Hallo zusammen,
Ich betreibe seit Jahren eine PfSense und möchte auf OPNSense umstellen.
Die Installation von OPNSense ist auf ein Hyper-V Server mit 4GB Ram aufgesetzt worden. Auf der neuen Firewall Installation befinden sich zwei 2 Wan Anschlüsse sowie 1 Lan Anschluss für das interne Netz.
Die Version von OPNSense ist:
OPNsense 21.1.2-amd64
FreeBSD 12.1-RELEASE-p13-HBSD
OpenSSL 1.1.1j 16 Feb 2021
Installierte erweiterungen:
os-c-icap (installiert) 1.7_1 50.2KiB
os-clamav (installiert) 1.7_1 47.5KiB
os-etpro-telemetry (installiert) 1.4_2
os-intrusion-detection-content-et-pro (installiert) 1.0.2_1
os-sensei (installiert) 1.7.1 81.6MiB
os-sensei-updater (installiert) 1.7
os-sunnyvalley (installiert) 1.2_1
os-dyndns (installiert) 1.23_2
Ich habe eine Zertifikatsstelle mit ein Selbs signiertes Zertifikat eingerichtet. Nach der Proxy Einrichtung habe ich die Proxy Regeln für den http sowie HTTPS Datenverkehr eingerichtet um den Datenverkehr über den Proxy umzuleiten. Das Eingerichtete Zertifikat habe ich auf den Rechner exportiert und als Vertrauenswürdiges CA Zertifikat eingerichtet.
Mein Rechner bucht sich in W-lan ein und wenn ich eine HTTPS Internetseite aufrufe und das Zertifikat Abfrage erschein meine interne CA als vertrauenswürdige CA auf den Monitor.
Soweit ist alles gut.
Problematisch ist jedoch die Zertifikats Implementierung bei Mobilen Geräten. Mein Android meldet, dass das Zertifikat nicht vertrauenswürdig ist obwohl ich es unter
Einstellungen >> Biometrische Daten und Sicherheit >> Andere Sicherheitseinstellungen >> Von USB-Speicher Installieren eingerichtet habe.
Unter Sicherheitszertifikate anzeigen >> Benutzer
ist mein Zertifikat auch zu sehen. Trotzdem erhalte ich auf das W-lan Symbol ein Ausrufenzeichen und die Meldung, dass mein Zertifikat nicht sicher ist.
Auch bei mein IPhone besteht das gleiche Problem. Nachdem das Zertifikat installiert worden ist und als Profil sichtbar. Im Anschluss konnte ich das Profil installieren. Auch dort erhalte ich die Meldung, dass das Zertifikat nicht vertrauenswürdig ist.
Hat von euch einer eine Lösung für mich?
Lieben Dank
Ja kein Transparenten Proxy mit Mobilgeräten nutzen.
Bei Android wird man es evtl. noch irgendwie ans laufen bekommen (außer der Browser hat weiderum ein anderen Zertifikatsspeicher).
Bei iOS würde mir kein Weg einfallen, das Gerät block ja schon bei selbst signierten Exchange Zertifikaten.
Bei Windows Rechner sehe ich auch noch einen Sinn dahinter (blocken von z.B. .doc Downloads oder so)
Aber wo ist der Sinn bei einem Mobilen Gerät?
Hallo,
Es kann sein das der Browser auf Android ein eigenen Zertifikatsspeicher hat.
Das solltest du mal prüfen. Auf Windows ist es ja auch so das Firefox einen eigenen Speicher unterhält.
Gesendet mit Tapatalk pro