4
Opnensense Webproxy Fragen
Hallo,
habe unter opensense den Webproxy aktiviert. Dazu gehört Cache Proxy, Transparenter Proxy,
und SSL Proxy. Dazu habe ich mehrere Fragen.
1. SSL Proxy
Der funktioniert soweit nun im Transparenten Modus. Als Zertifikat,CA, habe ich ein Zertifikat ausgwählt welches ich schon
vorher erstellt hatte. Reicht es denn nun, wenn ich dieses Zertifikat von der opensense exportiere, und dann im Firefox meines Clients installiere, um nicht
mehr folgende Probleme zu erhalten? :
Beim Aufruf einer Seite im Internet erhalte ich folgende Meldung:
Your connection is not secure
The owner of administrator.de has configured their website improperly. To protect your information from being stolen, Firefox has not connected to this website.
This site uses HTTP Strict Transport Security (HSTS) to specify that Firefox may only connect to it securely. As a result, it is not possible to add an exception for this certificate.
Learn more…
Wenn ich dann auf den AVVANCES Button klicke erhalte ich:
administrator.de uses an invalid security certificate.
The certificate is not trusted because it is self-signed.
The certificate is only valid for .
Error code: MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT
Ich erhalte hier aber NICHT den Button, um eine Ausnahme für das Zertifikat zu speichern (Grund HSTS), wie ich es z.b. beim Zugriff auf die WebGUI der Opensense erhalte.
Wie kann ich es trotzdem einrichten?
2. Ich habe wegen dem Webproxy 2 NAT Regeln erstellt die den Verkehr an den Proxy weiterleiten, einmal Port 80, und Port443.
Haben diese NAT Regeln vorrang vor den anderen Regeln? Falls ja dann brauch ich ja keine zusätzlichen BLOCK Regeln für mein LAN anlegen, das
Port 80 und 443 ins Internet nicht direkt erlaubt werden. Und ich brauch die Regel dann ja auch nicht nach oben verschieben, wenn sie so wieso zuerst ausgeführt wird?
Oder sehe ich das hier falsch?
3. Ich wollte eigentlich zuerst keinen tranparenten Porxy einstellen, mit der manuellen Einstellung in Firefox an einem Client im LAN ging das aber nicht.
Also Porxy Adresse habe ich verschiedene getestet, die LAN Adresse also 192.168.70.1 (LAN1), dann die WAN der opnesense 192.168.150.1, und die Ports 3128
und 3129 für SSL Proxy. Beides hat nicht geklappt?
Der Webproxy hört an LAN1.
habe unter opensense den Webproxy aktiviert. Dazu gehört Cache Proxy, Transparenter Proxy,
und SSL Proxy. Dazu habe ich mehrere Fragen.
1. SSL Proxy
Der funktioniert soweit nun im Transparenten Modus. Als Zertifikat,CA, habe ich ein Zertifikat ausgwählt welches ich schon
vorher erstellt hatte. Reicht es denn nun, wenn ich dieses Zertifikat von der opensense exportiere, und dann im Firefox meines Clients installiere, um nicht
mehr folgende Probleme zu erhalten? :
Beim Aufruf einer Seite im Internet erhalte ich folgende Meldung:
Your connection is not secure
The owner of administrator.de has configured their website improperly. To protect your information from being stolen, Firefox has not connected to this website.
This site uses HTTP Strict Transport Security (HSTS) to specify that Firefox may only connect to it securely. As a result, it is not possible to add an exception for this certificate.
Learn more…
Wenn ich dann auf den AVVANCES Button klicke erhalte ich:
administrator.de uses an invalid security certificate.
The certificate is not trusted because it is self-signed.
The certificate is only valid for .
Error code: MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT
Ich erhalte hier aber NICHT den Button, um eine Ausnahme für das Zertifikat zu speichern (Grund HSTS), wie ich es z.b. beim Zugriff auf die WebGUI der Opensense erhalte.
Wie kann ich es trotzdem einrichten?
2. Ich habe wegen dem Webproxy 2 NAT Regeln erstellt die den Verkehr an den Proxy weiterleiten, einmal Port 80, und Port443.
Haben diese NAT Regeln vorrang vor den anderen Regeln? Falls ja dann brauch ich ja keine zusätzlichen BLOCK Regeln für mein LAN anlegen, das
Port 80 und 443 ins Internet nicht direkt erlaubt werden. Und ich brauch die Regel dann ja auch nicht nach oben verschieben, wenn sie so wieso zuerst ausgeführt wird?
Oder sehe ich das hier falsch?
3. Ich wollte eigentlich zuerst keinen tranparenten Porxy einstellen, mit der manuellen Einstellung in Firefox an einem Client im LAN ging das aber nicht.
Also Porxy Adresse habe ich verschiedene getestet, die LAN Adresse also 192.168.70.1 (LAN1), dann die WAN der opnesense 192.168.150.1, und die Ports 3128
und 3129 für SSL Proxy. Beides hat nicht geklappt?
Der Webproxy hört an LAN1.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 418545
Url: https://administrator.de/contentid/418545
Printed on: April 19, 2024 at 21:04 o'clock
4 Comments
Latest comment
Hi,
https://docs.opnsense.org/manual/how-tos/proxytransparent.html
https://docs.opnsense.org/manual/how-tos/cachingproxy.html
das sind schon mal die Grundeinstellungen. Wenn du das Zertifikat in den richtigen Zert-Speicher importiert hast, sollte der Hinweis nichit mehr kommen.
NAT Regel reicht aus. Zumindest wenn du es wie im Beispiel verwendest. Im 2. Beispiel ist es notwendig, da es hier ja KEIN transparenter Proxy ist. Du vermischt also beide Geschichten. Ist halt so ähnlichk, aber für dien vorhaben reicht NAT.
Firefox Beispiel ist auch im 2. Link ganz unten zu finden.
War der Proxy beim 1. Versucht wirklich aktiv? Du musst nur wissen von wo du kommst! Normal also LAN und dann ist es die LAN Adresse.
Nicht abzufangende SSL-Seiten: hier kannst du z.B. administrator.de auch komplett rausnehmen.
mfg Crusher
https://docs.opnsense.org/manual/how-tos/proxytransparent.html
https://docs.opnsense.org/manual/how-tos/cachingproxy.html
das sind schon mal die Grundeinstellungen. Wenn du das Zertifikat in den richtigen Zert-Speicher importiert hast, sollte der Hinweis nichit mehr kommen.
NAT Regel reicht aus. Zumindest wenn du es wie im Beispiel verwendest. Im 2. Beispiel ist es notwendig, da es hier ja KEIN transparenter Proxy ist. Du vermischt also beide Geschichten. Ist halt so ähnlichk, aber für dien vorhaben reicht NAT.
Firefox Beispiel ist auch im 2. Link ganz unten zu finden.
War der Proxy beim 1. Versucht wirklich aktiv? Du musst nur wissen von wo du kommst! Normal also LAN und dann ist es die LAN Adresse.
Nicht abzufangende SSL-Seiten: hier kannst du z.B. administrator.de auch komplett rausnehmen.
mfg Crusher
Du musst nur wissen von wo du kommst! Normal also LAN und dann ist es die LAN Adresse.
Hallo,
Was ist den die richtige IP des Proxys? Ich habe zwei LANs. LAN1 also 192.168.70.1, und LAN 2 192.168.80, und dann die WAN der opnesense 192.168.150.1.
Ich rufe die Webgui der opensense über LAN1 auf, also 192.168.70.1, dann sollte doch auch das die IP des Proxys sein, oder ist es immer die Adresse wo der Proxy horcht. Wenn ich LAN1 und LAN2 angegeben habe ist es für die Clients im LAN1 die LAN1Adresse und für die Clients im LAN2 die LANAdresse?
Firefox Beispiel ist auch im 2. Link ganz unten zu finden.
Ja, da ist er aber die Adresse für alle Protokolle angeklickt (use this proxy server for all protocols), ich habe aber SSL Proxy auf 3129 Port. Daher habe ich das nicht angeklickt und ssl Proxy auf 3129 gestzt.Ja klar falls ich NICHT den transparenten Proxy nutze, dann brauche ich auch die Block Regeln, ansonsten nicht, ok.
Hi,
nochmal langsam:
Port 3129: while using transparent proxy.
Du setzt also alles auf 3128! Schau dirdie Grafik an! Firefox Settings sind so gesetzt, dass alles auf einen Port geht: 3128.
Enable SSL inspection: Wenn Du den Haken dort setzt, wird der SSL Traffic auch via 3128 gelesen.
3129 nimmst du dann NUR für transparenten Modus. in Firefox hat der nix zu suchen. Sonst läd keine Seite, da ,meist von Port 80 auf 443 weitergeleitet wird. Ohne die SSL Inspection läuft di e Abfrage dann ins leere. Du nutzt den Port, in dem du die NAT Regel stzt. Klapp den Hilftext aus, dann wird NAT automtsich vorgeschlagen.
Firefox: about:config
security.enterprise_roots_enabled
Nochmal:
- Enable SSL inspection
- ALLES auf 3128
- CA *.cer Datei in Stammzertifizierungsstelle importieren
- Firefox Enterprise Security aktivieren
- Läuft?!?!?
mfg Crusher
nochmal langsam:
Port 3129: while using transparent proxy.
Du setzt also alles auf 3128! Schau dirdie Grafik an! Firefox Settings sind so gesetzt, dass alles auf einen Port geht: 3128.
Enable SSL inspection: Wenn Du den Haken dort setzt, wird der SSL Traffic auch via 3128 gelesen.
3129 nimmst du dann NUR für transparenten Modus. in Firefox hat der nix zu suchen. Sonst läd keine Seite, da ,meist von Port 80 auf 443 weitergeleitet wird. Ohne die SSL Inspection läuft di e Abfrage dann ins leere. Du nutzt den Port, in dem du die NAT Regel stzt. Klapp den Hilftext aus, dann wird NAT automtsich vorgeschlagen.
administrator.de uses an invalid security certificate.
The certificate is not trusted because it is self-signed.
The certificate is only valid for .
Error code: MOZILLA_PKIX_ERROR_SELF_SIGNED_CERTFirefox: about:config
security.enterprise_roots_enabled
Nochmal:
- Enable SSL inspection
- ALLES auf 3128
- CA *.cer Datei in Stammzertifizierungsstelle importieren
- Firefox Enterprise Security aktivieren
- Läuft?!?!?
mfg Crusher
Zitat von @Crusher79:
Hi,
Port 3129: while using transparent proxy.
Du setzt also alles auf 3128! Schau dirdie Grafik an! Firefox Settings sind so gesetzt, dass alles auf einen Port geht: 3128.
Enable SSL inspection: Wenn Du den Haken dort setzt, wird der SSL Traffic auch via 3128 gelesen.
Hi,
Port 3129: while using transparent proxy.
Du setzt also alles auf 3128! Schau dirdie Grafik an! Firefox Settings sind so gesetzt, dass alles auf einen Port geht: 3128.
Enable SSL inspection: Wenn Du den Haken dort setzt, wird der SSL Traffic auch via 3128 gelesen.
Aha OK, dann nur noch 3128 manuel.
Firefox: about:config
security.enterprise_roots_enabled
security.enterprise_roots_enabled
Habe ich gemacht. Ja läuft so weit.
Aber es gibt manche Seiten die wollen nicht, bzw. werden geblockt.
Da steht dann:
Zugriff verweigert (squid) .. sie besitzen nicht die nötigen Zugriffsrechte.
Ich weiß ja das es vom Webproxy (squid) kommt. Ich habe dort ACL-Listen runter geladen. Wahrscheinlich wird eine IP davon in der Liste stehen.
Meine Frage dazu, in welchem Log kann ich das erkennen um welche Liste es sich handelt, und kann ich dann die IP aus der Liste löschen?
Dazu auch, wie geht ihr vor, wenn man professionel den Fehler gleich erkennen will, in welchem Log schaut ihr zuerst nach, und dann. Wie lange werden denn die logs gespeichert, weil bei manchen finde ich keine äteren Sachen mehr.
