<div dir="ltr"><br><br><div class="gmail_quote"><div dir="ltr">On Thu, Aug 4, 2016 at 10:20 AM Alex Rousskov <<a href="mailto:rousskov@measurement-factory.com">rousskov@measurement-factory.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 08/03/2016 08:45 PM, JR Dalrymple wrote:<br>
<br>
> To be brutally honest the whole concept is still a bit lost on me<br>
<br>
[rant]Admitting one's limitations is often the most difficult first<br>
step, but please do not stop here! Suggestions for where to go next: Ask<br>
good questions, do not accept answers you do not fully understand,<br>
provide excellent debugging info, and carefully update Squid wiki as you<br>
master the concept. Repeat as needed.<br>
<br>
IMHO, without solid SslBump understanding and providing good debugging,<br>
you confine yourself to the endless copy-pasting of random config<br>
snippets that usually do something you do not want and do not do<br>
something you do want. Your ability to troubleshoot problems (and there<br>
will be problems!) approaches zero in this case.<br>
<br>
Most Squid-related concepts are easy and can be brute-forced by<br>
trial-and-error. SslBump is different.[/rant]<br>
<br>
<br>
> I'm still having issues I'm afraid - albeit different issues. My problem<br>
> now reads a lot like this guys issue:<br>
> <a href="https://www.mail-archive.com/misc@openbsd.org/msg144692.html" rel="noreferrer" target="_blank">https://www.mail-archive.com/misc@openbsd.org/msg144692.html</a><br>
<br>
That email thread does not have enough info to know what the problem<br>
really is and contains a seemingly bogus (or at least very poorly<br>
detailed) solution. In other words, this is one of the many SslBump<br>
threads you may be better off ignoring for now.<br>
<br>
<br>
> My browser just times out and no<br>
> auto-generated certificate is ever generated.<br>
<br>
> ssl_bump stare all<br>
> ssl_bump bump all<br>
<br>
Sounds like a good start to me, provided you _understand_ what these<br>
rules do and why this simple configuration is equivalent to the more<br>
complex one!<br>
<br>
<br>
> I've<br>
> turned off the debugging as I wasn't getting anything terribly useful<br>
> out of it.<br>
<br>
That's fine if you want folks to keep guessing what your problem is. If<br>
you want more efficient help, use the latest Squid, isolate the problem<br>
to a single HTTPS transaction, and share the corresponding ALL,9 log:<br>
<br>
<a href="http://wiki.squid-cache.org/SquidFaq/BugReporting#Debugging_a_single_transaction" rel="noreferrer" target="_blank">http://wiki.squid-cache.org/SquidFaq/BugReporting#Debugging_a_single_transaction</a><br>
<br>
<br>
HTH,<br>
<br>
Alex.<br>
<br></blockquote><div><br></div><div>Thanks for the encouragement Alex,</div><div><br></div><div>I was doing single transaction debugging all along as this is currently configured in a lab with a single client.</div><div><br></div><div>I've gotten it working at this point, but not due to diligent debugging I'm afraid - more just a lucky shot in the dark. I reconfigured my system and lab network to perform the bump on intercepted traffic. It *just works*. I honestly don't care to backtrack and debug direct proxy requests as it wasn't part of my planned end-state anyway.</div><div><br></div><div>For posterity's sake, here are the relevant parts of my working configuration:</div><div><br></div><div>/etc/pf.conf:</div><div>pass in proto tcp to any port 80 divert-to 127.0.0.1 port 3128</div><div>pass in proto tcp to any port 443 divert-to 127.0.0.1 port 3129</div><div><br></div><div>squid.conf:</div><div>http_port <a href="http://127.0.0.1:3128">127.0.0.1:3128</a> intercept</div><div>https_port <a href="http://127.0.0.1:3129">127.0.0.1:3129</a> intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/squid/etc/ssl/CA.pem</div><div><br></div><div><div># /usr/local/squid/sbin/squid -v</div><div>Squid Cache: Version 3.5.20</div><div>Service Name: squid</div><div>configure options:  '--enable-icmp' '--enable-delay-pools' '--enable-pf-transparent' '--enable-ssl-crtd' '--enable-auth' '--with-openssl' --enable-ltdl-convenience</div></div><div><br></div><div><div># uname -a</div><div>OpenBSD router.example.local 5.9 GENERIC#1761 amd64</div></div><div><br></div><div>Thanks again for all your help.</div></div></div>