.com eintrage, kommt immer noch die Fehlermeldung... sollte ich mal den Cache vom Browser löschen?

Der Fehler taucht nur im LAN Netzwerk auf, über WLAN funktioniert das, obwohl beide Interfaces LAN und WLAN_AP im Proxy eingestellt sind?!

Title: Re: Squid Fehlermeldung
Post by: Thargor on December 03, 2017, 07:56:20 pm

ist das verhalten von Squid so normal?

Finde das ich enorm hohe Speicherauslastung haben 35% teilweise

Code: [Select]

Dec 3 19:51:50 configd.py: [9ef69a43-9e93-402d-b729-6688ebeaeede] request pfctl byte/packet counters
Dec 3 19:51:43 configd.py: [8d594312-155e-4a0e-8c5f-4ee90f6a0cec] request pfctl byte/packet counters
Dec 3 19:51:38 squid[85330]: Squid Parent: (squid-1) process 39525 started
Dec 3 19:51:35 configd.py: [ba61afce-21cf-4e61-b077-3abe9da1731c] request pfctl byte/packet counters
Dec 3 19:51:35 squid[85330]: Squid Parent: (squid-1) process 89515 exited with status 1
Dec 3 19:51:27 configd.py: [b9c55a7a-6fa2-4715-a764-8ca8b04787ac] request pfctl byte/packet counters
Dec 3 19:51:26 squid[20213]: Squid Parent: (squid-1) process 4303 started
Dec 3 19:51:23 squid[20213]: Squid Parent: (squid-1) process 80504 exited with status 1
Dec 3 19:51:20 configd.py: [c42d2d30-250c-408e-8e53-8ccb19647da2] request pfctl byte/packet counters
Dec 3 19:51:04 squid[85330]: Squid Parent: (squid-1) process 89515 started
Dec 3 19:51:02 configd.py: [d74b2c06-0e80-42ca-937f-13d6f1fc7e1f] request proxy status
Dec 3 19:51:01 squid[85330]: Squid Parent: (squid-1) process 56090 exited with status 1
Dec 3 19:50:56 configd.py: [ef3d2d20-14c4-4a3a-8983-e063bb5119c3] request pfctl byte/packet counters
Dec 3 19:50:53 squid[20213]: Squid Parent: (squid-1) process 80504 started
Dec 3 19:50:50 squid[20213]: Squid Parent: (squid-1) process 23018 exited with status 1
Dec 3 19:50:48 configd.py: [09db3ec5-d150-4fbe-b3b9-b014feaea666] request pfctl byte/packet counters
Dec 3 19:50:41 configd.py: [d9d58266-ed2c-4c0f-a380-664a54237278] request pfctl byte/packet counters
Dec 3 19:50:33 configd.py: [8bcdacb4-72ea-45da-9f69-0e07f910f83c] request pfctl byte/packet counters
Dec 3 19:50:31 squid[85330]: Squid Parent: (squid-1) process 56090 started
Dec 3 19:50:28 squid[85330]: Squid Parent: (squid-1) process 15045 exited with status 1
Dec 3 19:50:25 configd.py: [0d5fda5d-e32f-447f-894b-70619c70e276] request pfctl byte/packet counters
Dec 3 19:50:17 squid[20213]: Squid Parent: (squid-1) process 23018 started
Dec 3 19:50:17 configd.py: [f2573e0d-ae07-40a3-bdb7-639cf6c00955] request pfctl byte/packet counters
Dec 3 19:50:15 opnsense: /index.php: Successful login for user 'root' from: 192.168.0.202
Dec 3 19:50:14 squid[20213]: Squid Parent: (squid-1) process 13168 exited with status 1
Dec 3 19:49:55 squid[85330]: Squid Parent: (squid-1) process 15045 started
Dec 3 19:49:52 squid[85330]: Squid Parent: (squid-1) process 93920 exited with status 1
Dec 3 19:49:46 squid[20213]: Squid Parent: (squid-1) process 13168 started
Dec 3 19:49:43 squid[20213]: Squid Parent: (squid-1) process 92437 exited with status 1
Dec 3 19:49:18 squid[85330]: Squid Parent: (squid-1) process 93920 started
Dec 3 19:49:15 squid[85330]: Squid Parent: (squid-1) process 61454 exited with status 1
Dec 3 19:49:12 squid[20213]: Squid Parent: (squid-1) process 92437 started
Dec 3 19:49:09 squid[20213]: Squid Parent: (squid-1) process 57007 exited with status 1
Dec 3 19:49:01 configd.py: [b93f6451-dde1-498b-9a39-4b9c53a7542a] request pfctl byte/packet counters
Dec 3 19:48:53 configd.py: [30d50c8e-a8b2-49af-9194-b1db7b2f4761] request pfctl byte/packet counte


Code: [Select]

29961 squid 91 0 1142M 72704K CPU1 1 0:12 63.96% (squid-1) -f /usr/local/etc/squid/squid.conf (squid)
40631 squid 52 0 1067M 3720K select 1 0:00 50.49% (pinger) (pinger)
11 root 155 ki31 0K 32K RUN 0 81:05 13.96% [idle{idle: cpu0}]
79877 squid 21 0 1372M 243M kqread 1 1:27 5.27% (squid-1) -f /usr/local/etc/squid/squid.conf (squid)
48377 root 23 0 53352K 7312K kqread 1 0:08 3.96% /usr/local/sbin/lighttpd -f /var/etc/lighty-webConfigurator.conf
24710 squid 20 0 1067M 3716K select 0 0:00 3.96% (pinger) (pinger)
12 root -56 - 0K 224K WAIT 0 3:06 3.17% [intr{swi5: fast taskq}]
58618 root 25 0 111M 15696K accept 1 0:04 3.08% /usr/local/bin/php-cgi
28739 root 52 0 111M 17756K accept 1 0:03 0.39% /usr/local/bin/php-cgi
48961 root 20 0 111M 12684K select 0 0:02 0.29% /usr/local/bin/php-cgi


Title: Re: Squid Fehlermeldung
Post by: fabian on December 03, 2017, 08:13:57 pm

Könnte am Cache liegen - da liegen die Daten im RAM.

Title: Re: Squid Fehlermeldung
Post by: Thargor on December 03, 2017, 09:59:01 pm

Kann man das irgendwo löschen oder leeren?