Hallo,
als OPNsnse Anfänger und halb-Laie stellt sich mir die Frage, mit was am sinnvollsten die Blocklisten zum Einsatz kommen sollen?
Mein aktueller Stand ist folgender...
- Im Unbound DNS gibt es den Reiter "Blocklist", bei dem ich unter "Typ der DNSBL" zahlreiche Listen aktivieren kann. Eigene Listen sind nicht möglich.
- Im Bind-Plugin gibt es fast dieselbe Möglichkeit und weitere Listen, die in Unbound jedoch nicht zur Auswahl stehen.
Eigene Listen sind hier ebenfalls nicht möglich.
Frage 1:
Reicht die Listen-Auswahl in Unbound für eine "vernünftige Blockierung" böser Seiten aus, oder sollte die erweiterte Auswahl von Bind hinzugenommen werden?
Frage 2:
Wenn etwas blockiert wird, bekommt der User keine schöne "Ups-Seite" zu sehen und wundert sich, warum er keine Internetverbindung hat. Lässt sich das lösen, dass eine "Fehlerseite" angezeigt wird, wenn etwas blockiert wird?
(Weitere Fragen ergeben sich dann aus dem Ergebnis der Antworten)
Vielen Dank für eure Hilfe!
Grüße
Käpsele
Quote from: Käpsele on May 09, 2022, 03:46:27 PM
Frage 1:
Reicht die Listen-Auswahl in Unbound für eine "vernünftige Blockierung" böser Seiten aus, oder sollte die erweiterte Auswahl von Bind hinzugenommen werden?
Es gibt sicher andere Meinungen dazu, persönlich sagt mir aber PiHole und/oder ADGuard Home in dem Bereich DNS-Filtern mehr zu. Wäre meine Empfehlung.
Quote from: Käpsele on May 09, 2022, 03:46:27 PM
Frage 2:
Wenn etwas blockiert wird, bekommt der User keine schöne "Ups-Seite" zu sehen und wundert sich, warum er keine Internetverbindung hat. Lässt sich das lösen, dass eine "Fehlerseite" angezeigt wird, wenn etwas blockiert wird?
Genau deswegen. Die Übersicht und Logs sind in den besagten nach meiner Ansicht einfach besser gestaltet. Unter PiHole kann man auch Seiten einrichten beim blocken, AdGuard Home bin ich mir nicht sicher.
Generell find ich aber die Option gut in der OPNsense und sollte weiter verfolgt werden.
Die Listen sind auch kein Allheilmittel, denn Sie kontrollieren nicht das "Verhalten", da kommt die Einbruchserkennung (DPI) ins Spiel. Damit muss man sich aber genau befassen, denn man kann sich auch schnell aussperren, was dann zur Geduldsprobe wird. :)
Vielen Dank für die Rückmeldung!
PiHole scheidet aus, weil es nicht auf der OPNsense läuft.
Bei ADGuard bin ich hin und her gerissen.
Einerseits wäre dadurch vieles einfacher, wie du schön geschrieben hast, auch wäre dadurch das meiste an einer Stelle zusammengefasst.
Andererseits habe ich die vielen Nachteile, wie z.B. "Man in the Middle", dadurch Zertifikatsprobleme, ein Programm das nicht direkt in OPNsense integriert ist, extra verwaltet und geupdatet werden muss und auch nicht im Backup der OPNsense vorhanden ist.
Wenn es keine Lösung für eine vernünftige Fehlerseite gibt, kommen jedoch die Blocklisten im DNS nicht in Frage, da dies zu erheblichen Problemen durch die Nutzer führen würde.
Es ist aus meiner Sicht eine unbefriedigende Situation. Aus zahlreichen Komponenten und Möglichkeiten kann man sich das zwar gewünschte zusammenwürfeln, aber jeder Ansatz ist eher eine halbgare Sache, statt eine runde Löung.
Wieso muss das immer alles so kompliziert sein...
Wie sollte dann die Konfiguration am Besten aussehen?
AdGuard als DNS-Server mit den Block-Listen + sonstige Nettigkeiten und den transparenten Proxy mit ClamAV noch dazu und gut ist es?
Danke für die Unterstützung!
Persönlich bin ich nicht der Freund von zusätzlichen Programmen über die Console einzugeben. Die OPNsense ist, oder sollte, ein geschlossenes Sytem sein. Eine VM scheidet aus? Dann kauf für ein paar Euro einen Raspberry Pi, sollte ja klein Problem sein.
ADGuard, PiHole und Co sind kein "Man in the Middle", genau genommen auch keine DNS-Server. Sie beherbergen nur eingefügte Filterlisten (White- und Blacklist) und entscheiden nach forwarding und block, mehr nicht. Zusätzlich gibt es noch Features wie DHCP, DNSSEC usw; die man verwenden kann.
Eine Fehlerseite kann auch zu Problemen führen, den in Webseiten kann es passieren das nur ein Teil geblockt und stattdessen dann die Seite eingefügt wird. Schaut dann evtl. unlesbar aus. Daher wird noch darauf verzichtet die Seite dann komplett zu sperren um was anzuzeigen. Es sind ja auch funktionale "Inhaltsblocker".
Am einfachsten ist es, wie ich in einem anderen Thema schon beschrieben habe, z.B.:
# Fritzbox (Können auch andere DNS-Server sein, auch ohne DoT wenns sein muss)
Genutzte DNS-Server
2620:fe::11 (DoT verschlüsselt)
2620:fe::fe:11 (DoT verschlüsselt)
149.112.112.11 (aktuell genutzt für Standardanfragen - DoT verschlüsselt)
9.9.9.11 (DoT verschlüsselt)
#OPNsense (Werkseinstellung mit "Aktiviere Unbound")
Dienste: DHCPv4: [P0_LAN]
DNS-Server 1: 192.168.1.80 (AdGuard IP von VM)
DNS-Server 2: 192.168.1.1 (Schnittstellen-IP = OPNsense DNS-Unbound) (Wenn DNS-Server 1 nicht erreichbar ist, konsequenter wäre aber nur DNS1!
#AdGuard Home (VM, Raspberry Pi, usw.)
Upstream-DNS-Server
192.168.1.1#53
Bootstrap DNS-Server
192.168.1.1#53
Private inverse DNS-Server
192.168.1.1
Fertig 8)
Was Du sonst noch laufen lassen willst wie ClamAV usw. hat mit dem DNS erst mal nix zu tun. Das kannst frei nach Schnautze machen/entscheiden.
Danke für die Rückmeldung!
Zusätzliche Geräte oder VM kommt leider nicht in Frage. Entweder ADGuard auf der OPNsense, oder gar nicht.
Ich habe ADGuard noch nie live, sondern lediglich über Anleitungen kennengelernt. Dort wurde mir berichtet, das ADGuard die Zertifikatskette unterbricht und der Browser nur noch ein eigenes "ADGuard-Zertifikat" zu sehen bekommt. Wenn dies nicht stimmt, habe ich mir die falsche Anleitung angeschaut und lasse mich gerne berichtigen.
Allerdings kann ich mir nicht vorstellen, wie ADGuard filtern will, wenn er nicht weiß, was drin ist. Also muss er, aus meinem Verständnis heraus, "Man in the Middle" sein.
Dann verwende am besten "Dienste: Unbound DNS: Blocklist"... funktioniert ja auch.
ADGuard unterbricht keine Zertifikatskette. Ich nehmen nicht an das Du https (SSL) meinst!? Denn das hat damit nix zu tun.
Es geht um DNSSEC: Internetstandards zur signierten Namensauflösung (https://www.ionos.de/digitalguide/server/knowhow/dnssec-signierte-namensaufloesung/) ... nur das wir uns nicht missverstehen.
Wenn das nicht funktionert liegt es an einem falsch eingestellten DNSSEC Resolver, ergo an dir. :)
Deine Einstellungen kannst z.B. HIER (https://dnssec.vs.uni-due.de)testen.
Unter "Man in the Middle" ist das aufschlüsseln (brechen) vor der eigentlichen End-To-End (SSL) Verschlüsselung, also die Datenübertragung einer verschlüsselten https-Verbindung gemeint. Denn das sollte erst an deinem PC passieren und nicht davor. Das ist aber nicht die Aufgabe von PiHole und AdGuard, die machen nur DNS(SEC), die checken nur anhand von Listen die Domainnamen ab, sonst nix. Die Echtheit eines DNS-Quelle kann per DNSSEC angefragt werden, damit auch keine manipulierten IPs auf Domainanfragen ausgegeben werden.
uff, vielleicht schreibe ich ja Blödsinn, aber ADGuard ist doch ein Werbeblocker oder? Nachdem er die Verbindung zugelassen hat, möchte er doch die Werbung blockieren, oder?
Und wenn innerhalb der Verbindung geblockt werden muss, dann muss diese Verbindung (https) ja aufgebrochen werden? Deshalb bekommt man ja dann ein ADGuard-Zertifikat im Browser angezeigt und nicht das der Gegenstelle.
Es kann natürlich gut sein, dass das falsche Informationen sind, die ich habe?
Das hier habe ich gerade dazu gefunden: https://adguard.com/en/blog/everything-about-https-filtering.html (https://adguard.com/en/blog/everything-about-https-filtering.html)
Ich möchte es nur verstehen...
öhm... der Link verweißt aber auf die "Browser-APP" bzw. auf den "Lokalen Installer" und nicht auf "AdGuard Home" oder? Ich glaube da verstehen wir uns falsch... ich beziehe mich in jeder Post auf "AdGuard Home" ;)
https://adguard.com/de/adguard-home/overview.html
In der Beschreibung wird nicht die Verschlüsselung aufgebrochen, sondern die Anfrage geht per Zert an den "AdGuard" und der schickt dann ein AdGuard Zert an den Server.
Zitat aus Quelle: (https://adguard.com/en/blog/everything-about-https-filtering.html)
Does my traffic remain encrypted and secure?
Of course! Your connection with a remote server remains encrypted and secure. Adguard, just as your browser, checks the server's certificate before deciding whether to filter it or not.
Nevertheless, HTTPS filtering has its drawbacks. The most important of them is the fact that it hides from the browser the real certificate that the website uses. Instead, the browser sees the certificate issued by Adguard.
... und jeder macht Fehler, auch ich. Vielleicht versteh ich was falsch, berichtige mich... 8)
Ihr Lieben,
es geht um AdGuard Home. Das ist ein DNS-Blacklist basierter Blocker von Werbung und Tracking. Der steht als Plugin für die OPNsense zur Verfügung, bringt ein tolles eigenes Verwaltungs-UI mit sowie für ein paar wenige Euro auch eine IOS-App für die Verwaltung. Android weiß ich nicht.
Der greift nirgendwo in den Datenstrom ein sondern blockt per DNS eben die Cloud-Netze, aus denen Werbung ausgeliefert wird. Natürlich nicht zu 100% aber doch recht gut.
https://adguard.com/de/adguard-home/overview.html
https://github.com/AdguardTeam/AdguardHome
Du Lieber(gott) #Spass ;D
...hatten wir schon alles. Außer das AdGuard Home als Plugin (Erweiterung) zur Verfügung steht, wo ist das zu finden?
os-c-icap (installiert) 1.7_2 50.3KiB OPNsense c-icap connects the web proxy with a virus scanner
os-cache (installiert) 1.0_1 529B OPNsense Webserver cache
os-clamav (installiert) 1.7_1 47.5KiB OPNsense Antivirus engine for detecting malicious threats
os-dnscrypt-proxy (installiert) 1.12 82.4KiB OPNsense Flexible DNS proxy supporting DNSCrypt and DoH
os-postfix (installiert) 1.21 156KiB OPNsense SMTP mail relay
os-smart (installiert) 2.2 22.0KiB OPNsense SMART tools
os-theme-cicada (misconfigured) 1.29 5.27MiB OPNsense The cicada theme - dark grey onyx
os-theme-rebellion (misconfigured) 1.8.8 5.20MiB OPNsense A suitably dark theme
os-theme-vicuna (misconfigured) 1.41 5.27MiB OPNsense The vicuna theme - blue sapphire
os-acme-client 3.10 687KiB OPNsense ACME Client
os-api-backup 1.0_1 2.35KiB OPNsense Provide the functionality to download the config.xml
os-bind 1.23 120KiB OPNsense BIND domain name service
os-boot-delay 1.0_1 347B OPNsense Apply a persistent 10 second boot delay
os-chrony 1.5 20.6KiB OPNsense Chrony time synchronisation
os-collectd 1.4 36.9KiB OPNsense Collect system and application performance metrics periodically
os-ddclient 1.5 39.7KiB OPNsense Dynamic DNS client
os-debug 1.4 452B OPNsense Debugging Tools
os-dmidecode 1.1_1 2.83KiB OPNsense Display hardware information on the dashboard
os-dyndns 1.27_3 179KiB OPNsense Dynamic DNS Support
os-etpro-telemetry 1.6_1 50.3KiB OPNsense ET Pro Telemetry Edition
os-firewall 1.1 56.4KiB OPNsense Firewall API supplemental package
os-freeradius 1.9.19_1 270KiB OPNsense RADIUS Authentication, Authorization and Accounting Server
os-frr 1.28 374KiB OPNsense The FRRouting Protocol Suite
os-ftp-proxy 1.0_3 42.0KiB OPNsense Control ftp-proxy processes
os-git-backup 1.0_1 14.2KiB OPNsense Track config changes using git
os-google-cloud-sdk 1.0_1 328B OPNsense Google Cloud SDK
os-grid_example 1.0_1 10.0KiB OPNsense A sample framework application
os-haproxy 3.10 682KiB OPNsense Reliable, high performance TCP/HTTP load balancer
os-helloworld 1.3_1 19.4KiB OPNsense A sample framework application
os-hw-probe 1.0_1 9.96KiB OPNsense Collect hardware diagnostics
os-igmp-proxy 1.5_2 22.8KiB OPNsense IGMP-Proxy Service
os-intrusion-detection-content-et-open 1.0.1 1.53KiB OPNsense IDS Proofpoint ET open ruleset complementary subset for ET Pro Telemetry edition
os-intrusion-detection-content-et-pro 1.0.2_1 5.72KiB OPNsense IDS Proofpoint ET Pro ruleset (needs a valid subscription)
os-intrusion-detection-content-pt-open 1.0_1 798B OPNsense IDS PT Research ruleset (only for non-commercial use)
os-intrusion-detection-content-snort-vrt 1.1_1 12.7KiB OPNsense IDS Snort VRT ruleset (needs registration or subscription)
os-iperf 1.0_1 24.6KiB OPNsense Connection speed tester
os-lcdproc-sdeclcd 1.1_1 950B OPNsense LCDProc for SDEC LCD devices
os-lldpd 1.1_2 16.5KiB OPNsense LLDP allows you to know exactly on which port is a server
os-maltrail 1.8 45.3KiB OPNsense Malicious traffic detection system
os-mdns-repeater 1.1 17.9KiB OPNsense Proxy multicast DNS between networks
os-munin-node 1.0_1 15.0KiB OPNsense Munin monitoring agent
os-net-snmp 1.5_1 27.5KiB OPNsense Net-SNMP is a daemon for the SNMP protocol
os-netdata 1.1 17.4KiB OPNsense Real-time performance monitoring
os-nextcloud-backup 1.0_1 18.4KiB OPNsense Track config changes using NextCloud
os-nginx 1.26 901KiB OPNsense Nginx HTTP server and reverse proxy
os-node_exporter 1.1 18.6KiB OPNsense Prometheus exporter for machine metrics
os-nrpe 1.0_2 25.7KiB OPNsense Execute nagios plugins
os-ntopng 1.2_1 20.6KiB OPNsense Traffic Analysis and Flow Collection
os-nut 1.8.1 40.9KiB OPNsense Network UPS Tools
os-openconnect 1.4.2 24.0KiB OPNsense OpenConnect Client
os-puppet-agent 1.0 19.2KiB OPNsense Manage Puppet Agent
os-qemu-guest-agent 1.1 19.2KiB OPNsense QEMU Guest Agent for OPNsense
os-radsecproxy 1.0 103KiB OPNsense RADIUS proxy provides both RADIUS UDP and TCP/TLS (RadSec) transport
os-realtek-re 1.0 370B OPNsense Realtek re(4) vendor driver
os-redis 1.1_1 68.5KiB OPNsense Redis DB
os-relayd 2.7 161KiB OPNsense Relayd Load Balancer
os-rfc2136 1.6_3 40.1KiB OPNsense RFC-2136 Support
os-rspamd 1.12 75.4KiB OPNsense Protect your network from spam
os-shadowsocks 1.0_2 32.2KiB OPNsense Secure socks5 proxy
os-siproxd 1.3_1 67.6KiB OPNsense Siproxd is a proxy daemon for the SIP protocol
os-stunnel 1.0.4_1 44.9KiB OPNsense Stunnel TLS proxy
os-sunnyvalley 1.2_1 652B OPNsense Vendor repository for Sensei (Next Generation Firewall Extensions)
os-tayga 1.1_2 18.0KiB OPNsense Tayga NAT64
os-telegraf 1.12.4 82.1KiB OPNsense Agent for collecting metrics and data
os-tftp 1.0 12.9KiB OPNsense TFTP server
os-theme-tukan 1.25 5.25MiB OPNsense The tukan theme - blue/white
os-tinc 1.6_3 57.3KiB OPNsense Tinc VPN
os-tor 1.8_3 103KiB OPNsense The Onion Router
os-udpbroadcastrelay 1.0_2 44.8KiB OPNsense Control ubpbroadcastrelay processes
os-upnp 1.4_2 30.3KiB OPNsense Universal Plug and Play Service
os-virtualbox 1.0_1 525B OPNsense VirtualBox guest additions
os-vmware 1.5_1 610B OPNsense VMware tools
os-vnstat 1.3 22.3KiB OPNsense vnStat is a console-based network traffic monitor
os-web-proxy-sso 2.2_2 38.5KiB OPNsense Kerberos authentication module
os-web-proxy-useracl 1.1_2 38.8KiB OPNsense Group and user ACL for the web proxy
os-wireguard 1.10 47.1KiB OPNsense WireGuard VPN service
os-wol 2.4_1 21.4KiB OPNsense Wake on LAN Service
os-xen 1.2_1 381B OPNsense Xen guest utilities
os-zabbix-agent 1.12 50.1KiB OPNsense Zabbix monitoring agent
os-zabbix4-proxy 1.8 32.0KiB OPNsense Zabbix monitoring proxy
os-zabbix5-proxy 1.8 32.0KiB OPNsense Zabbix monitoring proxy
os-zabbix6-agent 1.12 50.1KiB OPNsense Zabbix monitoring agent
os-zabbix6-proxy 1.8 32.0KiB OPNsense Zabbix monitoring proxy
os-zabbix54-agent 1.12 50.1KiB OPNsense Zabbix monitoring agent
os-zabbix54-proxy 1.8 32.0KiB OPNsense Zabbix monitoring proxy
os-zerotier 1.3.2_3 47.9KiB OPNsense Virtual Networks That Just Work
Im Community Repo:
https://www.routerperformance.net/opnsense-repo/
hm... das sind aber ungetestete Plugins, die auch stören können.
Klare Ansage:
- Only support for OpenSSL! Please don't ask for LibreSSL, I don't use it as most others don't do
- Don't use it in production environments, I only test a couple of them from time to time
- There is no warranty or support from OPNsense itself available, nor do they support me for doing this, only blame me for errors
... nicht das ich es schlechtreden will, aber ich für meinen Teil lass die Finger davon. Aber danke für die Info. :)
Vielen Dank für eure Hilfe!
Ich werde ADGuard einfach mal installieren und Testen...
Bleibt ja eh nichts anderes übrig, wenn mit DNSBL keine Fehlerseite möglich ist.
> hm... das sind aber ungetestete Plugins, die auch stören können.
Deshalb ist es auch ein COMMUNITY Repo weil das eben keine hochoffiziellen Plugins sind, aber eben auch Pakete, die so nicht ins offizielle Repo reinkommen weil dort einfach gewisse Regeln gelten, die für den ein oder anderen aber schlichtweg unpraktisch sind. Daher gibts von Michael ja das Community Repo damit man eben auch mal schneller oder einfacher Pakete in die Sense bekommt als die händisch aufs Gerät zu fummeln. Und natürlich gibts da logischerweise von ihm Klauseln, dass da keiner kommt, das in ner Firma einsetzt und dann rumjammert dass das irgendwas kaputt gespielt hat.
Darum ist es trotzdem kein Drama. Und darum steht auch da, dass man ihm Bescheid geben soll, wenn an einem Paket was verbockt ist. Kann man die Finger weglassen oder sich freuen dass man nicht händisch irgendwas aufs Gerät fummeln muss, wenn man schon unbedingt alles auf einer Box haben möchte :)
BTW:
> PiHole scheidet aus, weil es nicht auf der OPNsense läuft.
Naja gerade für DNS ist mir das sogar lieber. Getrennte Aufgaben machen manchmal Sinn. Und PiHole bekommt man heute wirklich überall drauf virtualisiert in Docker, LXD oder sonstwas.
> Wenn etwas blockiert wird, bekommt der User keine schöne "Ups-Seite" zu sehen und wundert sich, warum er keine Internetverbindung hat. Lässt sich das lösen, dass eine "Fehlerseite" angezeigt wird, wenn etwas blockiert wird?
Das wird man nie sinnvoll hinbekommen. AdGuard und PiHole (und viele andere) modifizieren ja die DNS Antwort für geblockte Seiten. Am Sinnvollsten ist hier Null-Listen - also als Antwort 0.0.0.0 zurückliefern. Alte Ideen wie 127.0.0.1 o.ä. zu nutzen machen da oft mehr Probleme als dass sie helfen, zumal die Antwort einer Adresse != 0 eine "gültige" Antwort ist, die auch gecached werden kann. Null-Listing gibt aber mit 0.0.0.0 quasi einen erkennbaren Error für den Client zurück, quasi äquivalent zu NXDomain bzw. DNS Error. Damit bekommen die Clients am Schnellsten mit, dass die Adresse nicht funktioniert UND cachen sie (allermeistens) auch nicht - da ja Fehler. Gerade in Webseiten wenn Werbung geblockt wird ist 0-Blocking daher schneller da die Ad-Domains direkt in Error enden und somit "blitzschnell" geladen bzw. übersprungen werden. Lässt man sie aber auf 127.0.0.1 oder noch schlechter auf die IP des PiHole/AdGuard etc. zeigen, damit dieser dann eine halbwegs schicke Seite mit "Nee gibts nicht, wird geblockt" anzeigen kann, hat das 2 Probleme:
1) es wird eine IP zurückgeliefert, die sich der Client merkt
2) es wird eine Antwort erwartet und es muss eine Seite aufgebaut werden
und Bonusproblem:
3) bei HTTPS Verbindungen wird es ganz fix unangenehm, denn die "umzuleiten" würde dann zu SSL Errors führen, da man die Verbindung mit HTTPS zum Blocklist Server aufbaut für die "Nope" Seite - da der aber nichts von der Domain weiß kann er auch kein Zertifikat dafür haben und wirft somit logisch einen SSL Error. Das erzieht die Nutzer wieder dazu, SSL Fehler zu ignorieren weil "die passieren ja eh ständig". Nicht gut. Die meisten können sowieso nichts mit der Fehlerseite anfangen, dann ist es auch egal, ob man nen schönes Stopschild anzeigt oder dem Browser nen DNS Error zurückliefert. Im Endeffekt kommen die Nutzer so oder so irgendwann an und sagen "ey das geht nicht". Und dann kann man es entweder entblocken oder sagen "joa soll es auch" :)
Cheers
Vielen Dank für die ausführliche und verständliche Antwort bzw. Erklärung auf meine Fragen!
Ich habe in der Zwischenzeit auch kappiert, dass so eine Fehlerseite, zumindest für "https", eigentlich nicht möglich ist.
Damit scheidet das Thema "DNS-Block-Listen" komplett aus.
ADGuard bringt für MICH keinen Mehrwert, somit ist dessen Installation ebenso obsolet.
Bleibt für mein Verständnis nur noch der Weg über einen Proxy als "Man in the Middle", was ich ebenso kritisch finde.
Und ClamAV mit seiner schlechten Erkennungsrate in Kombination mit nur dem "http-Protokoll", was kaum noch genutzt wird, ist wohl eher kosmetisch zu Bewerten als ein echter Sicherheitsgewinn.
Da bleibt leider nicht mehr viel übrig...
Aber zumindest habe ich zum Thema DNSBL nun Klarheit bekommen.
Vielen Dank für eure Geduld!
Der Proxy muss nicht MITM machen, der kann auch nach Domain Name blocken, ohne die Verbindung aufzubrechen.
Aber die Fehlerseitenproblematik haben alle Techniken gemeinsam, da wird immer eine Zertifikatswarnung kommen.
Ich persönlich habe mich damit abgefunden, ich bekomme lieber eine Eieruhr, als Benutzer zu trainieren, Zertifikatswarnungen blind zu akzeptieren, oder aber nicht zu blocken.
> Damit scheidet das Thema "DNS-Block-Listen" komplett aus.
Würde ich nicht so sehen. Es ist das einzig sinnvolle Thema meiner Ansicht nach um ordentlich zu filtern. IP Filtering natürlich im Konglomerat dazu aber ohne DNS Blocking würde es bei uns überhaupt nicht mehr laufen. Schon mit Werbung und Co.
Werbung blockieren ist uns nicht so wichtig, bzw. hierfür setzen wir "uBlock Origin" ein.
Für die IP-Blockierung habe ich vermutlich einen gangbaren Zwischenweg, der für uns akzeptabel ist.
Filterung mit transparentem Proxy mit Sperrlisten und IPS für http.
Wenn eine Seite ohne "https" aufgerufen wird, erscheint das Warnfenster der Firewall, wenn es mit "https" aufgerufen wird, die Warnmeldung des Browsers. Sollte die Warnmeldung des Browsers übergangen werden, so erscheint dann trotzdem wieder das Warnfenster der Firewall.
So ist es zumindest bei unserer aktuellen Firewall.
Dieses Szenario würde ich gerne in der OPNsense nachbauen.
Jetzt ist nur die Frage, wie muss ich den Web-Proxy konfigurieren, damit htttp und https über die Sperrlisten läuft, aber nur http mit IPS untersucht und https nicht aufgebrochen wird?
Gibt es für diesen spezielleren Fall eine Anleitung?
Der relevante Schalter ist: "Log SNI information only".
Ansonsten: https://docs.opnsense.org/manual/how-tos/proxywebfilter.html
wow, Danke!
Na bei der klaren Beschreibung der Funktion, hätte ich ja auch selbst drauf kommen können (Ironie aus)...
Die Problematik mit der Blockseite mit der Zertifikatswarnung bleibt aber.