Squid3 прокси-сервер ssl-bump блокирует Web Socket соединения

Вопрос или проблема

#Временно разрешить все соединения для отладки
http_access allow all

acl bump-bypass dstdomain 192.168.0.245 .speedtest.net
# URL содержит ws (большинство URL веб-сокетов это делают)
acl ssl-web-sockets SSL::server_name_regex \/ws

acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump splice bump-bypass ssl-web-sockets tcp-web-sockets

#Я читал, что была ошибка в bump, которая требовала !explicitly 
# чтобы splice работал для веб-сокетов
ssl_bump bump !ssl-web-sockets all

#просто bump all тоже не работает
#ssl_bump bump all

on_unsupported_protocol tunnel all 

Соединение закрыто до получения ответа на рукопожатие

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3

ssl_bump peek step1 all
ssl_bump peek step2 all
ssl_bump bump all

Ответ или решение

К сожалению, настройки прокси-сервера Squid с использованием SSL-Bump могут быть несколько сложными, особенно когда дело касается подключения WebSocket. Позвольте мне помочь вам настроить ваш Squid Proxy для корректной работы с WebSocket-соединениями.

Во-первых, проблема с вашим текущим конфигом может заключаться в том, что обработка WebSocket не была корректно реализована. Убедитесь, что вы используете правильные ACL и порядок обработки каждого шага.

Вот пример конфигурации, который может помочь вам:

# Разрешаем доступ ко всем для отладки (позже скорректируйте это)
http_access allow all

# Определяем ACL для WebSocket
acl web_sockets url_regex ^wss:// | ^ws://

# Определяем шаги для SSL Bump
acl step1 at_step SslBump1
acl step2 at_step SslBump2

# На первом шаге мы "подсматриваем" соединения
ssl_bump peek step1 all
# На втором шаге мы также "подсматриваем"
ssl_bump peek step2 all
# На третьем шаге мы бампим все URL, кроме WebSocket
ssl_bump bump !web_sockets all

# Включаем туннелирование для неподдерживаемых протоколов
on_unsupported_protocol tunnel all

В этом примере:

1. Мы создали acl для определения URL-адресов WebSocket.
2. На первом и втором шагах мы используем команду peek, чтобы получать информацию о соединениях, не расшифровывая их.
3. На третьем шаге ssl_bump bump !web_sockets all говорит Squid не бампить соединения, которые соответствуют ACL web_sockets, тем самым они будут обработаны как обычные TCP-соединения и их не будет нужно расшифровывать.

Также убедитесь, что ваш Squid имеет доступ к CA-сертификатам, необходимым для правильной работы с SSL. Важно правильно настроить сертификаты в конфигурации самого Squid.

Проверьте, не блокируются ли какие-либо порты или прокси-соединения на уровне сети или брандмауэра — это тоже может стать причиной проблем с соединением WebSocket.

После внесения изменений в конфигурацию не забудьте перезапустить Squid:

sudo systemctl restart squid

Для проверки состояния и диагностики используйте логи Squid:

tail -f /var/log/squid/access.log
tail -f /var/log/squid/cache.log

Это должно помочь вам наладить работу с WebSocket через Squid. Если проблема продолжает существовать, пожалуйста, предоставьте дополнительные сведения о логах и конфигурации, чтобы мы могли углубиться в диагностику.