SERPRO nao acessa [RESOLVIDO]

1. SERPRO nao acessa [RESOLVIDO]

gigatesla boy
(usa Arch Linux)

Enviado em 11/09/2013 - 16:28h

Boa tarde.
Implementei na rede um proxy autenticado para que possa ter um melhor controle da rede. O problema é que com o proxy novo nao consigo acessar o serpro.

O squid.conf: http://pastebin.com/QghdzFDx
O script do iptables: http://pastebin.com/D2D3MGda
Outro script do iptables: http://pastebin.com/Tx7LBfSh

A infraestrutura da rede é a seguinte: o sinal vem pelo roteador, vai para um switch de 48 portas, temos um servidor chamado 'fodase' que é dhcp+firewall+proxy ligado no swicth com 2 interfaces de rede. O fodase funciona perfeitamente, inclusivo o acesso ao serpro.
E temos o novo proxy que é autenticado, chamado darth_vader, que funciona tudo certo exceto o acesso ao serpro(acesso.serpro.gov.br). O darth_vader tbm possui duas interfaces de rede no switch.

O darth_vader pega o ip pelo fodase. O fodase fica na faixa 192.168.0.0/255.255.255.0 e o darth_vader no 10.0.0.0/255.0.0.0.

Da minha maquina eu acesso o serpro se estiver usando a faixa de ip do fodase, se eu pegar um ip do darth_vader, eu faço o login no navegador e depois no java, porem no serpro eu recebo o erro 'Failed to connect to server/host 161.148.40.200 and port 23000.' Anteriormente eu recebia o erro comm 663, que segundo o help serpro é 'O certificado no servidor pode estar utilizando um nome que não corresponde a seu nome na Internet.'. Nao sei ao certo o que fez mudar o erro.

Nos config que postei acima há varios trechos comentados, que são testes que eu fiz.
Cheguei ao extremo de dar um http_access allow all no squid.conf, e mesmo assim nao funcionou.

Outra coisa que pode ser relevante: Se eu acesso o darth_vader via ssh e dou um 'telnet 161.148.40.200 23000', ele conecta normalmente. Porem da minha maquina(que esta com a faixa do darth_vader) eu recebo 'telnet: Unable to connect to remote host: Connection timed out'.

Ja com o ping a partir do darth_vader, acontece o seguinte: 'root@darth-vader:~# ping acesso.serpro.gov.br -c 4
PING acesso.serpro.gov.br (161.148.40.200) 56(84) bytes of data.

--- acesso.serpro.gov.br ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3022ms'
E o ping a partir da minha maquina: 'secinfo@secinfo-desktop:~$ ping acesso.serpro.gov.br -c 4
ping: unknown host acesso.serpro.gov.br'

Alguem tem alguma ideia do que posso fazer ou já passou pelo mesmo problema?
Agradeço a atenção.

0 0

Quote

2. Re: SERPRO nao acessa [RESOLVIDO]

px
(usa Debian)

Enviado em 11/09/2013 - 16:48h

gigatesla boy escreveu:

Boa tarde.
Implementei na rede um proxy autenticado para que possa ter um melhor controle da rede. O problema é que com o proxy novo nao consigo acessar o serpro.

O squid.conf: http://pastebin.com/QghdzFDx
O script do iptables: http://pastebin.com/D2D3MGda
Outro script do iptables: http://pastebin.com/Tx7LBfSh

A infraestrutura da rede é a seguinte: o sinal vem pelo roteador, vai para um switch de 48 portas, temos um servidor chamado 'fodase' que é dhcp+firewall+proxy ligado no swicth com 2 interfaces de rede. O fodase funciona perfeitamente, inclusivo o acesso ao serpro.
E temos o novo proxy que é autenticado, chamado darth_vader, que funciona tudo certo exceto o acesso ao serpro(acesso.serpro.gov.br). O darth_vader tbm possui duas interfaces de rede no switch.

O darth_vader pega o ip pelo fodase. O fodase fica na faixa 192.168.0.0/255.255.255.0 e o darth_vader no 10.0.0.0/255.0.0.0.

Da minha maquina eu acesso o serpro se estiver usando a faixa de ip do fodase, se eu pegar um ip do darth_vader, eu faço o login no navegador e depois no java, porem no serpro eu recebo o erro 'Failed to connect to server/host 161.148.40.200 and port 23000.' Anteriormente eu recebia o erro comm 663, que segundo o help serpro é 'O certificado no servidor pode estar utilizando um nome que não corresponde a seu nome na Internet.'. Nao sei ao certo o que fez mudar o erro.

Nos config que postei acima há varios trechos comentados, que são testes que eu fiz.
Cheguei ao extremo de dar um http_access allow all no squid.conf, e mesmo assim nao funcionou.

Outra coisa que pode ser relevante: Se eu acesso o darth_vader via ssh e dou um 'telnet 161.148.40.200 23000', ele conecta normalmente. Porem da minha maquina(que esta com a faixa do darth_vader) eu recebo 'telnet: Unable to connect to remote host: Connection timed out'.

Ja com o ping a partir do darth_vader, acontece o seguinte: 'root@darth-vader:~# ping acesso.serpro.gov.br -c 4
PING acesso.serpro.gov.br (161.148.40.200) 56(84) bytes of data.

--- acesso.serpro.gov.br ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3022ms'
E o ping a partir da minha maquina: 'secinfo@secinfo-desktop:~$ ping acesso.serpro.gov.br -c 4
ping: unknown host acesso.serpro.gov.br'

Alguem tem alguma ideia do que posso fazer ou já passou pelo mesmo problema?
Agradeço a atenção.

É o clássico problema da infraestrutura dnv, as vezes seu DNS não funciona e quando funciona da o erro, vou fazer algumas sugestões para ir eliminado os básicos, verifique a hora/data do servidor, verifique também as rotas no aparelho, tente usar algum programa para ver qual pacote está saindo/entrando no pc cuja conexão não se estabiliza nem da ping...

Verifique novamente seu squid.conf e script do iptables e post eles para nos aqui do vol darmos uma olhada juntos, pois quanto mais núcleos (cabeças) mais rápido acabamos com este problema, rsrsrs, fico no aguardo até mais.

0 0

Quote

3. Re: SERPRO nao acessa [RESOLVIDO]

l0g1in
(usa FreeBSD)

Enviado em 12/09/2013 - 12:46h

Em uma das máquinas está correto, pois eles está limitando o icmp, no outro parece algum problema de infraestrutura, DNS etc...
iptables -A FORWARD -i eth0 -p tcp -s acesso.serpro.gov.br -m multiport --dport 23,23000,8999 -j ACCEPT

http://acesso.serpro.gov.br/HOD10/manual09.html#1.

0 0

Quote

4. Re: SERPRO nao acessa [RESOLVIDO]

IZhaq_Melo
(usa FreeBSD)

Enviado em 12/09/2013 - 14:30h

cara depois ve se a rede deles ta tudo ok.
http://goo.gl/hMda4X

0 0

Quote

5. Re: SERPRO nao acessa [RESOLVIDO]

gigatesla boy
(usa Arch Linux)

Enviado em 13/09/2013 - 09:11h

IZhaq_Melo escreveu:

cara depois ve se a rede deles ta tudo ok.

https://www.serpro.gov.br/conteudo-css/css

Consegui acessar, porém o chromium alertor que o certificado parecia ser invalido.

root360 escreveu:

Em uma das máquinas está correto, pois eles está limitando o icmp, no outro parece algum problema de infraestrutura, DNS etc...
iptables -A FORWARD -i eth0 -p tcp -s acesso.serpro.gov.br -m multiport --dport 23,23000,8999 -j ACCEPT

http://acesso.serpro.gov.br/HOD10/manual09.html#1.

Esta regra do iptables eu aplico no darth_vader ou no fodase? Ou em ambos?
Ouve uma conferencia esta semana de informatica, e o pessoal la falou que era o DNS. Foi recomendado colocar o da GVT, porem nao resolveu.

0 0

Quote

6. Re: SERPRO nao acessa [RESOLVIDO]

stefaniobrunhara
(usa CentOS)

Enviado em 13/09/2013 - 10:01h

Tive um problema parecido, usei opendns e resolveu 208.67.222.222

vim /etc/resolv.conf

nameserver 208.67.222.222

0 0

Quote

7. Re: SERPRO nao acessa [RESOLVIDO]

gigatesla boy
(usa Arch Linux)

Enviado em 13/09/2013 - 10:33h

Aqui ta o firewall do fodase: http://pastebin.com/ZQugeUz9
Aqui o squid: http://pastebin.com/jYxb65Ec

Eu experimentei desativar algumas opções como o bloquei de ip, etc.

0 0

Quote

8. Re: SERPRO nao acessa [RESOLVIDO]

gigatesla boy
(usa Arch Linux)

Enviado em 13/09/2013 - 11:08h

Bom dia.
Eu resolvi o problema!!!

O darth_vader estava usando o fodase(192.168.0.222) como gateway, mudei para o darth_vader(10.0.0.1).

Tão facil e fiquei mais de uma semana fuçando. Eta vida de TI...

1 0

Quote