Задать вопрос
@knstantin
Специалист службы технической поддержки

Не могу настроить TLS шифрование на обратном прокси Squid. Что я делаю не так?

Здравствуйте!
Пытаюсь настроить TLS шифрование соединения с обратным прокси Squid для подключнения к OpenVPN.
При сохранении конфигурации и перезапуске Squid'а никаких сообщений об ошибках нет.
Однако при попытке подключения OpenVPN-клиент выдаёт следующее:
TCP connection established with [AF_INET]XXX.XXX.XXX.XXX:8080
Send to HTTP proxy: 'CONNECT openvpn.local:1194 HTTP/1.1'
Send to HTTP proxy: 'Host: openvpn.local'
recv_line: TCP port read failed on recv(): Unknown error (errno=10054)
SIGUSR1[soft,init_instance] received, process restarting
MANAGEMENT: >STATE:1688678863,RECONNECTING,init_instance,,,,,
Restart pause, 5 second(s)


Скажите, пожалуйста, что я делаю не так?

Файл конфигурации Squid'а:
acl Safe_ports port 1194
acl CONNECT method CONNECT

auth_param digest program /usr/lib/squid/digest_file_auth -c /etc/squid/passwd
auth_param digest children 5
auth_param digest credentialsttl 2 hours
auth_param digest casesensitive on
auth_param digest realm REALM
acl auth_users proxy_auth REQUIRED
http_access allow auth_users
http_access deny !Safe_ports

https_port 8080 accel tls-cert=/etc/squid/tls/proxy.cert.pem tls-key=/etc/squid/tls/proxy.key.pem tls-cafile=/etc/squid/tls/ca-chain.cert.pem
cache_peer openvpn.local parent 1194 0 no-query originserver
icp_port 0


Блок прокси в конфигурационном файле OpenVPN:
http-proxy XXXX.XXX.XXX.XXX 8080 auto-nct
http-proxy-option VERSION 1.1
<http-proxy-user-pass>
USER
PASSWORD
</http-proxy-user-pass>


Примечание:
1) Сертификаты для OpenVPN и Squid генерировались самостоятельно. Не через EasyRSA.
2) У серверов общий корневой центр выдачи, но разные промежуточные центры выдачи сертификатов.
  • Вопрос задан
  • 193 просмотра
Подписаться 1 Средний Комментировать
Пригласить эксперта
Ответы на вопрос 2
@AUser0
Чем больше знаю, тем лучше понимаю, как мало знаю.
У меня складывается смутное подозрение, что ваш OpenVPN общается со Squid-ом как с обычным HTTP forward proxy, а не с SSL proxy. Смотрите трафик tcpdump-ом для подтверждения (или нет) моей догадки.

И ещё, с обратным reverse proxy CONNECT-ами не общаются, они используются для forward proxy!
Ответ написан
CityCat4
@CityCat4
//COPY01 EXEC PGM=IEBGENER
У серверов общий корневой центр выдачи, но разные промежуточные центры выдачи сертификатов.

Я бы начал с проверки валидности сертификатов в обеих системах - второго в первой, первого во второй. Это обычная ошибка при наличии двух выдающих субцентров - корневой в доверенных есть, а промежуточных - нет.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы