<div dir="ltr">For those looking into this topic, I was able to make it work on 3.5. <div>The trick is to have "ssl_bump splice all".</div><div>My upstream proxy is <a href="http://10.1.7.7:3128">10.1.7.7:3128</a>.</div><div>This is all in Ubuntu 16.04 - however the squid package was rebuilt due to lack of --with-openssl and --enable-ssl (there are several guides on the internet on how to rebuild a package, I used <a href="https://docs.diladele.com/administrator_guide_4_0/system_configuration/https_filtering/recompile_squid.html">this one</a> as reference, there are also third-party .debs if you trust them).<br><div><br></div><div>* squid.conf:</div><div>-----------------------</div><div><div><font face="monospace, monospace">acl localhost src <a href="http://127.0.0.0/8">127.0.0.0/8</a></font></div><div><font face="monospace, monospace">acl localnet src <a href="http://192.168.100.0/24">192.168.100.0/24</a> <a href="http://192.168.101.0/24">192.168.101.0/24</a> <a href="http://172.16.0.0/12">172.16.0.0/12</a></font></div><div><font face="monospace, monospace">acl SSL_ports port 443</font></div><div><font face="monospace, monospace">acl Safe_ports port 80<span class="gmail-Apple-tab-span" style="white-space:pre">             </span># http</font></div><div><font face="monospace, monospace">acl Safe_ports port 443<span class="gmail-Apple-tab-span" style="white-space:pre">           </span># https</font></div><div><font face="monospace, monospace">acl CONNECT method CONNECT</font></div><div><font face="monospace, monospace"><br></font></div><div><font face="monospace, monospace">http_access allow  localhost localnet</font></div><div><font face="monospace, monospace">http_access deny !Safe_ports</font></div><div><font face="monospace, monospace">http_access deny CONNECT !SSL_ports</font></div><div><font face="monospace, monospace">http_access deny all</font></div><div><font face="monospace, monospace"><br></font></div><div><font face="monospace, monospace">http_port 3128 accel vhost allow-direct</font></div><div><font face="monospace, monospace"><br></font></div><div><font face="monospace, monospace">ssl_bump splice all<br></font></div><div><font face="monospace, monospace">https_port 3129 ssl-bump intercept cert=/etc/squid/ssl_cert/myca.pem</font></div><div><font face="monospace, monospace"><br></font></div><div><font face="monospace, monospace">cache_peer 10.1.7.7 parent 3128 0 no-query no-digest</font></div><div><font face="monospace, monospace">never_direct allow all</font></div><div><font face="monospace, monospace"><br></font></div><div><font face="monospace, monospace">shutdown_lifetime 2 seconds</font><br></div><div><br></div><div>* iptables (PRE-ROUTING required if you're using e.g. docker - your containers will also not need proxy config):</div><div><div>-----------------------</div></div><div><div><font face="monospace, monospace">iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 3129</font></div><div><font face="monospace, monospace">iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128</font></div><div><font face="monospace, monospace">iptables -t nat -A OUTPUT -p tcp -m owner ! --uid-owner proxy --dport 80 -j REDIRECT --to-port 3128</font></div><div><font face="monospace, monospace">iptables -t nat -A OUTPUT -p tcp -m owner ! --uid-owner proxy --dport 443 -j REDIRECT --to-port 3129</font></div></div><div><br></div><div><br></div><div>Cheers</div><div><br></div></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jun 13, 2017 at 9:35 AM, Madonna, A. (spir-it) <span dir="ltr"><<a href="mailto:A.Madonna@rechtspraak.nl" target="_blank">A.Madonna@rechtspraak.nl</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello Jeryl,<br>
<br>
If you look on the mailing list we and many before us have this problem.<br>
<br>
Client ----> Squid proxy ----> Parent proxy ----> Internets (http / HTTPS)<br>
<br>
As already stated by 1 of the developers before, the code simply does not exist to handle this. cache_peer can't do a "HTTP CONNECT", simulating the first client connection with a parent proxy.<br>
<br>
This has been so for at least the last 5+ years.<br>
<br>
We are now looking into a solution where we put something between the squid and the parent proxy which can provide a "HTTP CONNECT" in combination with ssl_bump preserving the original SNI(server name indication).<br>
<br>
Client ----> Squid proxy ----> "HTTP CONNECT" solution---->Parent proxy ----> Internets (http / HTTPS)<br>
<br>
Kind regards,<br>
<br>
<br>
<br>
-----Oorspronkelijk bericht-----<br>
Van: squid-users [mailto:<a href="mailto:squid-users-bounces@lists.squid-cache.org">squid-users-bounces@<wbr>lists.squid-cache.org</a>] Namens Amos Jeffries<br>
Verzonden: dinsdag 13 juni 2017 5:41<br>
Aan: <a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.<wbr>org</a><br>
Onderwerp: Re: [squid-users] client-->iptables-->squid-<wbr>proxy->another-proxy<br>
<div><div class="h5"><br>
On 13/06/17 08:33, JerylCook wrote:<br>
> I've been stuck on this for a few days :P...<br>
><br>
>   I 'thought' I had a fairly good understanding of squid + ssl_bump<br>
> but not so sure.<br>
><br>
> In a nutshell i am having an issue linking a second proxy server via<br>
> cache_peer.<br>
><br>
> we have 2 boxes.<br>
><br>
> *Configuration:*<br>
> 1 box, has iptables configured to send all outbound traffic to<br>
> <a href="http://10.0.0.1:8999" rel="noreferrer" target="_blank">10.0.0.1:8999</a> which is the second box's squid server and port(8999)<br>
><br>
> 2nd box, has squid running on 8999, we have another server running on 8998.<br>
> both proxy servers are using the same 'CA'.<br>
><br>
> https <a href="http://10.0.0.1:8999" rel="noreferrer" target="_blank">10.0.0.1:8999</a> transparent ssl-bump generate-host-certificates=on.<wbr>....<br>
><br>
> cache_peer <a href="http://10.0.0.1:8998" rel="noreferrer" target="_blank">10.0.0.1:8998</a> 8998 0 ssl default no-query no-digest<br>
> sslflags=DONT_VERIFY_PEER....<br>
><br>
> use-case:<br>
> wget <a href="https://facebook.com" rel="noreferrer" target="_blank">https://facebook.com</a> --ca-cert=/dat/sharedCa.cer  , on box 1<br>
> through iptables..<br>
> 1. squid on box 2 generates and signs a certificate with<br>
> CN=<a href="http://facebook.com" rel="noreferrer" target="_blank">facebook.com</a> for the client<br>
<br>
That sounds a little suspicious to me. FB have a more complicated CN in their real certs. You omitted your ssl_bump rules, so the type of bumping and details available are unknown - but I suspect they may not be doing what you expect in that case.<br>
<br>
> 2. client trusts the CA and cert.<br>
<br>
Which if the three CA involved? they need to trust the one being used by the frontend Squid cert generator.<br>
  Only frontend Squid needs to trust the backend peer CA. And likewise, only the backend peer needs to trust the origin CA.<br>
<br>
> 3.we want squid to send this proxied https request to the second proxy<br>
> server on :8998. this proxy server is set to generate impersonation<br>
> certs as well using the same rootCAKey that squid uses...<br>
<br>
This is where the current behaviour is lacking AFAIK. SSL-Bump assumes the client (frontend Squid) is either sending a CONNECT request to get the server details from, or that it is working with intercepted TLS rather than a TLS explicit proxy connection. So the backend behaviour is still very much just receive a request for https:// URL and do the serve TLS thing - no mimicing on its client connection (AFAIK).<br>
<br>
> however, we keep getting<br>
> "Failed to establish a secure connection, SQUID_ERR_SSL_HANDSHAKE",<br>
> Handshake with SSL Server failed: error:140770FC:SSL routines<br>
> SSL23_GET_SERVER_HELLO: unknown protocol"<br>
><br>
> Does squid 3.5.20 support PROXY Protocol in cache_peer if you need to<br>
> link a second proxy? or is my configuration messed up.<br>
<br>
Squid only supports receiving PROXY Protocol on the http_port directive.<br>
Not yet sending to a cache_peer. Though I don't see any relevance to PROXY Protocol in anything you have described about your configuration.<br>
<br>
If the peer is sending an error back to Squid when it gets TLS instead of PROXY intro octets that would explain the SSL errors. It also would if the peer was sending back HTTP messages instead of TLS (HTTPS), which is a more common problem when the peer is an older Squid.<br>
<br>
<br>
SSL-Bump is supported to cache_peer when the peer connection is a TLS/SSL connection. Though be aware that the "server" frontend Squid mimics would then be the backend peer's certificate, not the origin server.<br>
<br>
Also, avoid DONT_VERIFY_PEER, it is really doing more harm than anything useful. Since this is a peer you know about you should also know its CA in advance. So use "sslflags=NO_DEFAULT_CA sslcafile=..." and Squid can do all the security checks just fine regardless of whether its a custom CA or not.<br>
<br>
Amos<br>
<br>
______________________________<wbr>_________________<br>
squid-users mailing list<br>
<a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.<wbr>org</a><br>
<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/<wbr>listinfo/squid-users</a><br>
<br>
</div></div>______________________________<wbr>__<br>
<br>
Informatie van de Raad voor de rechtspraak, de rechtbanken, de gerechtshoven en de bijzondere colleges vindt u op <a href="http://www.rechtspraak.nl" rel="noreferrer" target="_blank">www.rechtspraak.nl</a>.<br>
<div class="HOEnZb"><div class="h5">______________________________<wbr>_________________<br>
squid-users mailing list<br>
<a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.<wbr>org</a><br>
<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/<wbr>listinfo/squid-users</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><br>--------<br><br>Diogenes S. de Jesus</div></div></div>
</div>