Sobre Suporte em TI
Descoberta automática de Proxy – WPAD (Web Proxy Auto-Discovery)
Carregando... ...
Um pequeno problema que aparece quando configuramos um proxy de encaminhamento, como sugerido no artigo "Proxy Squid no Ubuntu com autenticação NTLM no Windows 2008 e regras baseadas em Grupos do AD" é a configuração manual do proxy em cada computador e/ou browser cliente.
Para automatizar este processo foi criado o WPAD (Web Proxy Auto-Discovery Protocol). O WPAD se utiliza de um conceito bem simples e a maioria dos browsers já vem pré-configurada para utilizá-lo.
Seu funcionamento se resume em, no momento em que o browser é inicializado, buscar por um script padrão wpad.dat que contém as configurações do proxy de sua rede. A forma de obter este script se dá de duas maneiras: através de configurações no DHCP e através de DNS.
A princípio somente o Internet Explorer implementa a descoberta de proxy a partir do DHCP, os demais browsers se utilizam do DNS.
Uma vez que o computador obtém configurações de rede a partir de um servidor de DHCP, o DHCP pode informar o caminho de um servidor web que contenha o arquivo de configuração do proxy. O browser por sua vez realiza o download deste arquivo e o utiliza para configurar o proxy automaticamente.
Se a configuração a partir de DHCP não estiver disponível, ou o browser não suportar este modo, o DNS é consultado pelo endereço wpad seguido do dominio padrão configurado no computador cliente. Se o DNS possuir uma entrada do tipo A para o nome de domínio wpad, então o browser tenta acessar a URL http://wpad/wpad.dat. Se conseguir, o arquivo é baixado e as configurações presentes no mesmo são utilizadas.
Neste tutorial irei mostrar como configurar seus servidores de DHCP e DNS para responder pelas opções de WPAD. Também irei falar um pouco sobre a criação do arquivo wpad.dat.
Este artigo faz parte da série Proxy Squid no Ubuntu com autenticação NTLM no Windows 2008 e regras baseadas em Grupos do AD.
Pré-Requisitos
- Serviços DNS e DHCP instalados e configurados em sua rede. Este tutorial trata dos passos para ajustar o DHCP e o DNS de um servidor Windows 2008, porém é simples fazer as devidas adptações para outros sistemas operacionais.
- Servidor Web pré-configurado e em funcionamento para armazenar o arquivo wpad.dat. Pode ser Apache, IIS ou qualquer outro de sua preferência. Este tutorial vai descrever os passos para permitir o uso do wpad.dat em um servidor IIS 7 rodando sob Windows 2008. Não é necessário um servidor web dedicado para esta atividade, Você pode usar qualquer servidor web em funcionamento na sua rede.
- Proxy de encaminhamento instalado e configurado em sua rede. Se quiser saber como instalar e configurar um proxy squid com autenticação no Active Directory leia o tutorial: Squid 3 (Ubuntu 10.04 LTS) autenticando no Active Directory (Windows 2008).
- Credenciais com privilégios suficientes para administrar os serviços DHCP, DNS e Web de sua rede.
Tutorial
1. Criação do arquivo wpad.dat
O arquivo wpad.dat é um java script que contém no mínimo a função: FindProxyForURL(url, host).
Toda vez que uma nova URL for solicitada pelo usuário, esta função será automaticamente executada pelo browser, passando como parâmetros a URL e o domínio solicitados. Por exemplo, se a URL solicitada for http://www.google.com.br/s=teste, o campo url será preenchido com http://www.google.com.br/s=teste e o campo domínio com www.google.com.br.
Esta execução é local no próprio browser, sendo o arquivo wpad.dat obtido uma única vez na inicialização do browser.
A função FindProxyForURL possui dois retornos possíveis: DIRECT ou PROXY. Se o retorno for DIRECT, o browser não utilizará proxy para aquela requisição, sendo o acesso feito diretamente pela rede. Se a string PROXY for retornada a função deve retornar também o endereço e a porta do proxy a ser utilizada para tratar a requisição.
Exemplo de script wpad.dat:
function FindProxyForURL(url, host){
var host_ip;
host_ip= dnsResolve(host);
if (isInNet(host_ip, "127.0.0.1", "255.255.255.255"))
return "DIRECT";
if (isInNet(host_ip, "192.168.0.0", "255.255.255.0"))
return "DIRECT";
if (isInNet(myIpAddress(), "192.168.0.0", "255.255.255.0"))
return "PROXY 192.168.0.2:3128";
else
return "DIRECT";
}
No script acima, se o acesso for para o endereço localhost (127.0.0.1) o acesso será realizado sem proxy. Por exemplo o Google Desktop Search se utiliza deste endereço para funcionar.
Se o acesso for para uma servidor web que encontra-se na rede 192.168.0.0/24 o acesso também será realizado sem proxy.
Se nenhuma das regras acima for satisfeita e o endereço IP do computador local pertencer a rede 192.168.0.0/24, então o acesso será realizadoi utilizando-se o proxy 192.168.0.2 na porta 3128. Em qualquer outra condição o acesso será realizado sem a utilização de proxy.
Algumas funções úteis que podem ser utilizadas para ajudar na descoberta da necessidade de se utilizar proxy ou não:
- dnsResolve(host): Converte o nome de domíno host em endereço IP
- isInNet(ip, address, mask): Verifica se o ip encontra-se na sub-sede formada pelo endereço de rede address com a máscara mask.
- shExpMatch(url, string): Verifica se a string está contida na url.
- myIpAddress(): Retorna o endereço IP da máquina local.
Para uma lista completa e detalhada das funções que podem ser utilizadas acesse: http://findproxyforurl.com/pac_functions_explained.html
Você pode ainda retornar endereços de proxy distintos, de acordo com suas necessidades. Pode ter por exemplo dois proxys em sua rede e utilizar este script para fazer um balanceamento de carga baseado no IP de origem do acesso.
Coloque o arquivo wpad.dat na raiz de algum servidor web de sua rede, de forma que os clientes consigam acessá-lo através da URL: http://ip-do-servidor/wpad.dat.
2. Configuração do IIS
Se você utiliza IIS, coloque o arquivo wpad.dat na raiz de seu servidor, por padrão é a pasta C:\inetpub\wwwroot. Se você apontar um browser para a URL http://ip-do-servidor/wpad.dat provavelmente verá uma mensagem de erro dizendo que o arquivo não foi encontrado no servidor. Isto ocorre pois a extensão .dat não é aceita como um tipo MIME padrão do IIS. Precisamos configurar um novo tipo MIME .dat para que o IIS entregue o arquivo para os clientes.
Para fazer isso, acesse o Gerenciador de Servidores (Iniciar --> Ferramentas Administrativas --> Gerenciador de Servidores) e expanda Funções --> Servidor Web (IIS) --> Gerenciador do Serviços de Informações da Internet (IIS). Em Conexões clique no nome de seu servidor Web e na janela da direita (Página Inicial do Servidor) clique duas vezes em Tipos de MIME. No canto direito (janela ações) clique em Adicionar...
Na janela Adicionar Tipo de MIME preencha:
- Extensão de nome de arquivo: .dat
- Tipo MIME: application/x-javascript-config
Clique em OK para confirmar e teste novamente o acesso a URL http://ip-do-servidor/wpad.dat.
Se não funcionar reinicie o IIS.
3. Configuração do DNS
Para que o WPAD funcione em sua rede é necessário criar uma entrada do tipo A (Host) ou CNAME (Alias) em seu servidor de DNS.
Crie uma entrada do tipo A na zona de pesquisa direta de seu domínio com nome WPAD e com endereço IP do servidor Web que hospeda o arquivo wpad.dat, de forma que o browser acesse a URL http://wpad/wpad.dat e obtenha o arquivo wpad.dat. Você pode usar uma entrada CNAME e apontar para o FQDN do servidor que hospeda o wpad.dat.
Teste acessando a URL http://wpad/wpad.dat de um browser qualquer.
4. Configuração do DHCP
No servidor de DHCP é necessário configurar uma entrada com a opção 252 e valor http://wpad/wpad.dat. Porém, para poder adicionar uma entrada 252 é necessário configurar uma opção pré-definida com este valor.
Para fazer isso clique com o botão direito do mouse em IPv4, clique em Configurar opções pré-definidas e em seguida no botão Adicionar.
Configure a nova opção com os seguintes valores:
- Nome: WPAD
- Tipo de dados: Cadeia de Caracteres
- Código: 252
- Descrição: Web Proxy Auto-Discovery Protocol
Feito isso, vá até o escopo que deseja adicionar a opção WPAD e clique com o botão direito do mouse em Opções de escopo e clique em Configurar opções.
Na guia Geral marque a opção 252 e em Valor da cadeia de caracteres preencha com http://wpad/wpad.dat. Clique em OK para confirmar.
5. Configuração do Browser
Provavelmente seu browser já está configurado para obter as configurações automáticas, mas para ter certeza, vá até a janela de configuração de proxy. Para cada browser é um pouco diferente o caminho, mas a configuração é a mesma.
No Chrome vá até Ferramentas --> Opções --> Configurações Avançadas --> Alterar Configurações de Proxy... --> Conexões --> Configurações da LAN.
Marque a opção Detectar automaticamente as configurações e deixe todas as demais opões em branco, conforme a figura abaixo
No Firefox acesse o menu principal do Firefox --> Opções --> Rede --> Configurar conexão... Marque a opção Autodetectar as configurações de proxy para esta rede.
Observações e Dicas
Para computadores membros de um domínio Active Directory você pode configurar uma GPO (Group Police Object) para configurar o proxy de forma automática para o Internet Explorer. Basta ativar a opção Configurações do Usuário --> Diretivas --> Configurações do Windows --> Manutenção do Internet Explorer -->Conexão/Configuração Automática do Navegador --> Detectar configurações automaticamente.
Se seu servidor de DNS é Windows 2008, você poderá ter problemas com a resolução do nome wpad. Por padrão o serviço de DNS do Windows 2008 bloqueia as resolução de nomes wpad e isatapi.
Para remover a entrada wpad da lista global de bloqueio faço o seguinte:
- Clique em Iniciar, digite regedit.exe e pressione ENTER.
- Na árvore de console, abra Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters.
- No painel de conteúdo, clique duas vezes no valor GlobalQueryBlockList.
- Na caixa de diálogo Editar Cadeia de Caracteres Múltipla, remova o nome WPAD da lista e clique em OK.
- Inicie um prompt de comando como administrador.
- Na janela de prompt de comando, execute os seguintes comandos:
net stop dns net start dns
Se preferir você pode desabilitar a lista global de consultas não autorizadas. Para fazer isso execute o comando abaixo (como administrador) em seu servidor de DNS:
dnscmd /config /enableglobalqueryblocklist 0
-
Referências
- Auto Configuring Proxy Settings
- Findproxyforurl.com - A Proxy Auto-Configuration Resource
- Remover o ISATAP da lista global de consultas não autorizadas do DNS
- Habilitar ou desabilitar a lista global de consultas não autorizadas
-
-
#2 escrito por Nerd 6 dias atrás
Paulo,
Qualquer um dos tipos MIME que colocar vai funcionar. O browser não irá verificar isso. Uma breve explicação sobre isso pode ser lida em http://en.wikipedia.org/wiki/Proxy_auto-config.
Tive problemas com o IE no sentido de que ele só busca o WPAD na inicialização do Browser, então sugiro que sempre que trocar a configuração de proxy do browser, feche e abra-o novamente.
Se estiver familiarizado com questões de rede e protocolo HTTP, sugiro utilizar o Wireshark para monitorar a rede e verificar o comportamento do IE.
Lembre-se que o IE utiliza a configuração do WPAD pelo DHCP inicialmente (opção 252) e se ela não estiver disponível ai sim ele irá buscar a entrada no DNS.
Recomendo reiniciar as configurações de rede ou então reiniciar seu computador após ajustar seu servidor de DHCP.
Qualquer dúvida é só falar.Nerd.
-
#3 escrito por Paulo Sibalde 6 dias atrás
Obrigado pela resposta, os procedimentos que citou já fiz para averiguar, na verdade acho que tenho 2 problemas aqui, um na minha rede x que não reconhece o wpad e outro no script que estou utilizando.
Na rede X eu não consigo detectar as configs automaticamente, porém na rede Y consigo (o servidor web está na rede X).
Se eu utilizar o script:
function FindProxyForURL(url, host) {
if(isPlainHostName(host))
return "DIRECT";
else
return "PROXY 192.168.1.235:8080";
}O micro na rede Y detecta e navega com as restrições, agora se eu utilizar o script que preciso:
function FindProxyForURL(url, host){
var proxy_x = “192.168.2.103:8080?;
var proxy_y = “192.168.1.235:8080?;
var proxy_z = “192.168.0.235:8080?;
var proxy_no = “DIRECT”;
if (shExpMatch(url, “localhost”)) { return proxy_no; }
if (isInNet(myIpAddress(), "192.168.1.0", "255.255.255.0")) { return proxy_y ; }
if (isInNet(myIpAddress(), "192.168.0.0", "255.255.255.255")) { return proxy_z ; }
return proxy_x;
}Ai nem o micro da rede Y detecta e navega sem restrições.
Será que o script está errado?
Sobre a detectação vou refazer a configuração para ver se funciona.
Abs
-
#4 escrito por Nerd 6 dias atrás
Paulo,
Tem alguns pequenos problemas no seu script:
1- O sinal de ? no final das variáveis de proxy.
2- A máscara de rede para a rede Z.
3- Algumas aspas duplas estão em formato fora do padrão. Recomendo editar o script no Notepad ou em qualquer outro editor que manipule arquivos txt ou código fonte de programas.
4- Faltou colocar a palavra PROXY antes de cada variável de retornoO script correto seria:
function FindProxyForURL(url, host){ var proxy_x = "PROXY 192.168.2.103:8080"; var proxy_y = "PROXY 192.168.1.235:8080"; var proxy_z = "PROXY 192.168.0.235:8080"; var proxy_no = "DIRECT"; if (shExpMatch(url, "localhost")) { return proxy_no; } if (isInNet(myIpAddress(), "192.168.1.0", "255.255.255.0")) { return proxy_y ; } if (isInNet(myIpAddress(), "192.168.0.0", "255.255.255.0")) { return proxy_z ; } return proxy_x; }ou ainda mais completo:
function FindProxyForURL(url, host){ var host_ip; var proxy_x = "PROXY 192.168.2.103:8080"; var proxy_y = "PROXY 192.168.1.235:8080"; var proxy_z = "PROXY 192.168.0.235:8080"; var proxy_no = "DIRECT"; var rede_x = "192.168.2.0"; var mascara_x = "255.255.255.0"; var rede_y = "192.168.1.0"; var mascara_y = "255.255.255.0"; var rede_z = "192.168.0.0"; var mascara_z = "255.255.255.0"; host_ip= dnsResolve(host); if (isInNet(host_ip, "127.0.0.1", "255.255.255.255")) return proxy_no; if ( (isInNet(myIpAddress(), rede_x, mascara_x)) && (isInNet(host_ip, rede_x, mascara_x)) ) return proxy_no; if ( (isInNet(myIpAddress(), rede_y, mascara_y)) && (isInNet(host_ip, rede_y, mascara_y)) ) return proxy_no; if ( (isInNet(myIpAddress(), rede_z, mascara_z)) && (isInNet(host_ip, rede_z, mascara_z)) ) return proxy_no; if (isInNet(myIpAddress(), rede_x, mascara_x)) return proxy_x ; if (isInNet(myIpAddress(), rede_y, mascara_y)) return proxy_y ; if (isInNet(myIpAddress(), rede_z, mascara_z)) return proxy_z ; else return proxy_no; }-
#5 escrito por Paulo Sibalde 6 dias atrás
Cara perfeito! Era isso mesmo, depois que postei cheguei a achar o erro das aspas duplas e dos pontos de interrogação, mais a falta do Proxy realmente não tinha visto..., utilizei o primeiro e funcionou certinho em duas redes, só não na rede X, agora vou limpar a configuração e começar denovo pra ver o que pode estar acontecendo aqui. Muito obrigado e assim que resolver, posto o resultado. Abs
-
-
-
-
-
- Feed RSS de comentários para este artigo
Amigo, parabens pelo tuto, muito bem explicado!
Só uma dúvida, acima na config. do IIS vc fala para colocar o Tipo de MIME "application/x-javascript-config" , já no tutorial no site: http://findproxyforurl.com/wpad_tutorial.html eles falam para colocar o tipo de MIME "application/x-ns-proxy-autoconfig" muda algo de um pro outro?
No meu caso estou apanhando com o IE, pois ele não detecta automaticamente as configs, no firefox no mesmo micro funciona normal. (já fiz todos passos aqui descritos e nada).
Abs