Windows Live 2011 não conecta [RESOLVIDO]

gregorio_rr
(usa openSUSE)

Enviado em 07/04/2011 - 17:13h

Faz o seguinte, acrescente a palavra transparent ao fim da linha da porta do squid

#http_port 3128 transparent

O resto vc deixa o mesmo, isso faz o squid ficar transparent, ou seja, tudo passa. Se o MSN 2011 e o micrsoft security funcionarem, é o proxy. Vamos isolar os casos, libera o proxy primeiro e se funcionar, trabalharemos em cima dele. Se der o mesmo erro, vamos trabalhar seu firewall.

Aguardo!

Bonner
(usa CentOS)

Enviado em 08/04/2011 - 14:36h

Bem, como utilizo autenticação, o metodo transparente não servirá para mim...
Mas como sua dica tem finalidades de testes para analisar quem está com problemas vou fazer isso assim que chegar na empresa.
Segui exatamente sua solução e não consegui... Viu como está meu Firewall? Eu dropei a saida dos hosts pela porta 80 sem que estejam configurados a navegar pelo proxy. Fora isso, eles não navegarão. Se eu colocar meu proxy como transparente, acredito que terei que alterar alguma característica também no firewall para que possa analisar o que acontece correto?

Segue novamente uma cópia do meu Firewall:

#!/bin/bash
# chkconfig: 345 99 10
# description: compart

# liberando encaminhamento de pacotes
echo "1" > /proc/sys/net/ipv4/ip_forward

# adicionando módulos no kernel
modprobe ip_tables
modprobe iptable_nat

# limpando todas as regras pré-existentes no iptables
echo "A limpar regras do Firewall"
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -t nat -F
iptables -t mangle -F
echo "Regras do Iptables Limpas!"

#Liberando Sites problemáticos no Proxy
iptables -t nat -A PREROUTING -i eth0 -s 192.168.1.0/24 -d 189.17.249.2 -p tcp --dport 80 -j RETURN
iptables -t nat -A PREROUTING -i eth0 -s 127.0.0.0/24 -d 189.17.249.2 -p tcp --dport 80 -j RETURN
echo "Sites problemáticos liberados. Não esquecer de adicionar exceção no navegador!"

# habilitando o encaminhamento de pacotes via iptables
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo "Encaminhamento de Pacotes Habilitado com sucesso!"

# Bloqueio de Saida dos hosts da LAN pela porta 80
iptables -t nat -I PREROUTING -p tcp --dport 80 -j DROP
echo "Saida direta dos hosts da lan na porta 80 fechada!"

# Liberar IP do host do Proxy sair
iptables -t nat -I PREROUTING -s 192.168.1.1 -p tcp --dport 80 -j ACCEPT
echo "IP do host do Proxy liberado"


Abraço!

Bonner
(usa CentOS)

Enviado em 08/04/2011 - 15:33h

Caro amigo, apenas para incrementar, nos logs de acesso Proibido do sarg ele me mostra estes endereços:

http://loginnet.passport.com/ThirdPartyCookieCheck.srf?

E no campo de Falha de autenticação ele me mostra este:

http://corppki/pki/crl/products/Microsoft%20Online%20Services%20GFS%20CA2+.crl
http://corppki/pki/crl/products/Microsoft%20Online%20Services%20GFS%20CA2.crl

Já havia adicionado todos os endereços possíveis que estariam sendo bloqueados pelo squid, porém, estes são novos e eu os adicionei nas listas de permissão para que não passem pela autenticação... Vamos aguardar resposta da empresa com relação aos acessos do WLM2011.. Caso resolvido, o próximo passo será o do Anti Vírus, analisar todos os endereços possíveis que possam estar causando erros ao fazer o update...

Talvez o erro seja no squid mesmo, não acredito muito que seja firewall.
Abraço!

Bonner
(usa CentOS)

Enviado em 08/04/2011 - 16:44h

Eh, infelizmente não resolveu simplesmente desbloqueando tais links.
Hoje a noite, espero eu, o técnico irá deixar o servidor preparado para conexão remota e uma estação com teamviewer preparada para testes.
Se possível, por favor, me adiciona no msn para conversarmos e eu te apresentar o ambiente.
bonner_@hotmail.com
Valeu!

Atenciosamente,
Pedro Oliveira

gregorio_rr
(usa openSUSE)

Enviado em 08/04/2011 - 22:04h

Teste com squid transparente feito, blza. Eliminamos uma possibilidade. Agora mexer com o firewall. Mas antes, tenho algumas perguntas:

1-O servidor squid já está em produção (sendo usado)?
2-Caso ainda esteja em ambiente de teste, pode deixá-lo transparente o tempo todo? Só pra termos certeza qd o firewall estiver 100% ok.

Blza. Agora vamos mudar seu firewall
Mude o IP para o de sua rede local.

#!/bin/bash
# chkconfig: 345 99 10
# description: compart

# limpando todas as regras pré-existentes no iptables
echo "A limpar regras do Firewall"
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -t nat -F
iptables -t mangle -F
echo "Regras do Iptables Limpas!"

# adicionando módulos no kernel
modprobe ip_tables
modprobe iptable_nat

#Compartilhamento da Internet
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#Libera porta MSN e porta segura
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --destination-port 443 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --destination-port 1863 -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -p tcp --destination-port 443 -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -p tcp --destination-port 1863 -j ACCEPT

#Liberando Sites problemáticos no Proxy
iptables -t nat -A PREROUTING -i eth0 -s 192.168.1.0/24 -d 189.17.249.2 -p tcp --dport 80 -j RETURN
iptables -t nat -A PREROUTING -i eth0 -s 127.0.0.0/24 -d 189.17.249.2 -p tcp --dport 80 -j RETURN
echo "Sites problemáticos liberados. Não esquecer de adicionar exceção no navegador!"

# habilitando o encaminhamento de pacotes via iptables
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A INPUT -j ACCEPT -m state --state NEW,ESTABLISHED,RELATED -i eth0 -p tcp --dport 3128
iptables -A OUTPUT -j ACCEPT -m state --state NEW,ESTABLISHED,RELATED -o eth0 -p tcp --dport 80
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED -i eth0 -p tcp --sport 80
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED -o eth0 -p tcp --sport 80
echo "Encaminhamento de Pacotes Habilitado com sucesso!"

# Bloqueio de Saida dos hosts da LAN pela porta 80
iptables -t nat -I PREROUTING -p tcp --dport 80 -j DROP
echo "Saida direta dos hosts da lan na porta 80 fechada!"

# Liberar IP do host do Proxy sair
iptables -t nat -I PREROUTING -s 192.168.1.1 -p tcp --dport 80 -j ACCEPT
echo "IP do host do Proxy liberado"

No inicio botei a limpeza > Acrescentei umas regras de compartilhamento > Liberei a porta do MSN e porta segura > Encaminhamento de pacotes com conexão estabelecida. Deixa o squid transparente ainda e executa esse script de firewall. Vi que a porta do MSN e a 443 não estavam liberadas, pode ter algo a ver.

Já adicionei bonner_@hotmail.com ao MSN.

Bonner
(usa CentOS)

Enviado em 09/04/2011 - 17:20h

Infelizmente, o servidor está em ambiente de produção.
Perdi até um cliente com isso. Ele aos poucos foi identificando falhas comm relação a estes impedimentos que aconteceram o que culminou numa insatisfação e perca de contrato no desenvolvimento de outros...
Lutei até o último minuto para tentar prestar uma assistência total a empresa e ao fornecedor, tentei fazer uma pós venda legal, mas acho que eles ficaram insatisfeitos.
Não me ligaram nem viabilizaram uma máquina para testes para que eu continue mexendo no servidor, então, prefiro abrir mão e deixar eles para lá.
Se não me procuraram mais, e não viabilizaram a conexão com o servidor e uma estação, é porque estão se virando com o que tem e o resto ainda funciona, portanto, abstrairam estes detalhes.

Eu irei subir a mesma máquina no Virtual Box, simularei todo o ambiente com as mesmas configurações e eu mesmo tentarei sanar estes problemas a nível de aprendizado, pois, até eu fiquei encucado com o problema.
Assim que tiver com a máquina pronta, continuaremos os procedimentos!

Obrigado Gregorio pelo seu Networking!
E claro, adicionarei no MSN para conversarmos!

Bonner
(usa CentOS)

Enviado em 09/04/2011 - 17:24h

Com relação ao seu comentário do firewall, esta linha já por sí só deixa passar tudo!

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Só dropei a porta 80 para os hosts da rede local não acessarem a internet sem antes autenticarem no squid, no caso, configurando o endereço do proxy no navegador.

iptables -t nat -I PREROUTING -p tcp –dport 80 -j DROP

HTTPS, SMTPS dentre outras portas de conexão criptografadas estão literalmente abertas! Foi a alternativa que encontrei para deixar passar tudo nesta empresa e não ter problemas!

condealisson
(usa Debian)

Enviado em 26/06/2012 - 17:13h

Olá a todos!

Muito obrigado pela excelente dica algoz, funcionou 100% aqui, parabéns!