<div dir="ltr"><div>Hi Alex,</div><div><br></div><div>i have done some more troubleshooting and my external proxy is good, i get no errors and i have got one of my DMZ hosts connected to it and i can browse the web, but my internal proxy cant contact my external proxy, this is the error when i run it - <br></div><div><br></div><div>2019/11/26 22:53:28| Error parsing SSL Server Hello Message on FD 15<br>2019/11/26 22:53:28| ERROR: negotiating TLS on FD 15: error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:          unknown protocol (1/-1/0)<br>2019/11/26 22:53:28| TCP connection to <a href="http://172.16.55.21/3128">172.16.55.21/3128</a> failed<br>2019/11/26 22:53:28| Detected DEAD Parent: 172.16.55.21<br>2019/11/26 22:53:28| Error negotiating SSL connection on FD 13: error:00000001:lib(0):func(0):reason(1) (          1/0)</div><div><br></div><div>this is my config on my internal proxy - <br></div><div><br></div><div>#<br># Recommended minimum configuration:<br>#<br><br>#SSL<br>http_port 3128 ssl-bump \<br>cert=/etc/squid/ssl_cert/myCA.pem \<br>generate-host-certificates=on dynamic_cert_mem_cache_size=4MB<br>sslcrtd_program /usr/local/squid/libexec/security_file_certgen -s /var/lib/ssl_db -M 4MB<br>acl step1 at_step SslBump1<br>ssl_bump peek step1<br>ssl_bump bump all<br><br># Example rule allowing access from your local networks.<br># Adapt to list your (internal) IP networks from where browsing<br># should be allowed<br>acl localnet src 0.0.0.1-0.255.255.255  # RFC 1122 "this" network (LAN)<br>acl localnet src <a href="http://10.0.0.0/8">10.0.0.0/8</a>             # RFC 1918 local private network (LAN)<br>acl localnet src <a href="http://100.64.0.0/10">100.64.0.0/10</a>          # RFC 6598 shared address space (CGN)<br>acl localnet src <a href="http://169.254.0.0/16">169.254.0.0/16</a>         # RFC 3927 link-local (directly plugged) machines<br>acl localnet src <a href="http://172.16.0.0/12">172.16.0.0/12</a>          # RFC 1918 local private network (LAN)<br>acl localnet src <a href="http://192.168.0.0/16">192.168.0.0/16</a>         # RFC 1918 local private network (LAN)<br>acl localnet src fc00::/7               # RFC 4193 local private network range<br>acl localnet src fe80::/10              # RFC 4291 link-local (directly plugged) machines<br><br>acl SSL_ports port 443<br>acl Safe_ports port 80          # http<br>acl Safe_ports port 21          # ftp<br>acl Safe_ports port 443         # https<br>acl Safe_ports port 70          # gopher<br>acl Safe_ports port 210         # wais<br>acl Safe_ports port 1025-65535  # unregistered ports<br>acl Safe_ports port 280         # http-mgmt<br>acl Safe_ports port 488         # gss-http<br>acl Safe_ports port 591         # filemaker<br>acl Safe_ports port 777         # multiling http<br>acl CONNECT method CONNECT<br><br>#squid proxy in DMZ on internet<br>cache_peer 172.16.55.21 parent 3128 0 default<br>acl all src all<br>http_access allow all<br>never_direct allow all<br><br>#<br># Recommended minimum Access Permission configuration:<br>#<br># Deny requests to certain unsafe ports<br>http_access deny !Safe_ports<br><br># Deny CONNECT to other than secure SSL ports<br>http_access deny CONNECT !SSL_ports<br><br># Only allow cachemgr access from localhost<br>http_access allow localhost manager<br>http_access deny manager<br><br># We strongly recommend the following be uncommented to protect innocent<br># web applications running on the proxy server who think the only<br># one who can access services on "localhost" is a local user<br>#http_access deny to_localhost<br><br>#<br># INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS<br>#</div><div><br></div><div>my external proxy uses the same config but without the lines "squid proxy in DMZ on internet"</div><div><br></div><div>thanks,</div><div>rob<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, 26 Nov 2019 at 16:59, Alex Rousskov <<a href="mailto:rousskov@measurement-factory.com">rousskov@measurement-factory.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 11/26/19 10:54 AM, robert k Wild wrote:<br>
<br>
> as i have configured both internal proxy (non internet facing) and<br>
> external proxy (internet facing) from source, <br>
<br>
Please show the essential parts of both internal and external Squid<br>
configurations for the broken setup (at least).<br>
<br>
It is difficult to guess what went wrong because the guide you are<br>
quoting does not talk about internal and external proxy instances _and_,<br>
in most cases, simply adding a valid http_port line has no effect on<br>
test cases that worked before -- the new port will be unused by the old<br>
test traffic. It is not even clear which proxy you are adding the<br>
SslBump configuration to.<br>
<br>
<br>
Thank you,<br>
<br>
Alex.<br>
<br>
<br>
> followed this guide - <br>
> <a href="https://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit" rel="noreferrer" target="_blank">https://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit</a><br>
> <br>
> it works if i comment out the ssl lines -<br>
> <br>
> #SSL<br>
> #http_port 3128 ssl-bump \<br>
> #cert=/etc/squid/ssl_cert/myCA.pem \<br>
> #generate-host-certificates=on dynamic_cert_mem_cache_size=4MB<br>
> #sslcrtd_program /usr/local/squid/libexec/security_file_certgen -s<br>
> /var/lib/ssl_db -M 4MB<br>
> #acl step1 at_step SslBump1<br>
> #ssl_bump peek step1<br>
> #ssl_bump bump all<br>
> <br>
> but as soon as i uncomment them it breaks the link between both servers<br>
> <br>
> this is the error i get from the internal proxy when it tries to contact<br>
> the external proxy<br>
> <br>
> <a href="https://i.postimg.cc/JzC29gh8/ssl.png" rel="noreferrer" target="_blank">https://i.postimg.cc/JzC29gh8/ssl.png</a><br>
> -- <br>
> Regards,<br>
> <br>
> Robert K Wild.<br>
> <br>
> _______________________________________________<br>
> squid-users mailing list<br>
> <a href="mailto:squid-users@lists.squid-cache.org" target="_blank">squid-users@lists.squid-cache.org</a><br>
> <a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>
> <br>
<br>
_______________________________________________<br>
squid-users mailing list<br>
<a href="mailto:squid-users@lists.squid-cache.org" target="_blank">squid-users@lists.squid-cache.org</a><br>
<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>
</blockquote></div><br clear="all"><br>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr">Regards, <br><br>Robert K Wild.<br></div></div>