OPNsense Forum
International Forums => German - Deutsch => Topic started by: Onimus on August 25, 2017, 12:27:16 am
-
Hey Leute, ich hab mich gerade hier neu angemeldet, und setzte zum ersten mal ne Hardware firewall ein.
OPNSense hat mir auf anhieb gefallen, und hab es jetzt direkt installiert. Es funktioniert auch, bin aber gerade dabei den Web Proxy einzurichten. Hab aber ein Problem mit der SSL NAT Regel. Wenn ich die hinzufüge und aktiv stelle, funzt mein I-net nicht mehr. Ist das ein Bug ? Ich würde auch gerne die SSL seiten am Web-Proxy durchreichen. :( Sobald ich die SSL Regel deaktiviere funzt I-Net wieder, mach ich die Regel an kommt immer Netzwerk Zeitüberschreitung. :'(
Vielleicht mach ich auch irgendwas falsch. :P
Edit: Aja das Datenverkehrsgraph widget auf der Hauptseite, funzt auch nicht. Zeigt immer NANANANANA an. :)
Edit2: OK SSL scheint jetzt auf einmal zu funzen. Komisch. Er sagt mir aber immer dass das opnsense-ssl zertifikat unsicher sei. Also das erstellte aus der Anleitung von der Wiki. ???
Habs jetzt manuell in meinem Firefox hinzugefügt. Gibts noch nen anderen weg ? :)
-
Hi,
Das Zertifikat ist unsicher, weil der Proxy nicht die echten Zertifikate der Gegenstelle hat und dies auch nicht darf.... Klassisch importiert man die CA des Proxies in den Trust Store der Clients, damit die Warnung umgangen wird.
Traffic graph geht nicht im Moment wegen der Sprache (ist bestimmt Deutsch eingestellt). Der Fix ist das Löschen der Zeile "setlocale(LC_ALL, $lang_encoding)" in /usr/local/www/guiconfig.inc und schon geht es wieder. Auf Englisch stellen geht auch. Wird in 17.7.1 gelöst.
Grüsse
Franco
-
Super wie schnell hier ein geholfen wird. Hab es jetzt in den Trust Store hinzugefügt. Keine Fehlermeldung mehr. :)
Und das mit dem Traffic graph auf der Hauptseite ist mir einfach so aufgefallen. Wenn man auf die richtige Traffic graph Seite geht, funzt er ja. Vielen Dank nochmal franco.
-
Habs jetzt manuell in meinem Firefox hinzugefügt. Gibts noch nen anderen weg ? :)
Ja,
* certutil (https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS/tools/NSS_Tools_certutil) -> Firefox
* unter Windows die Verteilung via Gruppenrichtlinie
* unter Linux per SSH in den OpenSSL-Zertifikatspeicher (üblicherweise muss man das nur irgendwo in ein Verzeichnis kopieren und dann ein update-ca-trust starten und dann gehts überall außer in manchen Browsern oder Programmen, die selber ihre Zertifikate mitbringen und Java) -> Fast alle Tools
* Java: My System stores them here: /etc/ssl/certs/java/cacerts
-
Ok noch eine kleine Frage. Gestern ging noch Skype und Discord. Jetzt nach ein PC neustart irgendwie nicht mehr. Steht nur ewig Verbinden und es passiert nichts. :) Ich denke das hängt auch mit dem Proxy zusammen, nur weiß ich gearde nicht was ändern. Das CA habe ich jetzt im Windows Gruppenrichtlinie hinzugefügt seit dem funzt auch I-net Explorer usw ohne Fehler meldung.
-
Einige Applikationen bemerken die ausgetauschten Zertifikate und verweigern dann den Dienst. Microsoft und Google machen dies gern. Diese müssen dann vom Proxy unverändert durchgereicht werden.
Grüsse
Franco
-
Es funktioniert nicht bei Anwendungen, die das Zertifikat pinnen (prüfen, ob das Zertifikat unverändert ist) - könnte bei diesen Apps der Fall sein (ich verwende beides nicht) und da kannst du nur
a) das binary oder system manipulieren (davon ist abzuraten!)
b) die Hosts auf die no Bump list setzen
c) komplett verbieten
Die vermutlich einfachste Variante ist c, die sinnvollste für dich vermutlich b.
Letztendlich kannst du den Fehler nur mit Wireshark herausfinden, wenn das GUI keine Fehlermeldungen anzeigt. Ggf. helfen die Proxy-Protokolle.
-
Ok wie geschrieben, setzte ich zum ersten mal OPNSense ein. Wo finde ich genau die no Bump list. So genau hab ich das auch in der WIki nicht verstanden. :)
Versionen OPNsense 17.7-amd64
FreeBSD 11.0-RELEASE-p11
OpenSSL 1.0.2l 25 May 2017
-
Einfach in den Forward-Einstellungen des Proxy (sorry, hab grade Englisch eingestellt, weil ich im Moment ein bisschen an der Doku arbeite ;) )